Zásady ochrany osobních údajů dle GDPR

1. Bajir s.r.o. – kdo jsme a jak nás můžete kontaktovat

Společnost Bajir s.r.o., se sídlem K Jezeru 490/2, Praha 11 – Háje, 149 00, IČO: 275 84 615, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod sp. zn. C 117115, jejímž jménem jedná prof. PhDr. Jiří Suchý, Ph.D., jednatel (dále jen „Bajir“) při své obchodní činnosti provádí zpracování osobních údajů svých zaměstnanců, dodavatelů a klientů – fyzických osob.

Za účelem zajištění řádné ochrany osobních údajů Bajir vydal tyto zásady ochrany osobních údajů, které nabyly účinnosti dne 25. května 2018.

Dotazy či žádosti týkající se zpracování osobních údajů ze strany Bajiru prosím adresujte na e-mailovou adresu info@bajir.cz, či zašlete poštou na výše uvedenou adresu sídla.

2. Základní pravidla, kterými se při zpracování osobních údajů řídíme

Bajir zpracovává osobní údaje vždy v souladu s obecně závaznými právními předpisy, zejména s nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“), aby práva subjektů údajů byla náležitě chráněna.

Na základě čl. 13 GDPR tímto Bajir poskytuje subjektům údajů informace o zpracování jejich osobních údajů.

Bajir zpracovává vždy přesné a aktuální osobní údaje na základě zákonného titulu, korektně a transparentním způsobem, pouze pro určité, výslovně vyjádřené a legitimní účely, v minimálním nezbytném rozsahu, ukládá je ve formě umožňující identifikaci subjektů údajů pouze po nezbytnou dobu ve vztahu k účelu a zajišťuje jejich integritu a důvěrnost pomocí vhodných technických a organizačních opatření a náležitého zabezpečení před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

Veškeré činnosti spojené s osobními údaji a jejich ochranou Bajir řádně dokumentuje, zejména vede záznamy o činnostech zpracování a další doklady o zpracování osobních údajů pro naplnění zásady odpovědnosti dle GDPR.

3. Pro jaký účel a na základě jakého titulu osobní údaje zpracováváme

Před zahájením jakéhokoli zpracování osobních údajů Bajir stanovuje účel, pro který zpracovává osobní údaje, a právní základ (titul) takového zpracování v souladu s čl. 6 GDPR.

V případě klientů a dodavatelů Bajiru, kteří jsou fyzickými osobami (na údaje právnických osob se GDPR nevztahuje) jsou osobní údaje zpracovávány za účelem uzavření či plnění smlouvy a vedení komunikace a evidence nezbytné v této souvislosti (například e-mailová a poštovní korespondence ohledně dodávaných služeb, fakturace atp.). Právním titulem pro toto zpracování je tedy plnění smlouvy uzavřené se subjektem údajů (klientem či dodavatelem), popřípadě plnění povinnosti Bajiru vyplývající z právních předpisů, pokud se jedná o vedení účetnictví či jiných zákonných evidencí obsahujících údaje o klientech a dodavatelích, archivaci důležitých dokumentů atp.

V případě zaměstnanců Bajir zpracovává osobní údaje za účelem uzavření pracovní smlouvy či dohody o práci konané mimo pracovní poměr, přidělování práce, hrazení mzdy či odměny a plnění dalších povinností vyplývajících z pracovního poměru a příslušných právních předpisů. Právním titulem pro toto zpracování je tedy rovněž plnění smlouvy uzavřené se subjektem údajů (zaměstnancem), popřípadě plnění povinnosti Bajiru vyplývajících z právních předpisů. Bližší informace o zpracování osobních údajů jsou zaměstnancům poskytovány individuálně.

4. Po jakou dobu osobní údaje zpracováváme

Osobní údaje zpracovává Bajir vždy pouze po dobu potřebnou k naplnění účelu zpracování osobních údajů, tedy po dobu trvání smluvního vztahu s klientem, dodavatelem či zaměstnancem, pokud právní předpisy nevyžadují delší dobu jejich uchovávání (například daňové předpisy či předpisy v oblasti archivace). Poté osobní údaje mažeme.

