Zásady zpracování osobních údajů

Zásady zpracování osobních údajů

Družstvo CBA CZ
Průmyslová 3062/5, 787 01 Šumperk

IČ: 268 08 951

Zajištění informační povinnosti správce osobních údajů

Zásady ochrany a zpracování osobních údajů Družstva CBA CZ jsou vydány v souladu se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů a s Nařízením Evropského Parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („nařízení“ nebo „GDPR“) za účelem zajištění informační povinnosti správce osobních údajů dle čl. 13 GDPR.

Rozsah zpracování osobních údajů - kategorie osobních údajů

Společností Družstvo CBA CZ jako správcem osobních údajů (a v některých méně častých případech i jako zpracovatelem), může dojít v souladu se základními principy zpracování osobních údajů (zákonnost, korektnost a transparentnost zpracování, účelové omezení, minimalizace osobních údajů, přesnost a aktuálnost, omezení uložení, integrita a důvěrnost) a za splnění níže uvedených podmínek, ke zpracování následujících kategorií osobních údajů.

1. Identifikační údaje a adresní údaje
Takovými údaji jsou zejména titul, jméno a příjmení, adresa trvalého pobytu, adresa sídla nebo místa podnikání, název obchodní firmy, datum narození, rodné číslo, IČ, DIČ, fakturační adresa, čísla předložených identifikačních dokladů a jejich kopie (veškeré údaje, které nelze kopírovat, jsou na kopiích dokladů začerněny), bankovní spojení.

2. Kontaktní údaje
Takovými údaji jsou zejména kontaktní e-mail, telefonní číslo.

3. Ostatní údaje
Jsou to údaje, které subjekt osobních údajů poskytne správci osobních údajů pro stanovené účely na základě právních důvodů zpracování včetně souhlasu i údaje dostupné z regulérně provozovaných registrů Využívanými registry jsou zejména obchodní rejstřík, insolvenční rejstřík a centrální evidence exekucí.

4. Provozní údaje
Jedná se o údaje vznikající při přímé komunikaci mezi Družstvem CBA CZ a subjektem údajů, dále pak zejména o údaje pro potřeby účtování a plnění zákonných povinností Družstva CBA CZ a o údaje zpracovávané pro řešení případných sporů plynoucích z konkrétních kontraktů.

5. Údaje zpracované na základě souhlasu subjektu údajů
Jedná se o zpracování osobních údajů, které není nezbytně nutné k plnění smlouvy, zákonných povinností správce či ochranu oprávněných zájmů Družstva CBA CZ Účelem jejich zpracování, zvláště pak při zpracování na základě Souhlasu pro obchodní účely, je zlepšení, zrychlení a zvýšení kvality vzájemné komunikace a poskytovaných služeb ze strany Družstva CBA CZ Tyto údaje jsou zpracovány jen v případě udělení souhlasu a mohou být zpracovány jen po dobu platnosti tohoto souhlasu. Udělení souhlasu je kdykoliv odvolatelné.

6. Lokační údaje
Případné zpracování lokačních údajů se týká výlučně zaměstnanců Družstva CBA CZ v rámci monitorování služebních vozidel při pracovních cestách pomocí GPS, v nezbytném rozsahu, za účelem ochrany a správy majetku Družstva CBA CZ., na základě oprávněného zájmu Družstva CBA CZ jako zaměstnavatele.

7. Biometrické údaje
Takovými údaji jsou údaje technického charakteru zpracování fyzických či fyziologických znaků fyzické osoby, které umožňují jedinečnou identifikaci. Případné zpracování biometrických údajů ze strany Družstva CBA CZ se týká podpisu a dále pak výlučně u zaměstnanců Družstva CBA CZ zejména otisku prstu v rámci docházkového systému za účelem evidence docházky do zaměstnání.

