SMĚRNICE

1. BUBBLES Czech s.r.o., IČO: 076 28 498, se sídlem: ŠrKarolinská 661/4, 186 00 Praha 8 (dále též jen „BUBBLES“), je obchodní společnost zabývající se převážně provozováním veřejných automatických prádelen, tedy praním a sušením prádla v automatických samoobslužných provozech pro předem neurčený okruh zákazníků. Celkový počet zaměstnanců nepřesahuje 250 osob a spadá tedy do kategorie malých a středních podniků.

2. Účelem této směrnice je zpracování základních vnitropodnikových pravidel pro nakládání s osobními údaji fyzických osob a jejich ochranou, a to zejména zákazníků, zaměstnanců, a obchodních partnerů, v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/697, tzv. GDPR. Tato směrnice je zpracována s přihlédnutím ke specifické situaci BUBBLES, jako malého podniku a zejména s přihlédnutím k postupům při získávání osobních údajů fyzických osob.

3. Odchýlit se od této směrnice lze pouze v zájmu přísnější ochrany osobních údajů na základě právních předpisů nebo na základě rozhodnutí příslušného správního orgánu.

Článek 2.‌

Rozsah působnosti

Tato směrnice je závazná pro všechny pracovníky i členy statutárních orgánů XXXXXXX s přihlédnutím ke konkrétně vykonávané práci (činnosti). Vedoucí zaměstnanci jsou povinni v jednotlivých případech činit samostatná opatření k ochraně osobních údajů, a to i ve vztahu ke třetím osobám – zejména příjemcům služeb a obchodním partnerům, včetně jejich pracovníků.

ČÁST II. ZÁKLADNÍ POJMY GDPR ‌

1. Osobní údaje

informace o identifikaci určité fyzické osoby (též subjektu údajů). Fyzickou osobu lze přímo či nepřímo identifikovat zejména odkazem např. na jméno, datum narození, identifikační číslo, údaje o místu pobytu/podnikání, síťový identifikátor (e-mailová adresa, IP adresa) nebo odkazem na zvláštní fyzické, fyziologické, genetické, kulturní nebo ekonomické znaky fyzické osoby.

Za osobní údaje se pro účely této směrnice rozumí i osobní údaje pracovníků a statutárních orgánů právnických osob a dalších organizací.

2. Zpracování osobní údajů -

jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných (počítačových) postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

3. Omezení zpracování osobních údajů -

označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.

4. Profilování osobních údajů -

jakékoliv automatizované (počítačové) zpracování osobních údajů pro jejich použití k hodnocení některých charakteristických rysů fyzické osoby. Zejména k rozboru nebo odhadu rysů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, preferencí, zájmů, spolehlivosti, chování, místa pobytu nebo pohybu.

5. Pseudonymizace osobních údajů -

zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací. Pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny určité fyzické osobě.

6. Evidencí osobních údajů -

jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle určitých hledisek.

7. Správcem osobních údajů -

fyzická nebo právnická osoba (ale také orgán veřejné moci nebo jiný subjekt), který sám nebo společně s jinými určuje účely, pro které jsou osobní údaje zpracovávány a prostředky zpracování osobních údajů. Pro účely této směrnice se správcem rozumí zejména BUBBLES.

8. Zpracovatelem osobních údajů

fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který přímo provádí zpracovávání osobních údajů pro správce. Pro účely této směrnice se zpracovatelem rozumí zejména BUBBLES, ale může jím být i externí dodavatel služeb (např. externí účetní), na základě samostatné smlouvy.

9. Příjemcem osobních údajů -

fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, kterému jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli.

10. Třetí strana -

fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů (identifikovanou fyzickou osobou), správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je na základě nějaké skutečnosti oprávněna ke zpracování osobních údajů.

11. Souhlas fyzické osoby – subjektu údajů

jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým fyzická osoba dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

12. Porušení zabezpečení osobních údajů -

je porušení zabezpečení, které vede k náhodnému nebo neoprávněnému (protiprávnímu) zničení, ztrátě, změně, poskytnutí nebo zpřístupnění osobních údajů, a to uložených, přenášených nebo jinak zpracovávaných.

13. Biometrické osobní údaje -

osobní údaje vyplývající z technického zpracování, týkajícího se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci – zejména obrazový záznam.

14. Údaje o zdravotním stavu -

osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu. Pro účely této směrnice se takovýmito údaji rozumí zejména údaje o zdravotním stavu zaměstnanců (pracovníků) z hlediska jejich schopnosti vykonávat práci.

15. Provozovna -

jednotlivé prostory, v nichž jsou poskytovány služby společností BUBBLES.

16. Podnik -

jakákoli fyzická nebo právnická osoba, vykonávající hospodářskou činnost, bez ohledu na její právní formu, včetně osobních společností nebo sdružení.

17. Zaměstnanec nebo Pracovník -

pracovník provádějící pro BUBBLES práci na základě pracovněprávního vztahu, tedy na základě pracovní smlouvy, dohody o provedení práce nebo dohody o pracovní činnosti, popřípadě i osoba, provádějící na základě samostatné smlouvy činnost provozního charakteru.

18. Vedoucí zaměstnanec -

zaměstnanec nebo pracovník, kterému je na základě pověření BUBBLES, jako zaměstnavatele, podřízen nejméně jeden další zaměstnanec (pracovník), popřípadě osoba, provádějící na základě samostatné smlouvy činnost zabezpečující provoz provozoven.

19. Nařízením nebo GDPR

Nařízení Evropského parlamentu a Rady (EU) 2016/697.

Část III.‌

ZÁKLADNÍ ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Článek 1.

Zásady získávání osobních údajů

Osobní údaje fyzických osob získává společnost BUBBLES těmito způsoby:

a) od svých pracovníků (zaměstnanci, osoby na DPP nebo DPČ) v souvislosti s jejich pracovně právním vztahem;

b) od obchodních partnerů na základě jimi sdělených údajů;

c) od uchazečů o zaměstnání na základě uchazečem sdělených údajů,

d) od svých zákazníků, na základě jimi sdělených informací po náležitém poučení,

e) z veřejných zdrojů – zejm. reklama subjektu údajů na internetu,

f) z kamerových záznamů.

Článek 2.

Zásady zpracování osobních údajů

1. Osobní údaje musí být zpracovávány vždy korektně, zákonným a transparentním způsobem. Tedy zejména:

- veškeré zpracovávané osobní údaje musí být prověřeny z hlediska jejich pravdivosti.

- zpracování osobních údajů lze provádět pouze v mezích zákona - v těch případech a za tím účelem, který je v souladu se zákonem.

- je nezbytné vždy prokázat, jaké konkrétní údaje jsou zpracovávány a za jakým účelem.

2. Osobní údaje mohou být shromažďovány pouze pro určité výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.

3. Zpracovávat lze osobní údaje pouze relevantní, v přiměřeném a omezeném rozsahu nezbytném pro daný účel zpracování.

4. Při zpracování osobních údajů je nutno dbát na jejich přesnost a v případě potřeby tyto osobní údaje aktualizovat. Osobní údaje, které jsou nepřesné s přihlédnutím k účelu zpracování je nutno bezodkladně aktualizovat, případně vymazat. Zejména v případě změny kontaktních údajů obchodních partnerů je nutno zajistit aktuální údaje.

