ZÁSADY OCHRANY A ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zásady ochrany a zpracování osobních údajů Datamix jsou vydány v souladu se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů a s Nařízením Evropského Parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („nařízení“ nebo „GDPR“) za účelem zajištění informační povinnosti správce osobních údajů dle čl. 13 GDPR. Zpracování osobních údajů ve Společnosti musí být prováděno takovým způsobem, aby byla zajištěna co možná nejvyšší míra informovanosti subjektů údajů.

Vymezení pojmů

“Osobním údajem” se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě, přičemž identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

“Subjektem údajů” se rozumí fyzická osoba, jíž se osobní údaje týkají.

“Zpracováním” se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

“Správcem” se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

“Zpracovatelem” se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. Osobním údajem se ve smyslu této směrnice rozumí jakýkoli údaj.

“Omezením zpracování” se pro účely této směrnice rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.

“Evidencí” rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

“Příjemcem” se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují.

“Třetí stranou” se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jenž je oprávněna ke zpracování osobních údajů.

Rozsah zpracování osobních údajů - kategorie osobních údajů

Společností Datamix, jako správcem osobních údajů a v některých případech i jako zpracovatelem, může dojít v souladu se základními principy zpracování osobních údajů (zákonnost, korektnost a transparentnost zpracování, účelové omezení, minimalizace osobních údajů, přesnost a aktuálnost, omezení uložení, integrita a důvěrnost) a za splnění níže uvedených podmínek ke zpracování následujících kategorií osobních údajů.

  1. Identifikační údaje a adresní údaje
    Takovými údaji jsou zejména jméno a příjmení, adresa trvalého pobytu, adresa sídla nebo místa podnikání, název obchodní firmy, datum narození, rodné číslo, IČ, DIČ, fakturační adresa, čísla předložených identifikačních dokladů a jejich kopie (veškeré údaje, které nelze kopírovat, jsou na kopiích dokladů začerněny), bankovní spojení.
  2. Kontaktní údaje
    Takovými údaji jsou zejména kontaktní e-mail, telefonní číslo, korespondenční adresa.
  3. Ostatní údaje
    Jsou to údaje, které subjekt osobních údajů poskytne správci osobních údajů pro stanovené účely na základě právních důvodů zpracování včetně souhlasu i údaje dostupné z regulérně provozovaných registrů.
  4. Provozní údaje
    Jedná se o údaje vznikající při přímé komunikaci mezi Datamix a subjektem údajů, zejména údaje pro potřeby účtování a plnění zákonných povinností Datamix a o údaje zpracovávané pro řešení případných sporů plynoucích z konkrétních kontraktů.
  5. Údaje zpracované na základě souhlasu subjektu údajů
    Jedná se o zpracování osobních údajů, které není nezbytně nutné k plnění smlouvy, zákonných povinností správce či ochranu oprávněných zájmů Datamix. Účelem jejich zpracování, zvláště pak při zpracování na základě Souhlasu pro obchodní účely, je zlepšení, zrychlení a zvýšení kvality vzájemné komunikace a poskytovaných služeb ze strany Datamix. Tyto údaje jsou zpracovány jen v případě udělení souhlasu a mohou být zpracovány jen po dobu platnosti tohoto souhlasu. Udělení souhlasu je kdykoliv odvolatelné.
  6. Cookies
    S případnými analytickými a marketingovými cookies může správce osobních údajů pracovat jen na základě souhlasu subjektu osobních údajů. S nezbytnými funkčními cookies může správce osobních údajů pracovat na základě právních předpisů. Používá-li Datamix při zpracování cookies nástroje poskytované třetími stranami, jejich poskytovatelé jsou v pozici zpracovatelů osobních údajů.
  7. Citlivé údaje
    Správce osobních údajů nezpracovává citlivé osobní údaje (čl. 9 Nařízení), tj. údaje o rasovém a etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech, genetické údaje apod.
  8. Biometrické údaje
    Takovými údaji jsou údaje technického charakteru zpracování fyzických či fyziologických znaků fyzické osoby, které umožňují jedinečnou identifikaci. Případné zpracování biometrických údajů ze strany Datamix se týká podpisu.
  9. Kamerový systém
    Datamix neprovozuje kamerový systém a záznamy z kamerového systému nezpracovává.
  10. Lokační údaje
    GPS ve služebních vozidlech slouží pro účely kontroly dodržování služebních tras služebních vozidel zaměstnanců Datamix.