8. Kamerový systém
Za účelem ochrany vlastního majetku a výlučně z bezpečnostních důvodů Družstvo CBA CZ používá kamerový systém. Provozování kamerového systému podléhá přísně stanoveným pravidlům a je prováděno pouze v nezbytně nutném rozsahu tak, aby nadměrně nezasahovalo do soukromí osob. Toto zpracování osobních údajů je nezbytné pro účely ochrany oprávněných zájmů Družstva CBA CZ a proto ke zpracování těchto osobních údajů Družstvo CBA CZ nepotřebuje souhlas daného subjektu údajů. Subjekty osobních údajů jsou o pořizování kamerového záznamu vždy informovány.

Zdroje osobních údajů

Osobní údaje poskytuje subjekt osobních údajů správci osobních údajů pro stanovené účely na základě právních důvodů zpracování včetně souhlasu. Zdrojem osobních údajů jsou pro stanovené účely v nezbytné míře i údaje dostupné z regulérně provozovaných registrů, zejména obchodní rejstřík, živnostenský rejstřík, insolvenční rejstřík a centrální evidence exekucí. 

Účely a právní důvody zpracování osobních údajů

Od účelu zpracování se odvíjí rozsah zpracovávaných údajů. Pro některé účely je možné zpracovávat údaje přímo na základě smlouvy nebo oprávněného zájmu Družstva CBA CZ či na základě zákona, a to vše bez souhlasu subjektu osobních údajů. Pro jiné účely může dojít ke zpracování osobních údajů pouze na základě souhlasu.

1. Zpracovávání z důvodu plnění smlouvy, plnění zákonných povinností a z důvodu oprávněných zájmů Družstva CBA CZ
Poskytnutí osobních údajů nutných pro plnění smlouvy, plnění zákonných povinností Družstva CBA CZ a ochranu oprávněných zájmů Družstva CBA CZ je povinné. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné provádět kontraktaci, poskytovat služby ani řádně plnit zákonné povinnosti. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.

Jedná se zejména o tyto dílčí účely: plnění účetních a daňových povinností (plnění zákonných povinností), vyúčtování (plnění smlouvy), vymáhání pohledávek a ostatní zákaznické spory (oprávněný zájem), administrace zaměstnaneckých benefitů (plnění smlouvy, a to i v případě, kdy zaměstnavatel stanovuje zaměstnanecké benefity vnitřním předpisem), ochrana a správa majetku, zejména vedení evidencí, které je Družstvo CBA CZ jako zaměstnavatel povinen vést k prokázání daňové uznatelnosti výdajů (oprávněný zájem), života a zdraví (oprávněný zájem), zajištění důkazů pro případ nutnosti obhajoby práv společnosti Družstva CBA CZ (oprávněný zájem), účely stanovené zvláštními zákony pro potřeby přestupkového řízení, správního řízení, trestního řízení apod. a pro naplnění povinnosti součinnosti se státními orgány České republiky včetně Policie České republiky (plnění zákonných povinností).

2. Zpracovávání údajů Družstva CBA CZ se souhlasem 
Družstvo CBA CZ se souhlasem subjektu údajů může zpracovávat některé údaje nad rámec nutný k plnění smlouvy a taktéž pro obchodní účely, a to na základě Souhlasu pro obchodní účely, pro vytvoření vhodné nabídky zboží a služeb společnosti Družstva CBA CZ subjektu údajů, pro zlepšení kvality služeb a pro případné zrychlení a zlepšení úrovně vzájemné komunikace. Konkrétní forma/formy – např. telefonicky, písemně, prostřednictvím internetové reklamy, formou elektronické komunikace, je vždy ve svobodné dispozici subjektu údajů, který případný souhlas uděluje. Správce provádí pro oslovení klientů s vhodnými nabídkami pouze nezbytně nutné zpracování. Poskytnutí souhlasu je dobrovolné a kdykoli odvolatelné. Pokud subjekt údajů svůj souhlas odvolá, není tím dotčeno zpracování jeho osobních údajů ze strany Družstva CBA CZ pro jiné účely a na základě jiných právních titulů, v souladu s těmito Zásadami ochrany a zpracování osobních údajů Družstva CBA CZ Obchodní sdělení lze zasílat jednak na kontakty našich stávajících zákazníků / klientů z titulu oprávněného zájmu společnosti Družstvo CBA CZ a to jen do doby vyslovení případného nesouhlasu stávajícího zákazníka / klienta. Nebo na základě platného souhlasu se zpracováním osobních údajů pro obchodní účely. Zaslaná obchodní sdělení vždy obsahují možnost odmítnutí dalšího zasílání těchto sdělení.

