Podmínky ochrany osobních údajů

Rozsah platnosti a základní pojmy

Subjekt údajů: Identifikovaná nebo identifikovatelná fyzická osoba; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Správce: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

Správcem osobních údajů je MEDIAL spol. s .r.o., Na Dolinách 128/36, Praha 4, 147 00, IČ: 148 929 01, DIČ: CZ14892901, zapsáno v OR - Městský soud v Praze, odd. C, vložka 1299, pro níže uvedené účely v souladu s níže uvedenými právními předpisy a v rozsahu nezbytně nutném pro dosažení daného účelu po nezbytně nutnou dobu vymezenou buď podmínkami daného zpracování anebo podle právních předpisů.

Zpracovatel: Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Zpracování: Může být prováděno manuálně nebo automaticky, a to i prostřednictvím třetích osob, kterými jsou společnosti LA TAUPE, s.r.o., Praha 2, Rašínovo nábřeží 70/14, 128 00, IČ: 26712377 a Ing. Pavel Grygar, Mníšek pod Brdy, 9. května 530, 252 10, IČ: 44720289 jako dodavatelé web a IT služeb. Dále vybraní dopravci v případě zasílání zboží.

Původce: Každý, z jehož činnosti dokument vznikl; za dokument vzniklý z činnosti původce se považuje rovněž dokument, který byl původci doručen nebo jinak předán;

Osobní údaj: Osobními údaji se rozumí všechny informace, které lze použít k identifikaci jednotlivce.

Zpracování osobních údajů: Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

 

Odpovědnost a GDPR Kodex chování

Odpovědnost za dodržování těchto zásad ochrany soukromí náleží zejména vedoucímu Medial s.r.o. oddělení na ochranu osobních údajů, přesto ale zodpovědnost nesou i další zaměstnanci Medial s.r.o. správy osobních informací jednající jménem vedení celého oddělení. Medial s.r.o. je zodpovědná za držení a uchovávání osobních informací a zavazuje se, že zajistí dostatečný stupeň jejich ochrany, a to všemi možnými dostupnými prostředky a dále Medial s.r.o. přijme taková opatření, aby třetí strany jednající jejím jménem byly také vázány chránit osobní údaje.

Vedení společnosti Medial s.r.o. zdůrazňuje a udržuje povědomí o závažnosti a důležitosti plnění požadavků souvisejících s GDPR, mimo jiné i vydáním kodexu chování zaměstnance společnosti.

Vedení společnosti společně se svými zaměstnanci usilují o zvyšování důvěry v bezpečnost procesů souvisejících s nakládáním se všemi osobními daty, tedy i svých zákazníků a partnerů.

Osobní údaje jsou zpracovávány zákonným a transparentním způsobem s definovaným účelem.

Osobní údaje jsou uchovávány pouze po dobu nezbytnou, odpovídající účelu zpracování.

Společnost informuje každý subjekt údajů o tom, jakým způsobem společnost s jeho osobními daty nakládá, k jakému účelu a případně jakému dalšímu subjektu je poskytuje.

 

Základní zásady pro práci s osobními údaji

• zásada zákonnosti, korektnosti a transparentnosti,

• zásada účelového omezení,

• zásada minimalizace údajů,

• zásada přesnosti,

• zásada omezení uložení,

• zásada integrity a důvěrnosti,

• zásada odpovědnosti.

 

Účel použití

Při sběru, držení a uchování osobních dat postupuje Medial s.r.o. v souladu se zákonem a osobní informace používá výhradně za těmito účely:

  • vedení přesných záznamů o zákaznících pro obchodní účely (např. sledování dodržování smluvních podmínek,),
  • uspokojení a naplnění jednotlivých přání a potřeb zákazníků a poskytování záruky,
  • komunikace se zákazníky, dodavateli, partnery a spolupracovníky zejména v souvislosti vzájemných vztahů a spolupráce, dále produktů a služeb apod.
  • organizace odborných školení, vzdělávání a rozvoj vzdělávacích programů,
  • provádění průzkumů, které pomohou Medial s.r.o. ukázat, jak poskytovat a dosahovat lepších produktů a služeb,
  • markewtingové účely - nabídka nových produktů a služeb Medial s.r.o.,
  • ohodnocení potenciálních dodavatelů, partnerů a spolupracovníků a jejich zaměstnanců, rozhodnutí o navázání spolupráce s nimi a sledování těchto vzájemných vztahů,
  • ohodnocení potenciálních zaměstnanců a rozhodnutí o navázání pracovního poměru s nimi (s tím souvisí údaje o dosavadní praxi zaměstnanců, jejich reference, informace o vzdělání a lékařské záznamy),
  • provádění bezpečnostních programů a vnitřních kontrol (včetně počítačového monitorování a sledovacího video zařízení),
  • ochrana společnosti Medial s.r.o., jejich zákazníků, dodavatelů, partnerů a spolupracovníků proti krádeži, podvodu a jinému nebezpečí.