5. Osobní údaje nesmí být uloženy po dobu delší, než je nezbytně nutné pro účely, pro které byly získány. Osobní údaje, týkající se zákazníků, se zpravidla neuchovávají po dobu delší 3 let ode dne jejich posledního použití. Osobní údaje zaměstnanců se uchovávají po dobu nejméně 30 let s ohledem na právní předpisy, týkající se pracovně právních vztahů.

6. Všichni pracovníci i členové statutárních orgánů BUBBLES jsou povinni dbát náležité ochrany osobních údajů, zejména z hlediska jejich zabezpečení a ochrany pomocí technických a organizačních opatření. Jakékoliv porušení zabezpečení osobních údajů je každý pracovník povinen hlásit svému vedoucímu pracovníkovi nebo přímo jednateli BUBBLES.

Článek 3.

Zákonnost (oprávněnost) zpracování osobních údajů

Zpracování osobních údajů ze strany BUBBLES, popřípadě jí pověřené osoby, je oprávněné a tedy přípustné pouze v těchto případech:

a) fyzická osoba (subjekt údajů) udělila pro konkrétní zpracování výslovný a ničím nepodmíněný souhlas;

b) zpracování osobních údajů je nezbytné pro plnění ze smluvního vztahu, zejména při provozu v provozovnách;

c) zpracování osobních údajů je nezbytné pro plnění povinností BUBBLES, které mu ukládá právní předpis. Zejména (nikoliv však pouze) plnění povinností vůči správci daní, plnění zákonných povinností z pracovněprávních vztahů a další;

d) zpracování osobních údajů je nezbytné pro ochranu životně důležitých zájmů fyzické osoby (subjektu těchto osobních údajů) nebo jiné fyzické osoby, případně právnické osoby. Zejména v případě ohrožení života, zdraví nebo v případě rizika vážné hmotné újmy;

e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu;

f) zpracování je nezbytné pro účely oprávněných zájmů správce osobních údajů (BUBBLES) či třetí strany (obchodní partner nebo zákazník BUBBLES), kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů, vyžadující ochranu osobních údajů (zejména pokud by se jednalo o dítě). Za takovýto oprávněný zájem je s ohledem na činnosti BUBBLES považováno zejména monitorování provozoven, včetně pořizování obrazových záznamů.

Článek 4.

Pověřenec pro ochranu osobních údajů a záznamy o zpracování

1. Vzhledem k okolnosti, že

a) BUBBLES není orgánem veřejné moci ani veřejným subjektem

b) hlavní činnosti BUBBLES nespočívají v operacích zpracování osobních údajů, které vyžadují rozsáhlé pravidelné a systematické monitorování fyzických osob,

c) hlavní činnost BUBBLES nespočívá v rozsáhlém zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů, není ustanoven pověřenec pro ochranu osobních údajů. Za ochranu osobních údajů

odpovídají jednatelé a jimi pověření zaměstnanci, případně smluvní partneři.

2. Vzhledem k okolnosti, že BUBBLES je malým podnikem mající méně než 250 zaměstnanců, zpracování osobních údajů nepředstavuje rizika pro práva a svobody subjektů údajů a zpracování je příležitostné, využívá BUBBLES výjimky dané článkem 30 odst. 5. Nařízení a nevede zpravidla záznamy o činnosti zpracování.

Článek 5.‌

Podmínky zpracování zvláštních kategorií osobních údajů a výjimky

1. Je zakázané zpracování jakýchkoliv osobních údajů, které jakkoliv vypovídají o rasovém či etnickém původu, politických názorech, náboženském či filozofickém přesvědčení, členství v odborech, jakož i zpracování genetických údajů a biometrických údajů za účelem jedinečné identifikace fyzické osoby a dále údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci.

2. Výše uvedený zákaz zpracování má výjimky v těchto případech:

a) subjekt údajů udělil výslovný písemný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právní předpis stanoví, že uvedený souhlas nemůže být fyzickou osobou (subjektem údajů) udělen – nemůže být udělen souhlas pro daný případ (např. souhlas s evidencí členství v odborech);

b) zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo fyzické osoby v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je zpracování současně povoleno (nebo nařízeno) právním předpisem;

c) zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů (té dané fyzické osoby) nebo jiné fyzické osoby, v případě, že subjekt údajů (daná fyzická osoba) není fyzicky nebo právně způsobilý udělit souhlas;

d) zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů (např. fotografie z facebooku);

e) zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků nebo pokud jsou takovéto údaje oprávněně vyžádány soudem, orgánem činným v trestním řízení nebo správním orgánem;

f) zpracování je nezbytné z důvodu významného veřejného zájmu na základě právního předpisu, přičemž provádění zpracování osobních údajů poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů (dané fyzické osoby);

g) zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky na základě právního předpisu,

h) zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami, na základě právních předpisů.

Část IV.‌

INFORMAČNÍ POVINNOST VŮČI FYZICKÉ OSOBĚ A JEJÍ PRÁVA

Článek 1.‌

Základní ustanovení

1. BUBBLES poskytuje subjektům údajů (fyzickým osobám) obecné informace o zpracování jejich osobních údajů, popřípadě informaci, že jejich osobní údaje nezpracovává.

2. BUBBLES přijímá průběžně vhodná opatření, aby poskytla subjektu údajů (fyzickým osobám) stručným, transparentním, srozumitelným a snadno přístupným způsobem, za použití jasných a jednoduchých jazykových prostředků veškeré informace subjektu údajů (fyzické osobě) o jeho právech.

3. Informace o shromážděných a zpracovávaných osobních údajích konkrétní fyzické osoby mohou být poskytovány pouze této fyzické osobě, jejímu nepochybnému zmocněnci, popřípadě jiné osobě na vyžádání, pokud je takováto žádost oprávněná, dle zvláštního právního předpisu (např. Policie ČR, správní orgán, soud).

Článek 2.

Informace poskytované fyzické osobě při získání jejích osobních údajů od ní

1. V případě, že BUBBLES získává osobní údaje přímo od fyzické osoby (subjektu údajů), poskytne jí bezodkladně základní a nezbytné informace o oprávněnosti získání osobních údajů (důvod pro získání osobních údajů) a rozsahu takto získaných osobních údajů.

2. BUBBLES poskytuje všem zákazníkům, pracovníkům i potenciálním uchazečům o zaměstnání informace o tom, jaké osobní údaje a za jakým účelem zpracovává a bude zpracovávat.