Doby zpracování osobních údajů

Osobní údaje pro činnosti Družstva CBA CZ jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány, likvidovány v řádných lhůtách.

V případě, že mají subjekty osobních údajů splněny veškeré své závazky vůči Družstvu CBA CZ, je Družstvo CBA CZ, jako správce osobních údajů, oprávněno zpracovávat v databázích subjektů údajů jejich základní identifikační, adresní, kontaktní údaje i další údaje po dobu 4 let ode dne ukončení poslední smlouvy se společností Družstvo CBA CZ.

Jsou-li vystavovány správcem údajů faktury dle zákona o dani z přidané hodnoty, jsou v souladu s § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty, archivovány po dobu 10 let od jejich vystavení. Z důvodu nutnosti doložit právní důvod pro vystavení faktur jsou návazně po dobu 10 let ode dne ukončení smlouvy archivovány i příslušné smlouvy.

Záznamy pořízené kamerovým systémem Družstva CBA CZ., jsou do 30 dní od jejich pořízení průběžně mazány z příslušného datového úložiště, kdy dochází k nahrazení těchto dat aktuálně pořizovaným záznamem. Delší doba archivace záznamů z kamerového systému je přípustná pouze tehdy, vyplynulo-li by ze záznamů, že došlo k protiprávnímu zásahu do majetku či jiných práv a chráněných zájmů společnosti Družstvo CBA CZ.

Režim osobních údajů poskytnutých v rámci jednání, které nevedlo k uzavření smlouvy

V případě jednání mezi společností Družstvo CBA CZ a potenciálním zájemcem o uzavření smlouvy, které nebylo zakončeno uzavřením smlouvy, je společnost Družstvo CBA CZ oprávněno zpracovávat poskytnuté osobní údaje po dobu 3 měsíců od ukončení příslušného jednání.

Ostatní příjemci osobních údajů

Společnost Družstvo CBA CZ při plnění svých závazků a povinností využívá odborné služby jiných subjektů. Pokud tyto subjekty zpracovávají osobní údaje předané od společnosti Družstvo CBA CZ, mají postavení zpracovatelů osobních údajů. Zpracovávají osobní údaje pouze v rámci pokynů udělených společností Družstvo CBA CZ. Může jít zejména o činnost účetního, daňového poradce, auditora, advokáta, správce IT systému apod. S takovými subjekty uzavírá Družstvo CBA CZ smlouvu o zpracování osobních údajů, ve které má zpracovatel stanoveny povinnosti k ochraně a zabezpečení osobních údajů, odpovídající evropskému standardu.

Zpracování osobních údajů zaměstnance může vycházet též z dohody se zaměstnavatelem o poskytnutí benefitu, v rámci které se zaměstnavatel zaváže k poskytnutí benefitu. Pokud zaměstnanec projeví o benefit zájem, dochází k účelnému zpracování osobních údajů v souvislosti s poskytovaným benefitem, tj. i k předání osobních údajů zaměstnance dalšímu příjemci, poskytovateli služby, pokud je jím benefit zajišťován.

Právním důvodem pro předmětné zpracování podle předchozího odstavce je článek 6 odst. 1 písm. b) GDPR, tedy plnění smlouvy, a to i případě, že poskytnutí benefitu zaměstnavatel stanovuje vnitřním předpisem.