5. Komu a za jakých podmínek osobní údaje předáváme (příjemci)

Osobní údaje Bajir jako správce zpracovává převážně přímo svými zaměstnanci. Třetích osob ke zpracování používá pouze výjimečně – jedná se zejména o společnost poskytující účetní služby.

Bajir uzavírá s každým zpracovatelem osobních údajů smlouvu o zpracování osobních údajů. Zpracovatelé poskytli Bajiru dostatečné záruky bezpečného nakládání s osobními údaji a zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR a aby byla zajištěna ochrana práv subjektů údajů.

Bajir osobní údaje nepředává do třetích zemí mimo Evropskou unii a Evropský hospodářský prostor.

6. Jak zabezpečujeme osobní údaje

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracovávání i k pravděpodobným a různě vážným rizikům pro práva a svobody fyzických osob Bajir zavedla vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení osobních údajů odpovídající danému riziku - zejména náhodnému nebo protiprávnímu zničení, ztrátě, pozměňování, neoprávněnému zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněnému přístupu k nim.

7. Jaká práva má subjekt údajů

Každý subjekt údajů má následující práva:

1) Právo na informace - vůči klientům a dodavatelům Bajir plní seznámením s těmito zásadami ochrany osobních údajů, vůči zaměstnancům doplňuje individuálním informačním dopisem

2) Právo na přístup k osobním údajům

3) Právo na výmaz / právo být zapomenut

4) Právo na omezení zpracování

5) Právo na přenositelnost údajů

6) Právo vznést námitku - Bajir neprovádí zpracování osobních údajů na základě právního titulu oprávněného zájmu, právo vznést námitku se tedy v praxi neuplatní)

7) Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování (Bajir neprovádí ani žádnou formu automatizovaného individuálního rozhodování)

8) Právo podat stížnost k Úřadu pro ochranu osobních údajů nebo k jinému příslušnému dozorovému úřadu v souvislosti se zpracováním osobních údajů.

Práva uvedená výše ad 2) až 5) může subjekt údajů uplatnit vůči Bajiru elektronicky na e-mailové adrese info@bajir.cz nebo písemně na adrese sídla Bajiru. V žádosti subjekt údajů uvede své identifikační údaje a právo, jež prostřednictvím žádosti uplatňuje.

O opatřeních přijatých na základě žádosti subjektu údajů informuje Bajir subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena. Jestliže subjekt údajů podává žádost v elektronické formě, budou informace poskytnuty e-mailem, leda že by subjekt údajů ve své žádosti uvedl, že požaduje jiný způsob poskytnutí informací.

7.1. Právo na přístup k osobním údajům

Právo na přístup k osobním údajům má tři složky. Kterou část práva na přístup k osobním údajům využívá, určí subjekt údajů ve své žádosti adresované Bajiru.

1) Subjekt údajů má právo získat od Bajiru potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány.

2) Pokud Bajir osobní údaje subjektu údajů zpracovává, je povinen mu sdělit následující informace (o které z těchto informací konkrétně subjekt žádá, rovněž stanoví ve své žádosti):

a) účely zpracování;

b) kategorie dotčených osobních údajů;

c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e) existence práva požadovat od Bajiru opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování;

f) právo podat stížnost u Úřadu pro ochranu osobních údajů nebo u jiného příslušného dozorového úřadu v souvislosti se zpracováním osobních údajů;

g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

h) skutečnost, že dochází k automatizovanému individuálnímu rozhodování, včetně profilování, smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

3) Pokud Bajir osobní údaje subjektu údajů zpracovává, je povinen poskytnout subjektu údajů bezplatně kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může Bajir účtovat přiměřený poplatek odpovídající administrativním nákladům na pořízení těchto kopií. Právem získat kopii zpracovávaných osobních údajů nesmějí být nepříznivě dotčena práva a svobody jiných osob.

