PODMÍNKY OCHRANY OSOBNÍCH ÚDAJŮ
1/3
PODMÍNKY OCHRANY OSOBNÍCH ÚDAJŮ
1. Úvodní ustanovení
1.1 Společnost ČD - Telematika a.s., IČO: 61459445, se sídlem Pernerova 2819/2a, 130 00 Praha 3, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 8938 (dále též jen „ČD - Telematika“) zpracovává při poskytování svých služeb osobní údaje svých zákazníků, obchodních partnerů a spolupracovníků, skutečných či potenciálních. Stejně tak jsou zpracovávány osobní údaje návštěvníků areálu a poboček společnosti
1.2 ČD - Telematika zpracovává osobní údaje v souladu s právem Evropské unie, zejména tedy s nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení GDPR“), a dále v souladu s relevantními vnitrostátními právními předpisy.
1.3 Tyto Podmínky ochrany osobních údajů společnosti ČD - Telematika a.s. (dále jen „Podmínky ochrany OÚ“) popisují pravidla ochrany osobních údajů při poskytování služeb, tj. jak ČD - Telematika s osobními údaji nakládá a jak jsou zpracovávané osobní údaje chráněny.
2. Vymezení základních pojmů
• osobní údaj - jakákoliv informace týkající se určeného nebo určitelného subjektu údajů ve smyslu čl. 4 odst. 1 Nařízení GDPR; subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů identifikovat přímo nebo nepřímo (tj. pomocí dalších údajů, které má správce k dispozici);
• subjekt údajů - fyzická osoba, k níž se osobní údaje vztahují (zejména účastník a uživatel);
• správce - subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj
• zpracovatel - subjekt, který na základě zvláštního zákona nebo pověření správce zpracovává osobní údaje pro správce, dle jeho pokynů;
• zpracování osobních údajů - jakákoliv operace či soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky;
• služba - služba anebo jakékoliv jiné smluvní plnění, které ČD - Telematika poskytuje účastníkovi/uživateli na základě smlouvy. Zejména se může jednat o službu elektronických komunikací, službu ICT, telehousing, nájem, dílo, služebnost, koupi, atd.;
• smlouva - vždy souhrn všech smluvních ujednání mezi společností ČD - Telematika a účastníkem/uživatelem, které se týkají poskytování služby;
• účastník - každý, kdo uzavřel se společností ČD - Telematika smlouvu na poskytování služby;
• uživatel - každý, kdo využívá službu.
3. Ochrana osobních údajů
3.1. ČD - Telematika je při splnění zákonných podmínek, zejména Nařízení GDPR, zákona č. 127/2005 Sb., o elektronických komunikacích, ve znění pozdějších předpisů (dále jen „ZoEK“), zákona č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů, a prováděcích předpisů, oprávněna uchovávat, užívat či jinak zpracovávat osobní údaje účastníka, uživatele a dalších osob.
3.2. ČD - Telematika může být při zpracování osobních údajů vůči účastníkovi, uživateli a dalším osobám jak v postavení správce, tak v postavení zpracovatele.
4. ČD - Telematika jako správce
4.1. ČD - Telematika zpracovává osobni údaje v postavení správce osobních údajů ve smyslu čl. 4 odst. 7 Nařízení GDPR při poskytováni služeb v těch případech, kdy zpracovává údaje o účastnících, uživatelích a obchodních partnerech a o poskytnutých službách a kdy sama určuje, jaké údaje bude k jakým účelům a jakým způsobem zpracovávat, aby splnila všechny své smluvní a právní povinnosti a poskytovala co nejlepší služby. ČD - Telematika vystupuje jako správce zejména při poskytování služeb (např. smlouvy o poskytování služeb elektronických komunikací, smlouvy o dílo, smlouvy o realizaci přeložky kabelových sítí, smlouvy o zřízení služebnosti, kupní smlouvy, nájemní smlouvy, apod.).
4.2. ČD - Telematika jako správce zpracovává osobní údaje v souladu se Zásadami zpracování osobních údajů, které jsou
Chceme být první volbou pro služby komunikační infrastruktury a řešení dopravní telematiky | xxx.xxx.xx
v aktuálním znění dostupné na internetových stránkách společnosti ČD - Telematika: xxx.xxx.xx/xxxxxxx-xx-xxxxxxx (dále jen „Zásady“).
4.3. V Zásadách jsou uvedeny zejména informace o tom:
- že ČD - Telematika zpracovává poskytnuté osobní údaje manuálně i automaticky, prostřednictvím svých zaměstnanců či zákonných zástupců i prostřednictvím dalších zpracovatelů (třetích osob),
- že ČD - Telematika je oprávněna osobní údaje zpracovávat po nezbytně nutnou dobu a jaká jsou kritéria pro určení této doby,
- pro jaké účely a na základě jakých zákonných titulů ČD - Telematika osobní údaje zpracovává, aby bylo zpracování legální a legitimní,
- jaká práva účastníkovi/uživateli Nařízení přiznává a jak je lze vůči společnosti ČD - Telematika uplatnit.