V závislosti na různých druzích benefitů plní zaměstnavatel, jako správce osobních údajů, svou povinnost podle čl. 13 GDPR, a to poskytovat zaměstnancům adekvátní informaci o nutném předání osobních údajů třetí osobě - poskytovateli benefitu a též informuje o rozsahu, v jakém budou osobní údaje předány. Bližší podrobnosti k tomu správce osobních údajů stanovuje ve svých Zásadách ochrany a zpracování osobních údajů.

V určitých případech je třetí osoba pouze zpracovatelem osobních údajů zaměstnanců. Jedná se o případy, kdy správcem osobních údajů (tzn. subjektem, který určil účel a prostředky zpracování osobních údajů) je zaměstnavatel jako klient subjektu, který pověřil třetí osobu zpracováním osobních údajů (případně pouze určitou operací zpracování), a to v souvislosti s nabídkou a čerpáním zaměstnaneckých benefitů. V takovém případě třetí osoba postupuje při zpracování osobních údajů zaměstnanců podle pokynů správce osobních údajů a nenese za zpracování osobních údajů zaměstnanců odpovědnost. Tuto odpovědnost nese správce osobních údajů, a to zaměstnavatel. Třetí osoba však i jako zpracovatel osobních údajů vždy dodržuje Nařízení GDPR a zásady z této normy vyplývající.

Pro realizaci své činnosti může využívat společnost Družstvo CBA CZ spolupráci s externími partnery, kteří jsou v postavení správce osobních údajů (nebo kumulativně v postavení správce osobních údajů a zároveň i zpracovatele osobních údajů). Těmto subjektům může společnost Družstvo CBA CZ předávat osobní údaje pouze v nezbytně nutném rozsahu, určeném účelem dané agendy a po předchozím prověření zajištění ochrany osobních údajů na úrovni evropských standardů ze strany těchto subjektů.

Společnost Družstvo CBA CZ v rámci plnění svých zákonných povinností předává osobní údaje správním orgánům a úřadům stanoveným platnou legislativou.

Kategorie zpracovatelů, správců a dalších příjemců osobních údajů

Společnost Družstvo CBA CZ vede aktuální seznam jednotlivých kategorií zpracovatelů, správců a dalších příjemců osobních údajů, u kterých může dojít ke zpracování osobních údajů subjektů údajů, včetně zpracování osobních údajů zaměstnanců pro účely zaměstnaneckých benefitů. Jedná se zejména o poskytovatele účetních, daňových, finančních a právních služeb a poradenství, IT služeb, servisních a technických služeb, poštovních služeb, o třetí osoby dle předchozího článku těchto Zásad ochrany a zpracování osobních údajů, o případné zplnomocněné subjekty a další příjemce, jako jsou správce daně, statistický úřad, orgány činné v trestním řízení.

Předávání osobních údajů do jiných států v rámci EU

Společnost Družstvo CBA CZ nepředává osobní údaje do další země v rámci EU.

Předávání osobních údajů do třetích zemí

Společnost Družstvo CBA CZ nepředává osobní údaje do třetí země ani mezinárodní organizaci mimo rámec EU.

Způsoby zpracování osobních údajů

Společnost Družstvo CBA CZ zpracovává osobní údaje manuálním způsobem i automatizovaně a vede řádnou evidenci takových činností, při kterých dochází ke zpracování osobních údajů.

Informace o právech subjektů údajů

1. Právo na přístup k osobním údajům
Dle čl. 15 GDPR má subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od společnosti Družstvo CBA CZ potvrzení o zpracování osobních údajů, právo na informace o účelech zpracování, kategoriích osobních údajů, jež jsou zpracovávány. Dále pak o příjemcích, kterým jsou osobní údaje zpřístupňovány a o době zpracování. Dále má subjekt údajů právo požadovat od správce opravu nebo výmaz osobních údajů, týkajících se subjektu údajů, nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování. Může si vyžádat kopii osobních údajů, přičemž v případě opakované žádosti bude společnost Družstvo CBA CZ oprávněno za kopii osobních údajů účtovat přiměřený poplatek.