Zdroje osobních údajů

Osobní údaje poskytuje subjekt osobních údajů správci osobních údajů pro stanovené účely na základě právních důvodů zpracování včetně souhlasu. Zdrojem osobních údajů jsou pro stanovené účely v nezbytné míře i údaje dostupné z regulérně provozovaných registrů, zejména obchodní rejstřík, živnostenský rejstřík, insolvenční rejstřík a centrální evidence exekucí.

Účely a právní důvody zpracování osobních údajů

Od účelu zpracování se odvíjí rozsah zpracovávaných údajů. Pro některé účely je možné zpracovávat údaje přímo na základě smlouvy nebo oprávněného zájmu Datamix či na základě zákona, a to vše bez souhlasu subjektu osobních údajů. Pro jiné účely může dojít ke zpracování osobních údajů pouze na základě souhlasu.

  1. Zpracovávání z důvodu plnění smlouvy, plnění zákonných povinností a z důvodu oprávněných zájmů Datamix
    Poskytnutí osobních údajů nutných pro plnění smlouvy, plnění zákonných povinností Datamix a ochranu oprávněných zájmů Datamix je povinné. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné provádět kontraktaci, poskytovat služby ani řádně plnit zákonné povinnosti. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.

    Jedná se zejména o tyto dílčí účely:

    • plnění účetních a daňových povinností (plnění zákonných povinností),
    • vyúčtování (plnění smlouvy),
    • vymáhání pohledávek a ostatní zákaznické spory (oprávněný zájem),
    • ochrana a správa majetku, zejména vedení evidencí, které je Datamix povinen vést k prokázání daňové uznatelnosti výdajů (oprávněný zájem),
    • ochrana života a zdraví (oprávněný zájem),
    • zajištění důkazů pro případ nutnosti obhajoby práv Datamix (oprávněný zájem),
    • účely stanovené zvláštními zákony pro potřeby přestupkového, správního řízení, trestního řízení apod. a pro naplnění povinnosti součinnosti se státními orgány České republiky včetně Policie České republiky (plnění zákonných povinností).
  2. Zpracovávání údajů Datamix se souhlasem
    Datamix na základě souhlasu subjektu údajů může zpracovávat některé údaje nad rámec nutný k plnění smlouvy a taktéž pro obchodní účely, a to na základě Souhlasu pro obchodní účely, pro vytvoření vhodné nabídky subjektu osobních údajů, pro zlepšení kvality plnění a pro případné zrychlení a zlepšení úrovně vzájemné komunikace.

    Konkrétní forma/formy – např. telefonicky, písemně, prostřednictvím internetové reklamy, formou elektronické komunikace, je v dispozici subjektu osobních údajů, který případný souhlas uděluje. Správce může provádět pro oslovení klientů s vhodnými nabídkami pouze nezbytně nutné zpracování.

    Poskytnutí souhlasu je dobrovolné a kdykoli odvolatelné. Pokud subjekt údajů svůj souhlas odvolá, není tím dotčeno zpracování jeho osobních údajů ze strany Datamix pro jiné účely a na základě jiných právních titulů, v souladu s těmito Zásadami ochrany a zpracování osobních údajů.

    Obchodní sdělení lze cílit jednak na kontakty klientů/stávajících zákazníků z titulu oprávněného zájmu správce osobních údajů, a to jen do doby vyslovení případného nesouhlasu klienta/stávajícího zákazníka, nebo na základě platného souhlasu se zpracováním osobních údajů pro obchodní účely. Obchodní sdělení vždy skýtají možnost odmítnutí přijímání dalších obchodních sdělení.

Doby zpracování osobních údajů

Osobní údaje pro činnosti Datamix jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány, likvidovány v řádných lhůtách.