3. BUBBLES má tyto základní informační povinnosti při získávání osobních údajů od fyzických osob (od subjektu údajů):

a) totožnost a kontaktní údaje správce. Xxxx XXXXXXX Czech s.r.o., IČO: 076 28 498, se sídlem: Karolinská 661/4, 186 00 Praha 8, telefonní, e-mailová spojení, odkaz na www stránky;

b) účely pro které jsou osobní údaje zpracovávány a právní důvod zpracování. V případě obchodních partnerů probíhá zpracování za účelem plnění ze smlouvy – objednání a poskytnutí a zaplacení služeb. V případě pracovníků (zaměstnanců), za účelem plnění povinností BUBBLES jako zaměstnavatele. V případě monitorování provozoven je právním důvodem zpracování ochrana majetku BUBBLES v provozovnách;

c) další oprávněné zájmy BUBBLES ke zpracování osobních údajů (např. za marketingovými účely u obchodních partnerů);

d) případné sdělení, že osobní údaje budou předány třetí straně.

4. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování osobních údajů, poskytne BUBBLES při získávání osobních údajů od fyzických osob (od subjektu údajů) tyto další informace:

a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

c) pokud je zpracování osobních údajů založeno na souhlasu subjektu údajů, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost dosavadního zpracování (před odvoláním souhlasu);

d) existence práva podat stížnost na zpracování osobních údajů u ÚOOÚ (Úřad na ochranu osobních údajů);

e) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;

f) skutečnost, že dochází k automatizovanému rozhodování o použití osobních údajů.

Článek 3.

Informace poskytované fyzické osobě v případě, že její osobní údaje nebyly získány od ní ‌

1. BUBBLES má tyto základní informační povinnosti vůči fyzické osobě, pokud osobní údaje nebyly získány od fyzické osoby (např. z veřejných zdrojů), a to v tomto rozsahu:

a) totožnost a kontaktní údaje správce. Xxxx XXXXXXX Czech s.r.o., IČO: 076 28 498, se sídlem: Karolinská 661/4, 186 00 Praha 8, telefonní, e-mailová spojení, odkaz na www stránky;

b) účely pro které jsou osobní údaje zpracovávány a právní důvod zpracování.

c) kategorie dotčených osobních údajů;

d) další oprávněné zájmy BUBBLES ke zpracování osobních údajů;

e) případné sdělení, že osobní údaje budou předány třetí straně.

2. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování osobních údajů, poskytne BUBBLES tyto další informace:

a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;

b) na základě kterých svých oprávněných zájmů zpracovává správce osobní údaje;

c) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;

d) pokud je zpracování osobních údajů založeno na souhlasu subjektu údajů, daného třetí osobě, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost dosavadního zpracování (před odvoláním souhlasu);

e) existence práva podat stížnost na zpracování osobních údajů u ÚOOÚ (Úřad na ochranu osobních údajů);

f) uvedení zdroje, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;

g) skutečnost, že dochází k automatizovanému rozhodování o použití osobních údajů.

3. BUBBLES poskytne výše uvedené informace nejdéle do jednoho měsíce po získání osobních údajů, nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace.

ČÁST V.‌

PRÁVA SUBJEKTU ÚDAJŮ

Článek 1.

Právo fyzické osoby na přístup ke svým osobním údajům

Fyzická osoba (subjekt údajů) má právo získat od správce potvrzení, zda její osobní údaje jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a) účely zpracování;

b) kategorie dotčených osobních údajů – tedy jaké osobní údaje jsou zpracovávány;

c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména pokud by se jednalo o příjemce ve třetích zemích nebo v mezinárodních organizacích;

d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;

e) existence práva požadovat od správce opravu nebo výmaz svých osobních údajů nebo omezení jejich zpracování a/nebo vznést námitku proti tomuto zpracování;

f) právo podat stížnost u Úřadu na ochranu osobních údajů;

g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;

h) skutečnost, že dochází k automatizovanému rozhodování o použití osobních údajů, včetně profilování.

Článek 2.

Právo fyzické osoby na opravu jejích osobních údajů

Fyzická osoba (subjekt údajů) má právo na to, aby BUBBLES bez zbytečného odkladu opravila nepřesné osobní údaje, které se fyzické osoby týkají. S přihlédnutím k účelům zpracování má fyzická osoba (subjekt údajů) právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Článek 3.‌

Právo fyzické osoby na výmaz osobních údajů

1. Subjekt údajů (fyzická osoba) má právo na to, aby BUBBLES bez zbytečného odkladu vymazala osobní údaje, které se jej týkají, a BUBBLES má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán alespoň jeden z těchto důvodů:

a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b) subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;

c) subjekt údajů vznese námitky proti zpracování svých osobních údajů pro marketingové účely;

d) osobní údaje byly zpracovány protiprávně;

e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené zákonem nebo podzákonným předpisem.

2. BUBBLES nemá povinnost smazat osobní údaje v případě, kdy osobní údaje zpracovává:

a) pro splnění právní povinnosti, uložené mu zákonem nebo na základě zákona;

b) z důvodů veřejného zájmu v oblasti veřejného zdraví;

c) pro účely archivace ve veřejném zájmu,

d) pro určení, výkon nebo obhajobu právních nároků.

Článek 4.

Právo fyzické osoby na omezení zpracování osobních údajů

1. Subjekt údajů (fyzická osoba) má právo na to, aby správce omezil zpracování (pozastavil užívání) jeho osobních údajů, v kterémkoli z těchto případů:

a) subjekt údajů upozorní na nepřesnost osobních údajů, přičemž XXXXXXX je povinná tuto nepřesnost (chybu) údajů ověřit a po tuto dobu osobní údaje nezpracovává;

b) zpracování je protiprávní a subjekt údajů (fyzická osoba) odmítá výmaz osobních údajů a žádá místo toho pouze o omezení jejich použití;

c) v případě, že BUBBLES již údaje nepotřebuje, ale subjekt údajů požádá o jejich zachování za účelem určení, výkon nebo obhajobu svých právních nároků;

d) subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

Článek 5.

Oznamovací povinnost opravy, výmazu nebo omezení zpracování

BUBBLES je povinna oznámit jednotlivým příjemcům osobních údajů (např. orgány státní správy, zdravotní pojišťovny, přepravní služby), jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. BUBBLES informuje subjekt údajů (fyzickou osobu) o těchto příjemcích, jen pokud to subjekt údajů požaduje.

Článek 6.

Právo na přenositelnost údajů

Subjekt údajů (fyzická osoba) má právo získat osobní údaje, které se ho týkají a které poskytl BUBBLES, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu BUBBLES bránila, a to v případě, že:

a) zpracování osobních údajů je založeno na souhlasu se zpracováním nebo na základě plnění smluvního vztahu; a (současně)

b) zpracování se provádí automatizovaně, zejména pomocí počítačového programu.

Článek 7.

Právo fyzické osoby vznést námitku proti zpracování

1. Subjekt údajů (fyzická osoba) má z důvodů, týkajících se jeho konkrétní situace, právo kdykoli vznést námitku proti zpracování svých osobních údajů, z důvodů oprávněných zájmů BUBBLES, včetně profilování založeného na těchto ustanoveních. BUBBLES osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

2. Subjekt údajů (fyzická osoba) má právo nebýt předmětem žádného rozhodování BUBBLES, založeného výhradně na automatizovaném (počítačovém) zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká, s výjimkou případů, kdy k tomu dal výslovný předchozí písemný souhlas.

ČÁST VI.

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ EXTERNÍM ZPRACOVATELEM

Článek 1.