7.2. Právo na opravu

Subjekt údajů má právo na:

a) opravu nepřesných osobních údajů, které se ho týkají;

b) doplnění neúplných osobních údajů s přihlédnutím k účelům zpracování, a to i prostřednictvím poskytnutí dodatečného prohlášení.

Bajir oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuje Bajir subjekt údajů o takto informovaných příjemcích.

7.3. Právo na výmaz / právo být zapomenut

Na žádost subjektu údajů Bajir bez zbytečného odkladu vymaže jeho osobní údaje, pokud je dán některý z výše uvedených důvodů:

a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b) subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování (neuplatní se, souhlas není ze strany Bajiru ke zpracování využíván);

c) subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování osobních údajů pro účely přímého marketingu (neuplatní se, oprávněný zájem není ze strany Bajiru ke zpracování využíván);

d) osobní údaje byly zpracovány protiprávně;

e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené právem Evropské unie nebo členského státu, které se na Bajir vztahuje;

f) osobní údaje dítěte byly shromážděny v souvislosti s nabídkou služeb informační společnosti učiněnou přímo dítěti (neuplatní se, nabídky služeb informační společnosti nejsou ze strany Bajiru zasílány).

Právo na výmaz se neuplatní a osobní údaje budou nadále zpracovávány, pokud je takové zpracování nezbytné:

a) pro výkon práva na svobodu projevu a informace;

b) pro splnění právní povinnosti, jež vyžaduje zpracování osobních údajů podle práva Evropské unie nebo členského státu, které se na Bajir vztahuje;

c) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by využití práva na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;

d) pro určení, výkon nebo obhajobu právních nároků.

Bajir oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré výmazy osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuje Bajir subjekt údajů o tom, kteří příjemci osobních údajů byli takto informováni.

7.4. Právo na omezení zpracování

Subjekt údajů má právo na to, aby Bajir omezil zpracování jeho osobních údajů v kterémkoli z těchto případů:

a) subjekt údajů popírá přesnost osobních údajů; v tomto případě bude zpracování omezeno na dobu potřebnou k tomu, aby Bajir mohl přesnost osobních údajů ověřit;

b) zpracování osobních údajů je protiprávní, subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

c) Bajir již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d) subjekt údajů uplatnil právo vznést námitku proti zpracování osobních údajů.

V důsledku omezení zpracování osobních údajů může Bajir předmětné osobní údaje nadále ukládat, avšak zpracovány mohou být pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu. V těchto případech bude subjekt údajů, který dosáhl omezení zpracování osobních údajů, Bajirem předem upozorněn na to, že omezení zpracování bude zrušeno.

Bajir oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškerá omezení zpracování osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuje Bajir subjekt údajů o tom, kterým příjemcům bylo takové oznámení podáno.

7.5. Právo na přenositelnost údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají, které poskytl Bajiru a které jsou zpracovávány automatizovaně, pokud je současně splněna některá z níže uvedených podmínek:

a) osobní údaje jsou zpracovávány pro konkrétní účel/-y na základě souhlasu subjektu údajů;

b) jedná se o zvláštní kategorii osobních údajů zpracovávaných pro jeden nebo více stanovených účelů na základě výslovného souhlasu uděleného subjektem údajů; nebo

c) zpracování osobních údajů je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů.

Subjekt údajů si ve své žádosti zvolí, zda má Bajir osobní údaje poskytnout subjektu údajů, nebo zda využije právo na to, aby jeho osobní údaje byly předány Bajirem přímo jinému správci/zpracovateli, je-li to technicky proveditelné. Bajir osobní údaje poskytne ve strukturovaném, běžně používaném a strojově čitelném formátu.

Právem na přenositelnost údajů nesmí být nepříznivě dotčena práva a svobody jiných osob.