Souhlas se zpracováním osobních údajů

podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

V tomto dokumentu jsou uvedeny zásady a postupy při zpracování osobních údajů a práva, a to v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen Nařízení), a zákona č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů.

I. Pojmy

Osobní údaj: Veškeré informace o identifikovaném nebo identifikovatelném zákazníkovi; identifikovatelným zákazníkem je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

Správce: EBF s. r. o., Slovákova 387, 684 01 Slavkov u Brna, IČ: 29210798, sídlo: Slavkov u Brna (dále jen „správce“), subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za ně. Zpracováním osobních údajů může Správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak;

Zpracovatel: Každý subjekt, který na základě zvláštního zákona nebo z pověření Správce  zpracovává osobní údaje podle Zákona a Nařízení, a to na základě uzavřené smlouvy o zpracování osobních údajů;

Subjekt údajů (dále jen „zákazník“): Fyzická osoba (včetně osob samostatně výdělečně činných), k níž se osobní údaje vztahují (např. potenciální, stávající či ztracený zákazník);

II. Princip zpracování osobních údajů

Správce zpracovává osobní údaje v duchu následujících principů vyplývajících z Nařízení:

  • zákonnost, korektnost a transparentnost zpracování;
  • účelové omezení – shromažďování jen pro určité, výslovně vyjádřené a legitimní účely;
  • minimalizace údajů – přiměřenost, relevantnost a limitace zpracování na nezbytně nutný rozsah ve vztahu k účelu;
  • přesnost a aktuálnost – správce přijímá veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
  • omezené uložení – osobní údaje jsou uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných stávající legislativou s cílem zaručit práva a svobody subjektu údajů;
  • integrita a důvěrnost – osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

III.Práva zákazníka

Zákazník má právo na následující informace:

  • informace o účelech zpracování
  • informace o zpracovávaných osobních údajích
  • informace o zpracovatelích
  • informace o plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby
  • konkretizaci oprávněného zájmu správce nebo třetí strany v případě, že je zpracování založeno na tomto důvodu
  • informace o zdroji, ze kterého osobní údaje pocházejí

 

Zákazník má právo:

a) na přístup ke svým zpracovávaným osobním údajům, jejich opravu, výmaz nebo omezení jejich zpracování;

b) vznést námitku proti tomuto zpracování;

c) podat stížnost u dozorového úřadu;

d) kdykoliv odvolat souhlas se zpracováním osobních údajů s účinky do budoucna;

e) získat od správce potvrzení, zda jeho osobní údaje jsou či nejsou zpracovávány;

f) aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů;

g) aby správce bez zbytečného odkladu vymazal osobní údaje (také právo být zapomenut), které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, a to v taxativně uvedených důvodech uvedených v Nařízení: a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; b) zákazník odvolá souhlas se zpracováním osobních a neexistuje žádný další právní titul pro zpracování; c) zákazník vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro další zpracování; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené unijní nebo vnitrostátní legislativou, které se na správce vztahuje; f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti. Podrobnosti a výjimky k výkonu tohoto práva upravuje Nařízení;

h) aby správce omezil zpracování, v kterémkoli z těchto případů: a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit; b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití; c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků; d) subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů;

i) na přenositelnost osobních údajů, tzn. získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že: a) zpracování je založeno na souhlasu nebo na smlouvě, zpracování se provádí automatizovaně;

j) kdykoli vznést námitku proti zpracování osobních údajů. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků;

k) nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Výjimky a podrobnosti stanoví Nařízení.

Možnosti uplatnění práva zákazníka Správce

Seznam komunikačních kanálů, kterými lze přijmout a reagovat na požadavek zákazníka:

  • e-mailem: info@ebf-cz.com
  • poštou na adresu: EBF s. r. o., Lavičky 139, 594 01 Velké Meziříčí

IV. Zdroje osobních údajů

Správce získává osobní údaje svých zákazníků zejména od nich samých v rámci jednání o uzavření smlouvy, která určuje Plnění a Oprávněný zájem. Správce dále získává osobní údaje na základě Souhlasu o zpracování osobních údajů.

V. Rozsah zpracování

Správce a jeho smluvní zpracovatelé v návaznosti na příslušný právní titul a účel zpracování zpracovávají následující osobní údaje, respektive kategorie osobních údajů:

  • jméno, příjmení, adresu, sídlo podnikání, IČ, DIČ, číslo bankovního účtu
  • elektronické kontaktní údaje: telefon, mobilní telefon, e-mailová adresa
  • jiné elektronické údaje: IP adresa, cookies, autentizační certifikáty, identifikátory v sociálních sítích a komunikačních platformách (např. Skype),
  • dále jen „Osobní údaje“

VI. Zpracování osobních údajů

Správce zpracovává osobní údaje zákazníků na základě následujících právních důvodů (titulů):

  • oprávněný zájem správce
  • plnění smlouvy,
  • platný souhlas se zpracováním osobních údajů.

A) Oprávněný zájem správce

Osobní údaje budou zpracovány za účelem identifikace smluvních stran a plnění ze smlouvy a dále za účelem evidence smlouvy a budoucího případného uplatnění a obrany práv a povinností smluvních stran. Takové zpracování umožňuje článek 6 odst. 1 písm. b) a f) Nařízení.