Základní ustanovení

1. XXXXXXX, jako správce osobních údajů, provádí zpracování osobních údajů v zásadě vlastními prostředky a vlastními pracovníky.

2. Pokud BUBBLES předá zpracování osobních údajů třetí osobě, tedy externímu zpracovateli (např. externí mzdová účetní), prověří předem, že se jedná o zpracovatele, který poskytuje záruky existence vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky Nařízení (GDPR) i této směrnice a aby byla zajištěna ochrana práv subjektu údajů (fyzických osob).

Článek 2.

Povinnosti při uzavření smlouvy s externím zpracovatelem

1. Zpracování osobních údajů externím zpracovatelem musí být vždy podloženo písemnou

smlouvou, zaručující nakládání s osobními údaji ve smyslu Nařízení (GDPR).

2. Xxxxxxx s externím správcem musí obsahovat závazek externího zpracovatele, že nepověří zpracováním další osobu bez výslovného písemného souhlasu BUBBLES, předmět smlouvy a omezenou dobu jejího trvání, účel zpracování, typ osobních údajů a kategorie subjektu údajů (zaměstnanci, obchodní partneři), práva a povinnosti správce a odpovědnost správce za vzniklou škodu.

3. Xxxxxxx s externím zpracovatelem osobních údajů musí dále obsahovat:

a) závazek zpracovávat osobní údaje pouze na základě doložených pokynů správce;

b) závazek zavázat konkrétní osoby (zaměstnanci externího zpracovatele) zpracovávající osobní údaje k mlčenlivosti;

c) závazek externího zpracovatele dodržovat veškerá opatření, požadovaná čl. 32 nařízení EU (GDPR);

d) prohlášení externího zpracovatele, že zohlední povahu zpracování osobních údajů a v této souvislosti poskytne správci potřebnou součinnost při plnění jeho zákonných povinností;

e) závazek, že na základě pokynu BUBBLES kdykoliv vymaže některé nebo všechny zpracovávané osobní údaje, včetně jejich kopií nebo vrátí veškeré osobní údaje BUBBLES po skončení poskytování služby. To vše s výjimkou případů, kdy právní předpis nebo nařízení správního orgánu/soudu požaduje uložení daných osobních údajů;

f) závazek externího zpracovatele poskytnout správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti při nakládání s osobními údaji, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje;

g) závazek zpracovatele informovat neprodleně BUBBLES, že podle jeho názoru určitý pokyn BUBBLES porušuje kterýkoliv relevantní právní předpis, týkající se ochrany údajů.

ČÁST VII.

ZABEZPEČENÍ NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI A SOUVISEJÍCÍ POVINNOSTI

Článek 1.‌

Zabezpečení osobních údajů

1. BUBBLES, jako správce a zpracovatel osobních údajů přijímá průběžně vhodná technická a organizační opatření k zajištění nezbytné úrovně zabezpečení osobních údajů, zejména z těchto hledisek:

a) s přihlédnutím k technickým možnostem a přiměřenosti vynaložených nákladů na zabezpečení;

b) s ohledem na povahu, rozsahu, kontext a účely zpracování

c) s přihlédnutím k pravděpodobnosti a závažnosti rizika ohrožení práv a svobod fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření, aby zajistili úroveň zabezpečení odpovídající danému riziku.

2. Vhodnými technickými a organizačními opatřeními k zajištění nezbytné úrovně zabezpečení osobních údajů se rozumí především:

a) pseudonymizace a šifrování osobních údajů;

b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost (zejm. počítačových) systémů a služeb zpracování;

c) schopnosti včas obnovit dostupnost osobních údajů v případě fyzických či technických poruch;

d) pravidelné testování a posuzování (hodnocení) účinnosti zavedených technických a organizačních opatření, pro zajištění bezpečnosti zpracování.

3. Při posuzování úrovně zabezpečení osobních dat se zohlední zejména rizika zpracování a

zabezpečení uložení dat, a to zejména z těchto hledisek:

a) náhodné nebo protiprávní zničení nebo ztráta dat (osobních údajů)

b) neoprávněné pozměňování, zpřístupnění nebo zpracování osobních údajů.

4. XXXXXXX je povinna učinit taková opatření, aby k zpracování osobních údajů mohli provádět pouze ti pracovníci, kteří byli v nakládání s osobními daty proškoleni a jednají v rámci svých pracovních úkolů, tedy z pověření správce.

Článek 2.‌

Spolupráce s dozorovým orgánem a ohlašovací povinnost

1. Státním orgánem pro dozor nakládání s osobními údaji v ČR je Úřad na ochranu osobních údajů (ÚOOÚ), se sídlem: Pplk. Xxxxxxx 00, Xxxxx 0, tel. x000 000 000 000, e- mail: xxxxx@xxxx.xx, xxxxx://xxx.xxxx.xx.

2. BUBBLES, všichni pracovníci a statutární zástupci jsou povinni na žádost ÚOOÚ poskytnout mu při plnění jeho úkolů veškerou potřebnou součinnost, zejména předkládat potřebné dokumenty, poskytovat vysvětlení, zpřístupnit prostory atd.

Článek 3.

Ohlašovací povinnost při narušení zabezpečení osobních údajů

1. Porušením zabezpečení osobních údajů se rozumí zejména (nikoliv však pouze):

a) napadení počítačového systému (databáze), obsahující osobní údaje fyzických osob,

b) neoprávněné vniknutí (vloupání) do prostor nebo zabezpečených skříní, ve kterých se nacházejí osobní údaje, zejména počítačové servery, místnosti archivů, kartotéky atd., a to výslovně včetně archivů faktur, objednávek, dodacích listů atd.

c) neoprávněné stažení jakýchkoliv databází s osobními údaji (např. databáze zákazníků) třetí osobou nebo pracovníkem BUBBLES.

2. Jakékoli porušení zabezpečení osobních údajů ohlásí BUBBLES bez zbytečného odkladu ÚOOÚ, pokud možno do 72 hodin (3 dnů) od okamžiku, kdy se o něm dozvěděla, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob (subjektů údajů). Pokud je ohlášení na ÚOOÚ učiněno později, než do 72 hodin (3 dnů) po té, kdy se BUBBLES dozvěděla o porušení zabezpečení, musí být k takovémuto ohlášení rovněž připojeno vysvětlení, z jakého důvodu je ohlášení podáváno později, než do 72 hodin.

3. Ohlášení pro ÚOOÚ musí obsahovat nejméně tyto náležitosti:

a) popis daného případu porušení zabezpečení osobních údajů včetně (pokud je to možné) kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;

b) jméno a kontaktní údaje osoby, která za BUBBLES může poskytnout bližší informace;

c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných přijatých opatření, ke zmírnění možných nepříznivých dopadů narušení osobních údajů.

4. BUBBLES je povinna pořídit záznamy (protokoly) o veškerých případech porušení zabezpečení osobních údajů. V záznamech se uvedou skutečnosti, které se týkají daného porušení, jeho dopady a přijatá nápravná opatření, aby k dalšímu porušení nedošlo. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu se skutečností.