4.4. Pro účely efektivní komunikace s účastníkem a případně pro účely plněni smlouvy či zákonných povinností ČD - Telematika v nezbytném rozsahu shromažďuje a zpracovává osobní údaje kontaktních osob účastníka a/nebo jiných subjektů údajů uvedených ve smlouvě (např. uživatelů, kteří jsou fyzickými osobami) či se jinak podílejících na plnění smlouvy. Účastník se zavazuje tyto subjekty údajů o zpracování informovat a předat jim informace dostupné v Zásadách.
4.5. Pro účely § 95 ZoEK ČD - Telematika prohlašuje, že neshromažďuje osobní údaje pro vydání seznamu účastníků, jehož účelem je vyhledávání podrobného kontaktu o osobě účastníka.
4.6. Předchozí ustanovení tohoto článku Podmínek ochrany OÚ se na účastníka či další osobu, kteří jsou právnickou osobou, uplatní jen v tom rozsahu, který odpovídá povaze právnické osoby.
5. ČD - Telematika jako zpracovatel
5.1. ČD - Telematika je vůči účastníkovi v postavení zpracovatele při poskytování takových služeb, jejichž podstatou je provádění jednotlivých činností zpracování osobních údajů ČD - Telematikou pro účastníka (tj. s jejichž pomocí účastník jako správce na svou vlastní odpovědnost zpracovává osobní údaje svých zaměstnanců, zákazníků, obchodních partnerů nebo jiných osob). ČD - Telematika vystupuje jako zpracovatel zejména při poskytování služeb ICT.
5.2. Účastník je povinen uzavřít s ČD - Telematikou smlouvu o zpracování ve smyslu ustanovení čl. 28 Nařízení GDPR za účelem zajištění náležité úrovně ochrany osobních údajů, které ČD - Telematika pro účastníka při poskytování služeb zpracovává. Následující ustanovení čl. 5. těchto Podmínek ochrany OÚ jsou zpracovatelskou smlouvou ve smyslu čl. 28 Nařízení GDPR, ledaže byla mezi společností ČD - Telematika a účastníkem sjednána jiná smlouva či dohoda, jejímž předmětem je úprava vzájemných práv a povinností smluvních stran při zpracování osobních údajů ve smyslu čl. 28 Nařízení GDPR. V takovém případě se ustanovení čl. 5. odst. 5.3 a násl. neaplikují ani subsidiárně.
5.3. Uzavřením smlouvy účastník pověřuje ČD - Telematiku zpracováním osobních údajů, aby zpracovávala veškeré osobní údaje, které jí účastník a/nebo uživatel v souvislosti s příslušnými službami poskytne (dále jen „Poskytnuté Údaje“). Účastník prohlašuje, že je oprávněn předat osobni údaje ČD - Telematice ke zpracovávání, zejména osobní údaje uživatele nebo osobní údaje plynoucí z plnění smlouvy. ČD - Telematika bude Poskytnuté Údaje zpracovávat v souladu s Nařízením GDPR a za účelem poskytování a zkvalitňování služeb účastníkovi.
5.4. Rozsah zpracovávaných Poskytnutých Údajů, způsob, účel a povahu zpracování a kategorie dotčených subjektů údajů jsou specifikovány ve smlouvě a odpovídají povaze poskytované služby. ČD - Telematika bude pro účastníka zpracovávat osobní údaje pro celou dobu, po kterou je mu dle smlouvy poskytována služba.
5.5. ČD - Telematika se zavazuje zpracovávat Poskytnuté údaje dle doložených pokynů účastníka, v rozsahu a v souladu s účelem, k němuž mají být Poskytnuté Údaje zpracovávány, pokud jí toto zpracování již neukládá právní předpis, který se na ni vztahuje. O takovém právním požadavku je ČD - Telematika povinna účastníka informovat, ledaže by právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu. Uvedené platí i na předání osobních údajů do třetí země nebo mezinárodní organizaci.
5.6. Pro vyloučení pochybností se zpracování osobních údajů v souladu s povinnostmi ČD - Telematiky sjednanými ve smlouvě a se specifikací služby považuje za zpracování v souladu s pokyny účastníka, uživatele či jiných účastníkem k tomu pověřených osob.
5.7. ČD - Telematika se zavazuje upozornit účastníka neprodleně na nevhodnou povahu pokynů týkajících se zpracování
Chceme být první volbou pro služby komunikační infrastruktury a řešení dopravní telematiky | xxx.xxx.xx
Poskytnutých Údajů, zejména tehdy, pokud by provedení takového pokynu vedlo k porušení Nařízení GDPR nebo jiného právního předpisu, to však jen za podmínky, že ČD - Telematika mohla při vynaložení veškeré odborné péče tuto nevhodnost zjistit. V takovém případě je ČD - Telematika povinna pokyny účastníka provést pouze na základě jeho písemného požadavku.