    Medial s.r.o. vždy uvede účel a zdůvodnění použití osobních informací jedince, a to buď při samotném sběru informací nebo posléze, ale vždy před použitím a uchováním těchto informací.

Souhlas se zpracováním osobních údajů

Způsob, jakým Medial s.r.o. získává souhlas ke shromažďování, používání a uchovávání osobních informací záleží na povaze těchto informací.

GDPR používá přísná pravidla pro zpracování dat na základě souhlasu. Účelem těchto pravidel je zajistit, aby fyzická osoba chápala, s čím souhlasí. Znamená to, že souhlas musí být

-      svobodný,

-      konkrétní,

-      informovaný a

-      jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Vyjádří-li někdo souhlas se zpracováním svých osobních údajů, může být zpracování provedeno pouze pro účely, pro které byl souhlas vydán.

Pokud jsou zpracovávány osobní údaje týkající se dítěte, je vyžadován souhlas rodičů.

Za určitých okolností může Medial s.r.o. v případě, kdy je to povoleno nebo dokonce vyžadováno zákonem, sbírat, používat a uchovávat osobní data bez souhlasu jedince. Tyto okolnosti mohou být následující: vyšetřování porušení smlouvy nebo pokud se jedná činy, které jsou v rozporu se zákonem; sběr a používání informací je v zájmu jednotlivce a souhlas nemůže být získán včas; osobní data jsou předmětem vyžadování právním zástupcem jednotlivce; pokud jde o naléhavý případ ohrožení jednotlivce nebo pokud jedinec obdrží soudní obsílku, předvolání nebo soudní nařízení.

Omezení

Rozsah a typ osobních informací Medial s.r.o. limituje pouze na ty, které jsou skutečně důležité výhradně pro výše uvedené účely. Osobní data nebudou použita nebo uchovávána pro jiné účely než pro ty, pro které byla nashromážděna, vyjma údajů, u kterých byl odepřen souhlas užívání nebo údajů, které jsou vyžadovány zákonem. Veškerá osobní data a informace budou uchovávány pouze po tu dobu, kdy plně splňují své účely a následně budou zničeny nebo uvedeny v anonymitu, a to ihned v co nejbližší možné době, kdy splnily svůj účel.

 

Zajištění práva na výmaz/právo být zapomenut

Subjekt údajů má právo kdykoli požádat o provedení výmazu osobních údajů. Tuto žádost podá vždy písemně zasláním nebo předložením na adresu provozovny společnosti Medial s.r.o., Vlastibořská 2790/4, 193 00 Praha 9 – Horní Počernice, nebo v elektronické podobě na emailové adrese info@zdravibezchemie.cz.

Žádá-li subjekt údajů o provedení výmazu osobních údajů podle čl. 17 GDPR, pak původce musí zohlednit další povinnosti, jako například povinnost uchovat dokument a umožnit výběr archiválií.

Jsou-li dokumenty zpracovávány v evidencích společnosti, žádající je upozorněn, že výmaz z těchto evidencí nebo odstranění z dokumentů v analogové podobě ve smyslu ustanovení článku 17 odst. 3 GDPR je možné provést teprve po uplynutí skartačních lhůt dokumentů a jejich zařazení do procesu výběru archiválií, a to pouze u těch dokumentů, které nebudou vybrány jako archiválie.

Pokud společnost obdrží žádost od fyzické osoby uplatňující svá práva, společnost je povinna reagovat bez zbytečného odkladu, nejdéle však do 1 měsíce od obdržení žádosti. Žádost je vždy vyřizována zdarma, zamítnutí musí
být řádně odůvodněno.

Postup na zajištění práva na výmaz ve společnosti

V případě, že jakákoliv fyzická osoba požádá o výmaz svých osobních dat ze systémů společnosti, společnost:

a)     Ověří, zda-li s fyzickou osobou má, či nemá smluvní či účetní vztah

b)     V případě, že s fyzickou osobou nemá společnost žádný vztah, provede

  • výmaz fyzické osoby ze systému. Systém automaticky provede záznam o tom, kdo a kdy změnu provedl (syslog),
  • systémová administrátor prohledá složky elektronické pošty a smaže korespondenci s fyzickou osobou a vloží emailovou adresu na Black list,
  • obchodní zástupce sdělí písemně fyzické osobě, kdy a z jakých systému byly její osobní údaje vymazány.
  • Výmaz údajů fyzické osoby je nutno provést i ze záloh účetního systému externím IT dodavatelem.

 c)     V případě, že společnost má s fyzickou osobou nějaký účetní či smluvní vztah,

  • společnost na základě platností těchto smluv zváží možnost výmazu fyzické osoby dle odrážky ad b),
  • oznámí fyzické osobě rozsah výmazu, byl-li vůbec jen částečně možný,
  • oznámí fyzické osobě důvody odmítnutí výmazu (lhůty na uchování smluv, běžící záruka, řešení problémů atd.).