Článek 4.‌

Ohlašovací povinnost při narušení zabezpečení vůči subjektům údajů

1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu i těmto fyzickým osobám. Takovéto oznámení se nepožaduje, pokud je splněna alespoň jedna tato podmínka:

a) BUBBLES zavedla náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, např. šifrování;

b) XXXXXXX přijala následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;

c) oznámení všem subjektům údajů by vyžadovalo nepřiměřené úsilí. Avšak v takovém případě musí být subjekty údajů informovány stejně účinným způsobem, a to pomocí veřejného oznámení nebo podobného opatření.

2. ÚOOÚ může BUBBLES požádat, po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, aby učinil oznámení subjektům údajů, pokud tak

BUBBLES ještě neučinila, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

ČÁST VIII.‌

POSOUZENÍ VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ

Článek 1.

Obecná ustanovení

Pokud je pravděpodobné, že určitý druh zpracování osobních údajů, zejména při využití nových technologií (zavádění nového počítačového systému), bude, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zavedením určitého nového druhu (postupu) zpracování, posouzení vlivu na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.

Článek 2.

Případy povinného provedení posouzení

Provést posouzení vlivu na ochranu osobních údajů je nutné zejména v těchto případech:

a) systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

b) rozsáhlé zpracování kategorií údajů vypovídajících o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

c) rozsáhlé systematické monitorování veřejně přístupných prostorů.

Článek 3.‌

Spolupráce s ÚOOÚ při zpracování posouzení

1. BUBBLES před zpracováním osobních údajů provádí konzultace s ÚOOÚ, pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika.

2. Při konzultaci je BUBBLES povinna poskytnout zejména tyto údaje:

a) ve vhodných případech rozdělení odpovědnosti správce, společných správců a zpracovatelů zapojených do zpracování, zejména v případě zpracování v rámci skupiny podniků;

b) účely a způsoby zamýšleného zpracování;

c) opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení;

d) kontaktní údaje případného pověřence pro ochranu osobních údajů;

e) BUBBLES vypracované posouzení vlivu na ochranu osobních údajů podle článku 35 Nařízení;

f) veškeré další informace, o které dozorový úřad požádá.

DÍL B.

ZVLÁŠTNÍ USTANOVENÍ K OCHRANĚ OSOBNÍCH ÚDAJŮ

P E R S O N A L I S T I K A

ČÁST I.‌

KATEGORIE, FORMA A DOBA ZPRACOVNÁNÍ OSOBNÍCH ÚDAJŮ

Článek 1.

Kategorie zpracovávaných osobních údajů

1. BUBBLES zpracovává a uchovává osobní údaje svých pracovníků v rozsahu nezbytně nutném pro plnění svých povinností z pracovněprávního vztahu a pro plnění povinností, které mu v souvislosti s pracovněprávním vztahem ukládají zákony a podzákonné předpisy.

2. Kategorie zpracovávaných osobních údajů jsou vždy stanoveny v minimu nezbytně potřebném pro daný účel.

3. Zpracovávanými osobními údaji pracovníků jsou:

a) jméno a příjmení,

b) datum narození,

c) rodné číslo, pokud je to vyžadováno právními předpisy,

d) trvalé bydliště a/nebo kontaktní adresa,

e) pracovně lékařská dokumentace, v rozsahu požadovaném právními předpisy,

f) telefonní číslo a případně e-mailová adresa, pokud tyto údaje pracovník o své vůli sdělí,

g) číslo bankovního účtu pro zasílání mzdy/odměny, pokud pracovník požaduje zasílání mzdy/odměny na bankovní účet.

4. Zpracovávanými osobními údaji uchazečů o zaměstnání, vždy pouze dle neověřeného sdělení uchazeče, jsou:

a) jméno a příjmení,

b) informace o dosažené vzdělání,

c) druh uvažovaného pracovněprávního vztahu – pracovní smlouva, DPP, DPČ,

d) telefonní číslo, e-mail a poštovní doručovací adresa.

Právním důvodem pro zpracování těchto osobních údajů je nezbytnost plnění oprávněných zájmů BUBBLES, spočívajících v náboru nových pracovníků.

Článek 2.

Forma zpracování osobních údajů

1. Osobní údaje jsou shromažďovány, zpracovávány a uchovávány ve fyzické (listinné) podobě, zejména pokud se jedná o osobní údaje uvedené v:

a) pracovních smlouvách,

b) dohodách o pracích konaných mimo pracovní poměr (DPP, DPČ),

c) pracovně-lékařské dokumentaci,

d) poučeních zaměstnanců, potvrzeních o provedených školeních atd.

e) výkazech o odpracovaných hodinách,

f) vytištěné e-mailové a poštovní korespondenci,

g) potvrzeních o zaměstnání („zápočtový list“) a dalších.

Důvodem zpracování a uchovávání uvedených dokumentů v listinné podobě je zejména skutečnost, že takovéto dokumenty (obsahující osobní údaje) jsou zpravidla opatřeny podpisem, pečetí, reliéfním otiskem, otiskem razítka nebo jiným zajišťovacím prvkem a zpracování osobních údajů v takovéto podobě je nezbytné pro ochranu právních zájmů BUBBLES a/nebo je takovéto zpracování a uchování vyžadované právními předpisy. Převádění těchto dokumentů do elektronické podoby (skenování), zejména za účelem zálohy, však není vyloučeno.

2. Osobní údaje jsou shromažďovány, zpracovávány a uchovávány v elektronické podobě, zejména pokud se jedná o osobní údaje pracovníků (zaměstnanců) nebo uchazečů o práci, a to zejména v databázích pracovníků, vedených za účelem plnění zákonných povinností BUBBLES, jako zaměstnavatele (zejm. zasílání mezd a placení zákonných odvodů).

Článek 3.

Doba zpracování osobních údajů

1. Osobní údaje pracovníků jsou zpracovávány pouze po dobu trvání pracovněprávního vztahu a v bezprostředním časovém úseku po jeho skončení (zaslání poslední mzdy, zaslání potvrzení o zaměstnání). Po ukončení pracovněprávního vztahu jsou osobní údaje uloženy a archivovány po dobu danou právními předpisy (aktuální úložní doba 30 let) a jejich zpracování je tedy omezeno. Takovéto uložené osobní údaje pracovníků, mohou být i po skončení pracovněprávního vztahu dále zpracovány v těchto případech:

a) na výslovnou a nepochybnou žádost subjektu údajů (bývalého pracovníka) nebo jeho nepochybného právního nástupce, např. za účelem vydání pracovního posudku, potvrzení o době zaměstnání atp.,

b) na základě zákonné žádosti státního orgánu nebo soudu (např. potvrzení o

zaměstnání),

c) zpracování osobních údajů je nutné z důvodu ochrany právních zájmů BUBBLES

(zejména v soudním nebo správním řízení).

2. Osobní údaje uchazečů o zaměstnání jsou zpracovávány nejvýše po dobu 6 měsíců následujících ode dne jejich získání. Po uplynutí této doby, pokud nejsou tyto osobní údaje nahrazeny osobními údaji subjektu údajů, jako pracovníka BUBBLES, musí být skartovány (vymazány).

ČÁST II.