U klientů Datamix, je společnost Datamix oprávněna v případě, že mají splněny veškeré své závazky vůči ní, zpracovávat v databázi klientů jejich základní identifikační, adresní, kontaktní údaje i ostatní a provozní údaje po dobu 4 let ode dne ukončení poslední smlouvy se společností Datamix.

Jsou-li vystavovány správcem údajů faktury dle zákona o dani z přidané hodnoty, jsou v souladu s § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty archivovány po dobu 10 let od jejich vystavení. Z důvodu nutnosti doložit právní důvod pro vystavení faktur jsou návazně po dobu 10 let ode dne ukončení smlouvy archivovány i příslušné smlouvy.

Režim osobních údajů poskytnutých v rámci jednání, které nevedlo k uzavření smlouvy

V případě jednání mezi společností Datamix a potenciálním zájemcem o uzavření smlouvy, které nebylo zakončeno uzavřením smlouvy, je společnost Datamix oprávněna zpracovávat poskytnuté osobní údaje po dobu 3 měsíců od ukončení příslušného jednání.

Ostatní příjemci osobních údajů

Společnost Datamix při plnění svých závazků a povinností využívá odborné služby jiných subjektů. Pokud tito zpracovávají osobní údaje předané od společnosti Datamix, mají postavení zpracovatelů osobních údajů. Zpracovávají osobní údaje pouze v rámci pokynů udělených společností Datamix. Může jít zejména o činnost účetního, daňového poradce, auditora, advokáta, správce IT systému apod. Se všemi takovými subjekty uzavírá Datamix smlouvu o zpracování osobních údajů, ve které má zpracovatel stanoveny povinnosti k ochraně a zabezpečení osobních údajů, odpovídající evropskému standardu.

Pro realizaci své činnosti využívá společnost Datamix spolupráci s externími partnery, kteří mohou být v postavení správce osobních údajů nebo/i zpracovatele osobních údajů. Těmto subjektům může společnost Datamix předávat osobní údaje pouze v nezbytně nutném rozsahu, určeném účelem dané agendy a po předchozím prověření zajištění ochrany osobních údajů na úrovni evropských standardů ze strany těchto subjektů.

Společnost Datamix v rámci plnění svých zákonných povinností předává osobní údaje správním orgánům a úřadům stanoveným platnou legislativou.

Kategorie zpracovatelů, správců a dalších příjemců osobních údajů

Společnost Datamix vede aktuální seznam jednotlivých kategorií zpracovatelů, správců a dalších příjemců osobních údajů, u kterých může dojít ke zpracování osobních údajů subjektů údajů. Může se jednat zejména o poskytovatele účetních, daňových, finančních a právních služeb a poradenství, IT služeb, servisních a technických služeb, poštovních služeb, případné zplnomocněné subjekty a orgány státní správy.

Předávání osobních údajů

Písemnosti a jiné listiny obsahující osobní údaje subjektů osobních údajů mohou být předávány pouze schváleným externím zpracovatelům, orgánům státní správy a jiným schváleným správcům, a to pouze za podmínek uvedených v těchto Zásadách ochrany a zpracování osobních údajů.

Předávání osobních údajů do jiných států v rámci EU

Společnost Datamix nepředává osobní údaje do další země v rámci EU.

Předávání osobních údajů do třetích zemí

Společnost Datamix nepředává osobní údaje do třetí země ani mezinárodní organizaci mimo rámec EU.

Způsoby zpracování osobních údajů

Datamix zpracovává osobní údaje manuálním způsobem i automatizovaně a vede řádnou evidenci takových činností, při kterých dochází ke zpracování osobních údajů.

Informace o právech subjektů údajů

Datamix dbá na plnění informačních povinností vůči subjektům údajů. Zejména dbá na plnění informační povinnosti vůči subjektům dle článku 12, 13 a 14 Nařízení. Agendu plnění informační povinnosti vůči subjektům údajů má na starosti odpovědná osoba.