Osobní údaje budou zpracovány po dobu trvání smluvního vztahu a dále v nutném rozsahu po dobu 10 let od ukončení smluvního vztahu, nepožaduje-li jiný právní předpis uchování smluvní dokumentace po dobu delší.

Zpracování osobních údajů je prováděno Správcem, osobní údaje však pro něj mohou zpracovávat i tito zpracovatelé:

  • Solitea Česká republika, a.s., Drobného 49, 602 00 Brno, IČ: 25568736
  • Ivo Macek, DiS., Lidická 2033/44a, 602 00 Brno, IČ: 72523131
  • poskytovatel e-mailového klienta, Apple Inc.
  • Seznam.cz, Google, Facebook, Linkedin
  • Česká spořitelna, a.s., Praha IČO 45244782
  • Případně další poskytovatelé zpracovatelských softwarů, služeb a aplikací, které však v současné době Správce nevyužívá.

Podle Nařízení má zákazník právo:

  • požadovat po Správci informaci, jaké osobní údaje zpracovává,
  • vyžádat si přístup k těmto údajům a tyto nechat aktualizovat nebo opravit, popřípadě požadovat omezení zpracování,
  • požadovat výmaz těchto osobních údajů,
  • v případě zpracování prováděného na základě oprávněného zájmu Správce může vznést námitku proti takovému zpracování,
  • na přenositelnost údajů a právo požadovat kopii zpracovávaných osobních údajů,
  • podat stížnost u Úřadu pro ochranu osobních údajů a právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle Nařízení byla porušena v důsledku zpracování jeho osobních údajů v rozporu s Nařízením.

B) Plnění smlouvy

Správce zpracovává osobní údaje subjektů údajů pro účely vyplývající z uzavřené smlouvy se zákazníkem. Standardně se jedná o tyto údaje: jméno, příjmení, doručovací nebo jiná kontaktní adresa, sídlo podnikání, IČ, číslo bankovního účtu, e-mail, telefonní číslo.

Doba zpracování je vymezena dobou trvání smluvního vztahu zákazníka se správcem.

VII. Způsob zpracování

Osobní údaje jsou zpracovávány automatizovaně i manuálně a mohou být zpřístupněny zaměstnancům správce, pokud je to nezbytné k plnění jejich pracovních povinností, zpracovatelům, s nimiž má Správce uzavřenu smlouvu o zpracování osobních údajů a případně další osobě v souladu se Zákonem a Nařízením. Seznam zpracovatelů osobních údajů je v Seznam zpracovatelů.xls

VIII. Zpracovatelé osobních údajů

Zpracování osobních údajů mohou pro Správce provádět zpracovatelé výhradně na základě smlouvy o zpracování osobních údajů, tzn. s garancemi organizačně-technického zabezpečení těchto dat a s vymezením účelu zpracování, přičemž zpracovatelé nesmí použít údaje k jiným účelům.

Seznam zpracovatelů

Název firmy Druh spolupráce Právní titul Účel Doba
WordPress Corporate Office Headquarters Automattic, Inc. 60 29th Street #343, San Francisco, California 94110-4929 USA Provozovatel CMS www.wordpress.com Souhlas, oprávněný zájem Správa CMS Do dobu zpětvetí souhlasu, po dobu trvání smluvního vztahu se Správcem
Google Czech Republic, s.r.o. 27604977 Provozovatel Google Analytics Souhlas, oprávněný zájem Marketing Do dobu zpětvetí souhlasu, po dobu trvání smluvního vztahu se Správcem
Facebook, Inc. Facebook UK limited, 10 Brock Street, Regent’s place, London, NV1 3FG Provozovatel sociální sítě Facebook.com Souhlas, oprávněný zájem Přímý marketing, plnění smlouvy Do dobu zpětvetí souhlasu, po dobu trvání smluvního vztahu se Správcem
Ivo Macek, DiS. Lidická 44a, 602 00 Brno, IČ: 72523131 Externí poradce – správa webu, marketing Souhlas, oprávněný zájem, plnění smlouvy Plnění smlouvy Po dobu trvání smluvního vztahu se Správcem, Nejdéle 5 let po ukončení smluvního vztahu se správcem

 

IX. Ochrana dat

Správce s daty zákazníka pracuje v dalších systémech zpracování a jejich ochrana je zabezpečena jedinečnými uživatelskými jmény a hesly. Uživatelská jména a hesla jsou uložena v osobním počítači Správce, jehož přístup vyžaduje uživatelské jméno a heslo.

Zpracování osobních údajů mohou pro správce provádět zpracovatelé výhradně na základě smlouvy o zpracování osobních údajů, tzn. s garancemi organizačně-technického zabezpečení těchto dat a s vymezením účelu zpracování, přičemž zpracovatelé nesmí použít údaje k jiným účelům.

X. Ukončení nakládání

Správce ukončí nakládání s daty zákazníka po ukončení smluvního vztahu, po uplynutí doby uvedené v souhlasu se zpracováním osobních údajů nebo po pominutí zákonných důvodů pro archivaci osobních dat.

XI. Narušení bezpečnosti

Při narušení bezpečnosti nakládání s daty či unikem dat Správce neprodleně do 24 hodin uvědomí zákazníka a Úřad pro ochranu osobních údajů.

V Brně dne 21. května 2018