OCHRANA OSOBNÍCH ÚDAJŮ

Článek 1.

Obecné zásady

1. Všichni vedoucí pracovníci BUBBLES, v rámci svých pracovních úkolů, přijímají průběžně vhodná opatření, aby zajistila ochranu osobních údajů a zabránila porušení jejich zabezpečení. Současně provádějí průběžně kontrolu nakládání s osobními údaji ve smyslu této směrnice a GDPR (Nařízení) a kontrolu zabezpečení.

2. Jakákoliv zjištění porušení/možného porušení zabezpečení ochrany osobních údajů nebo nakládání s osobními údaji v rozporu s touto směrnicí a GDPR jsou všichni zaměstnanci povinni oznámit svému nejblíže nadřízenému vedoucímu zaměstnanci nebo kterémukoliv z jednatelů.

Článek 2.

Ochrana osobních údajů ve fyzické podobě

1. Veškeré fyzické (tištěné) dokumenty, obsahující osobní údaje – pracovní smlouvy a dohody, mzdové listy a výplatnice, zápočtové listy, evidence pracovní doby a další - musí být uloženy ve skříních (kartotékách), zabezpečených více bodovým zajišťujícím mechanismem, opatřených zámkem s jedinečným klíčem. Takováto skříň musí být umístěna v samostatné uzamykatelné místnosti bez přístupu předem neurčených (nepovolaných) osob.

2. Pracovníci, kteří mají z důvodu výkonu své práce (zejm. personalisté) přístup k dokumentům obsahujícím osobní údaje, jsou oprávněni zpracovávat dokumenty obsahující osobní údaje pouze v nezbytném rozsahu a po nezbytnou dobu. V okamžiku ukončení práce s takovýmito dokumenty jsou tito pracovníci povinni okamžitě tyto dokumenty opětovně uložit do zabezpečené skříně, tuto skříň zamknout a rovněž dbát na uzamčení místnosti, kde je takováto skříň umístěna.

3. Oprávnění pracovníci nesmí zanechat dokumenty obsahující osobní údaje volně přístupné předem neurčeným osobám.

4. Všem zaměstnancům BUBBLES se výslovně zakazuje pořizovat si kopie, opisy nebo výpisy osobních údajů pro jiné účely, než pro účely výkonu své práce. Dokumenty, bez výslovného předchozího svolení nadřízeného zaměstnance, nesmí odnášet mimo pracoviště. Všichni zaměstnanci BUBBLES jsou povinni počínat si s obvyklou opatrností tak, aby nedocházelo ke ztrátě, poškození nebo dokonce odcizení jakýchkoliv dokumentů obsahujících osobní údaje.

5. Pořízené elektronické (skenované) kopie dokumentů mohou být uloženy pouze v počítačovém systému BUBBLES, popřípadě odeslány na nepochybnou e-mailovou adresu spolupracující osoby, spolupracovníka, zaměstnance BUBBLES a/nebo adresu datové schránky správního orgánu/soudu. V případech stanovených právním předpisem lze takto na vyžádání zasílat i (naskenované) dokumenty v elektronické podobě, s osobními údaji (i bývalých) zaměstnanců, pokud o to požádá nepochybně takováto osoba a dané osobní údaje se k ní vztahují.

Článek 3.

Ochrana osobních údajů v elektronické podobě

1. Veškeré osobní údaje uložené v elektronické podobě, zejména databáze zaměstnanců BUBBLES, smí být uloženy výhradně na paměťových médiích (pevné disky v počítačích a serverech atd.) ve vlastnictví BUBBLES, popřípadě na paměťových uložištích (cloudové služby) provozovaných důvěryhodnými třetími osobami (Drop Box, Google Disk atd.), které zaručují ochranu dat před neoprávněným přístupem a odcizením.

2. BUBBLES zajišťuje na svých paměťových médiích (serverové disky, počítačové disky) ochranu dat dle nejnovějších poznatků ochrany před neoprávněným přístupem a odcizením dat.

3. Přístup k osobním údajům v rámci počítačové sítě mají pouze k tomu určení zaměstnanci BUBBLES a to pouze v rámci plnění svých pracovních povinností. Přístup k těmto osobním údajům, jakož i přístup do celé počítačové sítě, je chráněn jedinečným přihlašovacím jménem a heslem. Přístupové heslo je každý zaměstnanec povinen průběžně měnit a takovéto heslo nesmí sdělovat jakékoliv třetí osobě. Při ukončení nebo přerušení práce je zaměstnanec povinen se od sítě odhlásit.

4. Zaměstnancům BUBBLES se výslovně zakazuje jakékoliv kopírování dat obsahující osobní údaje pro jakékoliv účely jiné, než je jejich užití pro výkon práce. Všichni zaměstnanci BUBBLES jsou povinni počínat si s obvyklou opatrností tak, aby nedocházelo ke ztrátě, poškození nebo dokonce odcizení jakýchkoliv datových souborů, obsahujících osobní údaje. Zaměstnancům BUBBLES se výslovně zakazuje instalovat na počítače jakýkoliv software (např. facebook) bez vědomí administrátora sítě.

6. Datové soubory obsahující osobní údaje, uložené v počítačovém systému BUBBLES, mohou být odeslány v elektronické podobě na nepochybnou e-mailovou adresu smluvního spolupracovníka a/nebo zaměstnance BUBBLES a/nebo na adresu datové schránky správního orgánu/soudu. V případech stanovených právním předpisem lze takto na vyžádání zasílat i elektronické dokumenty s osobními údaji (i bývalých) zaměstnanců, pokud o to požádá nepochybně takováto osoba a dané osobní údaje se vztahují k ní (např. evidenční listy, výplatnice).

ČÁST III.

PRÁVA FYZICKÝCH OSOB

Článek 1.

Právo fyzické osoby na výmaz osobních údajů (právo být zapomenut)

1. Jakýkoliv uchazeč o zaměstnání, jehož osobní údaje zpracovává BUBBLES, má právo žádat o ukončení zpracování svých osobních údajů a jejich výmaz. XXXXXXX prověří, že žádost podává skutečně daná fyzická osoba. XXXXXXX vyhoví žádosti fyzické osoby o výmaz jejích osobních údajů a zpraví ji o tom. BUBBLES rovněž zpraví fyzickou osobu o tom, že již v minulosti došlo k výmazu jejích osobních údajů, resp. že BUBBLES již žádné osobní údaje dané fyzické osoby nezpracovává.

2. V případě pracovníků BUBBLES (osob, s nimiž byl uzavřen pracovněprávní vztah), nelze vyhovět žádosti o výmaz osobních údajů, protože je zde dána některý z oprávněných důvodů zpracování osobních údajů, a to:

a) zákonná povinnost archivace osobních údajů, např. pracovně právní dokumentace zaměstnance a mzdová/účetní evidence,

b) nutnost zachování osobních údajů z důvodu plnění smluvních povinností, v případě trvajícího pracovněprávního vztahu

c) a případně i ochrana práv BUBBLES, v rámci soudního nebo správního řízení.

V takovém případě oznámí tuto skutečnost BUBBLES dané fyzické osobě.