 Stejný postup se uplatní pro případ, kdy fyzická osoba odmítne poskytnout souhlas se zpracováním svých osobních údajů.

Přístup

Jednotlivci mají po předchozí písemné domluvě (např. poštou, e-mailem nebo faxem) přístup ke svým osobním údajům v databázi Medial s.r.o.. Medial s.r.o. je poté informuje o vzniku, použití a uchovávání těchto osobních informací a umožní též přístup k těmto informacím. Pokud jsou tato osobní data přístupná i třetím stranám (externí dodavatel IT systémů, dopravci), Medial s.r.o. poskytne jednotlivcům seznam všech ostatních organizací, které disponují s jejich osobními údaji.

Medial s.r.o. odpoví na všechny písemné žádosti o přístup k osobním údajům do 30-ti dnů. V případech, které jsou časově náročné, oznámí Medial s.r.o. tuto skutečnost zájemci společně s vysvětlením.

V případě neúplnosti nebo nepřesnosti údajů Medial s.r.o. tyto nedostatky po řádném oznámení ze strany žadatele opraví. Pokud ale zdůvodnění nebude uspokojivé, Medial s.r.o. tuto žádost zaznamená jako nevyřešenou a odloží ji. Pokud má i třetí strana přístup ke změněným nebo opraveným informacím, Medial s.r.o. jí tuto změnu řádně nahlásí a přenese.

V určitých případech ale Medial s.r.o. může odmítnout poskytnutí přístupu k osobním informacím, i přes řádný požadavek či vysvětlení. Výjimky se vztahují zejména na informace, které jsou vyžadovány zákonem; na informace, které obsahují důvěrné informace nebo reference k ostatním jedincům; k informacím, které jsou v procesu vyšetřování porušování smlouvy, nebo které jsou v rozporu s rozhodnutím procesu; nebo dále informace, které jsou vyžadovány právním zástupcem.

Přesnost a správnost údajů

Medial s.r.o. usiluje o zabezpečení toho, aby veškeré osobní informace, které jsou shromažďovány, používány a přechovávány jsou přesné, kompletní a aktualizované výhradně pro účely toho, k čemu jsou použité, včetně informací, které jsou užívány i třetí stranou.

Otevřenost

V případě jakýchkoliv dotazů, které se týkají všeobecných informací o Medial s.r.o. zásadách ochrany informací a dále např. toho, jak dosáhnout přístupu svých osobních informací, charakter osobních dat, které má Medial s.r.o. k dispozici nebo obecných informací o používání a uchovávání osobních dat, můžete Medial s.r.o. kontaktovat na uvedených kontaktech.

V případě jakýchkoliv dotazů nebo stížností se také obraťte na uvedené kontakty.

 

Udržování povědomí a znalostí o GDPR ve společnosti

Provádění pravidelných školení

Vedení společnosti usiluje o trvalé udržení povědomí a znalostí o GDPR ve společnosti. Za tímto účelem pravidelně, minimálně jedenkrát ročně provádí školení všech zaměstnanců společnosti. Toto školení se též provádí:

-      při změně právních požadavků v oblasti GDPR s dopadem do společnosti,

-      u nových zaměstnanců,

-      při změně prostředí pro práci s osobními daty, výchozích nastaveních práv (změna software, hardware atd.),

-      při změně (rozšíření či snížení) rozsahu podnikatelské činnosti.

 Rozsah a cíle školení

Školení přednostně slouží k seznámí všech zaměstnanců s touto směrnicí a:

-      vůlí vedení společnosti dodržovat požadavky GDPR,

-      zdůraznit zaměstnancům kodex chování a související zásady,

-      zajistit, že všichni zaměstnanci rozumí GDPR a aktivně se podílí na plnění požadavků.

Ze školení je proveden záznam a každý zaměstnanec potvrdí, že porozuměl sdělené problematice.

 

Související právní předpisy

  • Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů
  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
  • Zákon č. 499/2004 Sb., o archivnictví a spisové službě ve znění pozdějších předpisů.
  • Vyhláška č. 259/2012 Sb., o podrobnostech výkonu spisové služby, ve znění pozdějších předpisů.
  • V roce 1995 nabyla účinnosti směrnice 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. O pět let později byl vydán zákon č. 101/2000 Sb., který nabyl účinnosti k 1. červnu 2000, resp. k 1. prosinci 2000 (viz ustanovení § 51 zákona č. 101/2000 Sb.). Oba předpisy vytvořily právní prostředí pro nakládání s osobními údaji, resp. pro jejich zpracovávání4. Původci dokumentů jsou od té doby povinni zpracovávat osobní údaje v rozsahu a dle pravidel stanovených uvedenými právními předpisy. Rozsah ochrany osobních údajů je doplněn GDPR, které nabývá účinnost 25. května 2018.