  1. Právo na přístup k osobním údajům
    Dle čl. 15 GDPR má subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od společnosti Datamix potvrzení o zpracování osobních údajů, právo na informace o účelech zpracování, kategoriích osobních údajů, jež jsou zpracovávány. Dále pak o příjemcích, kterým jsou osobní údaje zpřístupňovány a o době zpracování. Dále má subjekt údajů právo požadovat od správce opravu nebo výmaz osobních údajů, týkajících se subjektu údajů, nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování. Může si vyžádat kopii osobních údajů, přičemž v případě opakované žádosti bude společnost Datamix oprávněna za kopii osobních údajů účtovat přiměřený poplatek.
  2. Právo na opravu nepřesných údajů
    Dle čl. 16 GDPR má subjekt údajů právo na opravu nepřesných osobních údajů, resp. na doplnění neúplných osobních údajů, které o něm společnost Datamix zpracovává. Subjekt údajů má vůči správci údajů adekvátní povinnost oznamovat změnu svých osobních údajů a doložit, že k takové změně došlo.
  3. Právo na výmaz
    Dle čl. 17 GDPR má subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud společnost Datamix neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Společnost Datamix má nastaveny mechanismy pro výmaz osobních údajů, kdy pominul účel, jež určoval rozsah a parametry zpracování osobních údajů.
  4. Právo na omezení zpracování
    Dle čl. 18 GDPR má subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.
  5. Právo na oznámení opravy, výmazu nebo omezení zpracování
    Subjekt údajů má také dle čl. 19 GDPR právo na oznámení ze strany společnosti Datamix v případě opravy, výmazu nebo omezení zpracování osobních údajů.
  6. Právo na přenositelnost osobních údajů
    Čl. 20 GDPR přiznává subjektu údajů právo na přenositelnost údajů, které se ho týkají a které poskytl správci, a to ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat Datamix o předání těchto údajů jinému správci. Žádosti nelze vyhovět, pokud by v konkrétním případě mohlo dojít k negativnímu dotčení práv a svobod třetích subjektů.
  7. Právo vznést námitku proti zpracování osobních údajů
    Dle čl. 21 GDPR má subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu společnosti Datamix. Je na společnosti Datamix, aby prokázala existenci oprávněného důvodu pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů. V opačném případě společnost Datamix zpracování na základě námitky ukončí bez zbytečného odkladu.
  8. Právo na odvolání souhlasu se zpracováním osobních údajů
    Souhlas se zpracováním osobních údajů je kdykoli odvolatelný, a to stejně jednoduchou formou, jakou byl udělen.
  9. Právo nebýt předmětem automatizovaného rozhodování založeného výhradně na automatizovaném zpracování
    Subjekt osobních údajů má právo nebýt předmětem rozhodování, založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt osobních údajů právní účinky.

Automatizované rozhodování

Datamix neprovádí automatizované rozhodování.

Profilování

Datamix neprovádí žádné profilování, jehož předmětem by byly citlivé osobní údaje nebo na základě kterého by prováděla automatizované rozhodování.

Kontakty na vedení agendy ochrany osobních údajů

Odpovědná osoba je povinna skrze níže uvedené kontakty vyřizovat žádosti subjektů osobních údajů týkající se zpracování osobních údajů. Zejména je odpovědná osoba povinna vyřizovat žádosti subjektů údajů o poskytnutí informací (dle článku 12-14 Nařízení), žádosti na přístup k osobním údajům (dle článku 15 Nařízení), žádosti na opravu a výmaz (dle článku 16 a 17 Nařízení), žádosti na omezení zpracování (dle článku 18 Nařízení) a žádosti na přenositelnost osobních údajů (dle článku 20 Nařízení).

Na níže uvedených kontaktech mohou subjekty osobních údajů realizovat možnost uplatnění svých práv, a to písemnou či elektronickou formou.

Adresa: Dolní Hejčínská 47/25, 779 00 Olomouc
E-mailová adresa: datamix@datamix.eu

Právo obrátit se na Úřad pro ochranu osobních údajů

Subjekt údajů má právo podat stížnost a obrátit se na Úřad pro ochranu osobních údajů: www.uoou.cz

Účinnost a aktualizace Zásad o ochraně a zpracování osobních údajů

Zásady ochrany a zpracování osobních údajů firmy Datamix podléhají průběžné aktualizaci.

Tyto Zásady ochrany a zpracování osobních údajů firmy Datamix nabývají účinnosti dnem zveřejnění, tj. 08. 11. 2022