3. Pracovníci BUBBLES vždy prověří, že žádost podává skutečně daná fyzická osoba.

Článek 2.‌

Právo fyzické osoby na aktuálnost osobních údajů

BUBBLES sama o sobě aktivně zjišťuje aktuálnost veškerých osobních údajů, které zpracovává, výslovně s výjimkou osobních údajů, které jsou archivovány (je omezeno jejich zpracování). Na upozornění (žádost) subjektu údajů provádí vždy aktualizaci osobních údajů.

DÍL C.

ZVLÁŠTNÍ USTANOVENÍ K OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁKAZNÍCI

ČÁST I.‌

KATEGORIE, FORMA A DOBA ZPRACOVNÁNÍ OSOBNÍCH ÚDAJŮ

Článek 1.

Kategorie zpracovávaných osobních údajů

1. BUBBLES zpracovává a uchovává osobní údaje zákazníků, v rozsahu nutném pro realizaci plnění svých závazků.

2. Kategorie zpracovávaných osobních údajů jsou vždy stanoveny v minimu nezbytně potřebném pro daný účel.

3. Zpracovávanými osobními údaji obchodních zákazníků – fyzických osob – jsou tyto osobní údaje, a to nejvýše v tomto rozsahu:

a) jméno a příjmení,

b) obchodní firma, pod kterou fyzická osoba podniká, tedy jméno a příjmení

s případným dovětkem (např. Xxx Xxxxx – ZAHRADNICTVÍ U LESA),

c) datum narození / IČO a případně DIČ,

d) bydliště nebo adresa místa podnikání,

e) kontaktní telefonní číslo,

f) kontaktní e-mailová adresa,

Zpracování těchto osobních údajů je nezbytné pro plněním smluvních práv a povinností vůči subjektu údajů a současně je zpracování nezbytné pro plnění povinností BUBBLES, daných právními předpisy (např. odvody DPH u podnikajících fyzických osob).

Článek 2.

Forma zpracování osobních údajů

1. Osobní údaje jsou shromažďovány, zpracovávány a uchovávány ve fyzické (listinné) podobě, a to zejména na těch vytištěných dokumentech:

a) smlouvy, dohody a/nebo objednávky,

b) faktury, stvrzenky

c) vytištěné e-mailové zprávy atd.

Důvodem zpracování a uchovávání uvedených dokumentů v listinné podobě je zejména skutečnost, že takovéto dokumenty, obsahující osobní údaje, jsou zpravidla opatřeny podpisem, otiskem razítka, jedinečným kódem nebo jiným prvkem zajišťujícím jednoznačnou identifikaci a zpracování osobních údajů v takovéto podobě je nezbytné pro ochranu právních zájmů BUBBLES nebo je takovéto uchování vyžadované právními předpisy. Převádění těchto dokumentů do elektronické podoby (skenování), zejména za účelem zálohy, však není vyloučeno.

2. Osobní údaje jsou shromažďovány, zpracovávány a uchovávány v elektronické podobě,

a to zejména pokud se jedná o osobní údaje obchodních partnerů v:

a) elektronických databázích kontaktních údajů,

b) elektronicky zaslaných objednávkách a fakturách,

c) e-mailové korespondenci,

d) dokumentech převedených do elektronické podoby.

Článek 3.

Doba zpracování osobních údajů

Osobní údaje fyzických osob jsou zpracovávány po dobu trvání vzájemného plnění ze smluvního vztahu a následně po dobu nejvýše šesti (6) let po dokončení poslední transakce. Po uplynutí uvedené doby musí být veškeré (fyzické, případně elektronické) dokumenty s osobními údaji skartovány (vymazány). Výjimkou jsou případy, kdy je další zpracování osobních údajů nezbytné z důvodu ochrany právních zájmů BUBBLES (zejména v soudním nebo správním řízení).

ČÁST II. OCHRANA OSOBNÍCH ÚDAJŮ ‌

Článek 1.

Obecné zásady

1. Všichni pracovníci BUBBLES v rámci svých pracovních úkolů přijímají průběžně vhodná opatření, aby zajistili ochranu osobních údajů a zabránila porušení jejich zabezpečení. Současně provádějí průběžně kontrolu nakládání s osobními údaji ve smyslu této směrnice a GDPR (Nařízení) a kontrolu zabezpečení.

Článek 2.‌

Ochrana osobních údajů ve fyzické podobě

1. Veškeré fyzické (tištěné) dokumenty, obsahující osobní údaje – smlouvy a dohody, objednávky, faktury, vytištěná e-mailová korespondence, poštovní korespondence a další

- musí být uloženy ve skříních (kartotékách), zabezpečených více bodovým zajišťujícím mechanismem, opatřených zámkem s jedinečným klíčem.

2. Pracovníci, kteří mají z důvodu výkonu své práce (zejm. účtní) přístup k dokumentům obsahujícím osobní údaje, jsou oprávněni zpracovávat tyto dokumenty pouze v nezbytném rozsahu a po nezbytnou dobu. V okamžiku ukončení práce s takovýmito dokumenty jsou tito pracovníci povinni okamžitě tyto dokumenty uložit do zabezpečené skříně, tuto skříň zamknout a rovněž dbát na uzamčení místnosti, kde je takováto skříň umístěna.

3. Oprávnění pracovníci nesmí zanechat dokumenty obsahující osobní údaje volně přístupné předem neurčeným osobám.

4. Všem zaměstnancům BUBBLES se výslovně zakazuje pořizovat si kopie, opisy nebo výpisy dokumentů obsahující osobní údaje pro jiné účely, než výkonu práce. Dokumenty bez výslovného předchozího svolení nadřízeného zaměstnance nesmí odnášet mimo pracoviště. Všichni zaměstnanci BUBBLES jsou povinni počínat si s obvyklou opatrností tak, aby nedocházelo ke ztrátě, poškození nebo dokonce odcizení jakýchkoliv dokumentů, obsahujících osobní údaje.

Článek 3.

Ochrana osobních údajů v elektronické podobě

1. Veškeré osobní údaje uložené v elektronické podobě, smí být uloženy výhradně na paměťových médiích (pevné disky v počítačích a serverech atd.) ve vlastnictví BUBBLES, popřípadě na paměťových uložištích (cloudové služby) provozovaných důvěryhodnými třetími osobami (Drop Box, Google Disk atd.), které zaručují ochranu dat před neoprávněným přístupem a odcizením.

2. BUBBLES zajišťuje na svých paměťových médiích (serverové disky, počítačové disky) ochranu dat, dle nejnovějších poznatků ochrany před neoprávněným přístupem a odcizením dat.

3. Přístup k osobním údajům v rámci počítačové sítě mají pouze k tomu určení zaměstnanci BUBBLES, a pouze v rámci plnění svých pracovních povinností. Přístup k těmto osobním údajům, jakož i přístup do celé počítačové sítě, je chráněn jedinečným přihlašovacím jménem a heslem. Přístupové heslo je každý zaměstnanec povinen průběžně měnit a takovéto heslo nesmí sdělovat jakékoliv třetí osobě. Při ukončení nebo přerušení práce je zaměstnanec povinen se od sítě odhlásit.

obsahujících osobní údaje. Zaměstnancům BUBBLES se výslovně zakazuje instalovat na počítače jakýkoliv software (např. facebook) bez vědomí administrátora sítě.