2. Právo na opravu nepřesných údajů
Dle čl. 16 GDPR má subjekt údajů právo na opravu nepřesných osobních údajů, resp. na doplnění neúplných osobních údajů, které o něm společnost Družstvo CBA CZ zpracovává. Subjekt údajů má vůči správci údajů adekvátní povinnost oznamovat změnu svých osobních údajů a doložit, že k takové změně došlo.

3. Právo na výmaz
Dle čl. 17 GDPR má subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud společnost Družstvo CBA CZ neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Společnost Družstvo CBA CZ má nastaveny mechanismy pro výmaz osobních údajů, kdy pominul účel, jež určoval rozsah a parametry zpracování osobních údajů.

4. Právo na omezení zpracování
Dle čl. 18 GDPR má subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.

5. Právo na oznámení opravy, výmazu nebo omezení zpracování
Subjekt údajů má také dle čl. 19 GDPR právo na oznámení ze strany společnosti Družstvo CBA CZ v případě opravy, výmazu nebo omezení zpracování osobních údajů.

6. Právo na přenositelnost osobních údajů
Čl. 20 GDPR přiznává subjektu údajů právo na přenositelnost údajů, které se ho týkají a které poskytl správci, a to ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat Družstvo CBA CZ o předání těchto údajů jinému správci. Žádosti nelze vyhovět, pokud by v konkrétním případě mohlo dojít k negativnímu dotčení práv a svobod třetích subjektů.

7. Právo vznést námitku proti zpracování osobních údajů
Dle čl. 21 GDPR má subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu společnosti Družstva CBA CZ Je na společnosti Družstvo CBA CZ, aby prokázala existenci oprávněného důvodu pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů. V opačném případě společnost Družstvo CBA CZ zpracování na základě námitky ukončí bez zbytečného odkladu.

8. Právo na odvolání souhlasu se zpracováním osobních údajů
Souhlas se zpracováním osobních údajů je kdykoli odvolatelný, a to stejně jednoduchou formou, jakou byl udělen.

9. Právo nebýt předmětem automatizovaného rozhodování založeného výhradně na automatizovaném zpracování
Subjekt osobních údajů má právo nebýt předmětem rozhodování, založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt osobních údajů právní účinky.

Automatizované rozhodování

Společnost Družstvo CBA CZ neprovádí automatizované rozhodování.

Profilování

Společnost Družstvo CBA CZ může provádět automatizované zpracování dat ve formě profilování za účelem zefektivnění a případné individualizace nabídky zboží a služeb.

Kontakty na vedení agendy ochrany osobních údajů Družstva CBA CZ

Na níže uvedených kontaktech mohou subjekty osobních údajů realizovat možnost uplatnění svých práv, a to písemnou či elektronickou formou.

Adresa: Družstvo CBA CZ, Průmyslová 3062/5, 787 01 Šumperk

E-mail: gdpr@cba.cz web: www.cba.cz

Právo obrátit se na Úřad pro ochranu osobních údajů

Subjekt údajů má právo podat stížnost a obrátit se na Úřad pro ochranu osobních údajů www.uoou.cz

Účinnost a aktualizace Zásad o ochraně a zpracování osobních údajů

Zásady ochrany a zpracování osobních údajů firmy Družstvo CBA CZ podléhají průběžné aktualizaci, vždy s uvedením pořadového čísla aktualizace a termínu jejího uskutečnění.  

Tyto Zásady ochrany a zpracování osobních údajů firmy Družstvo CBA CZ nabývají účinnosti dnem zveřejnění, tj. 3. 5. 2022.