5.8. ČD - Telematika se zavazuje zajistit, aby se osoby oprávněné zpracovávat Poskytnuté Údaje zavázaly k povinnosti mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti. Povinnost mlčenlivosti ČD - Telematiky a osob oprávněných zpracovávat Poskytnuté Údaje trvá i po ukončení účinnosti smlouvy.
5.9. ČD - Telematika se zavazuje přijmout přiměřená opatření k zabezpečení osobních údajů dle čl. 32 Nařízení GDPR.
5.10. ČD - Telematika zavedla a udržuje přiměřená technická a organizační opatření pro ochranu osobních údajů, včetně Poskytnutých Údajů, aby nedošlo k neoprávněnému nebo nahodilému přístupu k Poskytnutým Údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům nebo jinému jejich neoprávněnému zpracování či zneužití.
5.11. ČD - Telematika se zavazuje poskytnout účastníkovi na základě jeho žádosti součinnost při zajišťování souladu s povinnostmi účastníka dle čl. 32 až 36 Nařízení GDPR a být mu nápomocna, a to při zohlednění povahy zpracování a informací, jež má ČD - Telematika jako zpracovatel k dispozici.
5.12. ČD - Telematika se zavazuje na základě žádosti účastníka být účastníkovi nápomocna prostřednictvím vhodných technických a organizačních opatření při plnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů stanovených v čl. 12 až 22 Nařízení GDPR, a to pokud je to možné a při zohlednění povahy služby a zpracování.
5.13. ČD - Telematika se zavazuje na základě žádosti účastníka poskytnout účastníkovi jako správci informace potřebné k doložení toho, že byly splněny povinnosti stanovené čl. 28 Nařízení GDPR.
5.14. ČD - Telematika prohlašuje, že získala bezpečnostní certifikáty, které jsou uvedeny na jejích internetových stránkách: xxx.xxx.xx. ČD - Telematika se zavazuje veškeré bezpečnostní procesy a jiné závazky dle těchto certifikátů dodržovat. ČD - Telematika se též zavazuje udržovat veškeré procesy aktuální a pravidelně procházet recertifikačním auditem.
5.15. ČD - Telematika se zavazuje na základě písemné žádosti účastníka a po předchozí domluvě s ČD - Telematikou, ne však častěji než 1 x za kalendářní rok, umožnit účastníkovi provést audit či inspekci prováděnou účastníkem nebo jiným auditorem, kterého účastník pověřil, k ověření plnění povinností ČD - Telematiky jako zpracovatele dle čl. 28 Nařízení GDPR ve vztahu ke zpracování Poskytnutých Údajů předaných ČD - Telematice účastníkem. Náklady auditu nese účastník. Provedením auditu či inspekce nesmí být ovlivněna činnost a oprávněné zájmy ČD - Telematiky, bezpečnost ČD - Telematikou zpracovávaných dat, obchodní tajemství a důvěrné informace o činnostech a službách ČD - Telematiky ani nesmí dojít k neoprávněnému zásahu do práv třetích osob. ČD - Telematika je oprávněna podmínit provedení auditu anebo inspekce uzavřením dohody o mlčenlivosti.
5.16. Účastník uzavřením smlouvy, není-li v ní sjednáno něco jiného, uděluje ČD - Telematice obecné povolení se zapojením jednoho nebo více dalších zpracovatelů, aby pro ČD - Telematiku provedli určité činnosti zpracování, a to z důvodu plnění smlouvy. ČD - Telematika se zavazuje uložit dalšímu zpracovateli smluvně stejné povinnosti na ochranu osobních údajů, jaké jsou uvedeny v této zpracovatelské smlouvě, a to zejména poskytnutí dostatečných záruk stran zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení GDPR či jiných právních předpisů.
5.17. V případě, že ČD - Telematika zjistí, že došlo k porušení zabezpečení Poskytnutých Údajů, ohlásí tuto skutečnost bez zbytečného odkladu účastníkovi.
5.18. ČD - Telematika se zavazuje (a účastník je s tímto srozuměn) zcela vymazat veškeré Poskytnuté Údaje neprodleně po ukončení poskytování služeb spojených se zpracováním a vymazat existující kopie, pokud právní předpisy neukládají jinou povinnost anebo pokud jejich další uchování není nezbytné pro výkon nebo obhajobu právních nároků společnosti ČD - Telematika.
6. Závěrečná ustanovení
6.1 Tyto Podmínky ochrany OÚ nabývají účinnosti dne 25. května 2018.
6.2 Tyto Podmínky ochrany OÚ mohou být průběžně doplňovány a aktualizovány. Aktuální znění Podmínek ochrany OÚ bude vždy zveřejněno na internetových stránkách společnosti ČD - Telematika dostupných na adrese: xxx.xxx.xx/xxxxxxx-xx-xxxxxxx