6. Datové soubory obsahující osobní údaje, uložené v počítačovém systému BUBBLES, mohou být odeslány v elektronické podobě na nepochybnou e-mailovou adresu smluvního spolupracovníka a/nebo zaměstnance společnosti BUBBLES a/nebo na adresu datové schránky správního orgánu/soudu. V případech stanovených právním předpisem lze takto na vyžádání zasílat i elektronické dokumenty s osobními údaji (i bývalých) obchodních partnerů, pokud o to požádá nepochybně takováto osoba a dané osobní údaje se vztahují k ní (např. smlouvy, faktury, dodací listy, objednávky).

ČÁST III.

PRÁVA FYZICKÝCH OSOB

Článek 1.

Právo fyzické osoby na výmaz a omezení zpracování osobních údajů

1. Jakýkoliv fyzická osoba, jejíž osobní údaje zpracovává BUBBLES, má právo žádat o ukončení zpracování svých osobních údajů a jejich výmaz. XXXXXXX prověří, že žádost podává skutečně daná fyzická osoba. XXXXXXX vyhoví žádosti fyzické osoby o výmaz jejích osobních údajů a zpraví ji o tom. BUBBLES rovněž zpraví fyzickou osobu o tom, že již v minulosti došlo k výmazu jejích osobních údajů, resp. že BUBBLES již žádné osobní údaje dané fyzické osoby nezpracovává.

2. V případě zákazníků nebo obchodních partnerů BUBBLES (osob, jimž byla poskytnuta služba), nelze vyhovět žádosti o výmaz osobních údajů, protože je zde dán některý z oprávněných důvodů zpracování osobních údajů, a to:

a) zákonná povinnost archivace osobních údajů, zejména účetní evidence;

b) nutnost zachování osobních údajů z důvodu plnění smluvních povinností, v případě trvajícího obchodního vztahu;

c) a případně i ochrana práv BUBBLES v rámci soudního nebo správního řízení.

V takovém případě oznámí tuto skutečnost BUBBLES dané fyzické osobě a omezí zpracování osobních údajů pouze na tyto případy.

3. Pracovníci BUBBLES vždy prověří, že žádost podává skutečně daná fyzická osoba.

Článek 2.

Právo fyzické osoby na aktuálnost osobních údajů

ČÁST IV.‌

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V MARKETINGU

Článek 1.

Obecná ustanovení

1. BUBBLES využívá, za níže uvedených podmínek, osobní údaje svých zákazníků, získané z veřejně dostupných zdrojů, za účelem omezeného zasílání nabídek svých služeb, jakož i dalších propagačních materiálů, tedy za účelem přímého marketingu. A to vždy s respektováním ust. bodu (47) Nařízení (GDPR) o oprávněných zájmech BUBBLES, jakož i dalších omezení daných právními předpisy.

2. Při zasílání jakýchkoliv obchodních sdělení formou tištěných zpráv užívá BUBBLES pouze osobní údaje v rozsahu jména, příjmení (případně obchodní firmy) a poštovní adresy svého obchodního partnera. Při zasílání jakýchkoliv obchodních sdělení prostřednictvím elektronické pošty (e-mail) užívá BUBBLES z osobních údajů pouze danou e-mailovou adresu.

Článek 2.

Zamezení zasílání obchodních sdělení (omezení zpracování)

1. Webové stránky www.………….cz obsahují sdělení, jakým konkrétním způsobem (poštovní adresa, e-mailová adresa, telefon) může kterákoliv osoba sdělit BUBBLES, aby dále nezpracovávala (omezila zpracování) jeho osobních údajů pro marketingové účely.

2. V případě, kdy BUBBLES obdrží sdělení subjektu údajů (fyzické osoby) o tom, že si již nepřeje zasílání jakýchkoliv obchodních sdělení, omezí zpracování osobních údajů pro tyto (marketingové) účely, a to tak, že tyto osobní údaje vymaže z příslušné databáze nebo v příslušné databázi uvede poznámku o zákazu zasílání obchodních sdělení.

3. V případě zasílání obchodních sdělení prostřednictvím elektronické pošty musí každá e- mailová zpráva obsahovat popis postupu, kterým se subjekt údajů může odhlásit ze zasílání takovýchto sdělení (např. odeslat e-mail se subjektem NEZASÍLAT), případně obsahovat jednoduchý odkaz (click) na zamezení zasílání dalších zpráv.

DÍL. D

ZPRACOVÁNÍ ZVLÁŠTNÍCH KATEGORÍ OSOBNÍCH ÚDAJŮ‌

Článek 1.

Obecná ustanovení

1. XXXXXXX nikdy nezpracovává osobní údaje týkající se rasového nebo etnického původu, politických názorů, náboženského vyznání či filosofického přesvědčení, genetických údajů, členství v odborech, sexuálním životě nebo sexuální orientaci fyzických osob.

2. BUBBLES zpracovává údaje o zdravotním stavu pouze svých zaměstnanců, a to pouze v rozsahu nezbytném plnění jeho povinností v oblasti pracovního práva a práva sociálního zabezpečení.

3. Za níže uvedených podmínek může BUBBLES zpracovávat biometrické údaje, které mohou umožnit jedinečnou identifikaci fyzické osoby, a to v podobě fotografií nebo videozáznamů.

Článek 2.

Pořizování obrazové dokumentace pro ochrany majetku, života a zdraví

1. XXXXXXX pořizuje v souvislosti s ochranou svého majetku (případně i života a zdraví svých zákazníků) ve svých provozovnách obrazové záznamy provozoven. Takovéto obrazové záznamy umožňují jednoznačnou identifikaci osob.

2. Na pořizování takovýchto záběrů musí být fyzické osoby upozorněny – např. tabule

s informací, že „objekt je snímán kamerovými systémy“.

3. Veškeré takovéto obrazové záznamy musí být uloženy na zvláštním (samostatném) paměťovém médiu a chráněny vhodnými fyzickými a elektronickými prostředky, před přístupem (zhlédnutím, okopírování) ze strany nepovolaných osob.

4. Obrazové záznamy mohou být použity pouze za účelem šetření ohrožení nebo újmy na majetku (případně i životu nebo zdraví) fyzických a právnických osob. Po přiměřené době musí být takovéto záznamy vymazány. Pořizování jakýchkoliv kopií je přípustné pouze pro potřeby příslušných státních orgánů.

DÍL E.

ZÁVĚR

1. Tato směrnice nabývá platnosti dnem vydání a účinnosti dnem 1. března 2019.

2. Vedoucí pracovníci dbají na to, aby tato směrnice byla průběžně aktualizována.

3. S touto směrnicí musí být seznámeni všichni zaměstnanci BUBBLES a musí být rovněž všem pracovníkům přístupná k nahlédnutí.

V Praze, dne 1. března 2019

Xxxxxx Xxxxx Xxxxxx

jednatelka BUBBLES Czech s.r.o.

Document Metadata

Table of Contents

SMĚRNICE

Document Metadata