Shrnutí
Tato Politika ochrany osobních údajů společnosti RedTractor s.r.o. (“Politika ochrany osobních údajů”) stanovuje pravidla ochrany osobních údajů společnosti RedTractor s.r.o. včetně souvisejících povinností společnosti RedTractor s.r.o. Politika ochrany osobních údajů odráží pravidla ochrany osobních údajů vyžadované GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.
Společnost RedTractor s.r.o. bere ochranu osobních údajů vážně a s osobními údaji při výkonu své podnikatelské činnosti nakládají s dostatečnou opatrností a odpovědností. Porušení zabezpečení osobních údajů může mít vážné právní a ekonomické důsledky pro společnost RedTractor s.r.o., jejich zaměstnance a subjekty údajů, a rovněž může poškodit dobrou pověst společností RedTractor s.r.o.. Implementací Politiky ochrany osobních údajů napříč společností RedTractor s.r.o. budou minimalizována rizika porušení zabezpečení osobních údajů i rizika z něj vyplývající.
Rozsah
Tato Politika ochrany osobních údajů je závazná pro společnost RedTractor s.r.o. a jejich zaměstnance. Týká se veškerého zpracování osobních údajů, na které se vztahuje GDPR a národní legislativa členských států.
1. Postupy a kompetence
Následující odstavce popisují postupy, které společnost RedTractor s.r.o. dodržují při zpracování osobních údajů. Dále obsahují stručný popis rozdělení kompetencí a klíčových rolí ve společnostech RedTractor s.r.o. v oblasti zpracování osobních údajů.
1.1 Všeobecné povinnosti
společnost RedTractor s.r.o. zavedla a bude nadále zavádět vhodná technická a organizační opatření, která zajistí ochranu osobních údajů před jejich zneužitím, ztrátou či poškozením, a budou s údaji zacházet v souladu s GDPR a národní legislativou členských států v oblasti ochrany osobních údajů. Ochrana osobních údajů se vztahuje na zpracování osobních údajů partnerů a zaměstnanců společností RedTractor s.r.o., jejich rodinných příslušníků, uchazečů o zaměstnání, zákazníků a dalších fyzických osob, jejichž osobní údaje jsou zpracovávány společnostmi RedTractor s.r.o..
1.2 Základní zásady ochrany osobních údajů
společnost RedTractor s.r.o. při zpracování osobních údajů respektují základní zásady stanovené v GDPR. Příslušné základní zásady jsou uvedeny níže:
- Zásada zákonnosti – před zpracováním osobních údajů musí být stanoven alespoň jeden právní základ zpracování
- Zásada účelového omezení – zpracování osobních údajů pouze za předem stanoveným účelem
- Zásada minimalizace údajů – zpracování pouze osobních údajů nutných, relevantních a přiměřených danému legitimnímu účelu
- Zásada korektnosti a transparentnosti – otevřenost a transparentnost zpracování vůči subjektům údajů
- Zásada integrity a důvěrnosti, aplikace principu přístupu pouze k nezbytným informacím – implementace nutných organizačních a technických opatření za účelem zajištění omezení přístupu k osobním údajům, aby nemohlo docházet k jejich neoprávněnému nebo protiprávnímu zpracování
- Zásada přesnosti – zpracování přesných a aktuálních osobních údajů
- Režim kontrolovaného řízení změn – změna současného systému zpracování na nový způsob podléhá zvážení pověřencem pro ochranu osobních údajů („pověřenec“) nebo správcem, a případné následné přípravě posouzení vlivu na ochranu osobních údajů
- Definice rolí osob zúčastněných na ochraně osobních údajů ve společnostech RedTractor s.r.o.
1.3 Právní základy zpracování a účely zpracování osobních údajů
Zpracování osobních údajů je vždy založeno na právních základech zpracování, mezi které patří souhlas se zpracováním osobních údajů, splnění právní povinnosti, splnění smlouvy, oprávněný zájem, veřejný zájem nebo ochrana zájmů subjektu údajů.
1.4 Zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se trestních věcí
Zvláštní kategorie osobních údajů a osobní údaje týkající se trestních věcí jsou obzvláště citlivé, a tudíž se na ně vztahuje vysoký stupeň ochrany. Jakékoli zpracování zvláštních kategorií osobních údajů je konzultováno s pověřencem.
1.5 Předávání osobních údajů
Společnost RedTractor s.r.o. může osobní data zpřístupnit třetím stranám pouze za určitých podmínek. Osobní údaje mohou být zpřístupněny třetí straně v postavení zpracovatele na základě smlouvy o zpracování osobních údajů. Osobní údaje mohou být rovněž zpřístupněny jiné třetí straně v postavení správce nebo společného správce na základě příslušných smluvních ujednání.
V případě požadavků na opravu nebo výmaz osobních údajů nebo omezení zpracování, informuje společnost RedTractor s.r.o. za určitých podmínek příslušné třetí strany, jimž byly osobní údaje zpřístupněny, s výjimkou situací, kdy takové informování není proveditelné nebo vyžaduje nepřiměřené úsilí. Společnost RedTractor s.r.o. informuje subjekt údajů o třetích stranách, jimž byly dotčené osobní údaje zpřístupněny, pouze na žádost subjektu údajů.
Za určitých podmínek může společnost RedTractor s.r.o. osobní údaje předávat také do třetích zemí mimo EHP nebo Evropskou unii nebo mezinárodním organizacím. Při posuzování zákonných podmínek, za nichž je možné předání osobních údajů do třetích zemí nebo mezinárodním organizacím, se společnost RedTractor s.r.o. radí s pověřencem.
1.6 Práva subjektů údajů
Společnost RedTractor s.r.o. podnikne všechny kroky nutné k tomu, aby subjekty údajů mohly vykonávat svá práva stanovená GDPR. Ve vztahu ke zpracování osobních údajů patří mezi práva subjektů údajů právo na přístup k osobním údajům, právo na opravu, omezení zpracování, přenositelnost nebo výmaz osobních údajů, právo vznést námitku proti zpracování osobních údajů a právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů.
Subjekty údajů mohou uplatnění svých práv požadovat prostřednictvím písemné nebo ústní žádosti. Za účelem zajištění dostatečné ochrany osobních údajů zpracovávaných společností RedTractor s.r.o. a s cílem předcházet zneužití osobních údajů přijala společnost RedTractor s.r.o. níže uvedená pravidla pro ověření totožnosti subjektů údajů.
Písemné žádosti
Pro písemnou žádost o uplatnění určitého práva subjekt údajů vyplní formulář žádosti, který tvoří přílohu této Politiky ochrany osobních údajů, ke stažení je zde. Podpis subjektu údajů na formuláři musí být úředně ověřený. V závislosti na místním právu může být podpis ověřen např. v notářské kanceláři, na poště, v advokátní kanceláři, na konzulátu či na obecním / krajském úřadě. Podpis musí být úředně ověřen v zemi, ve které je žádost společnosti RedTractor s.r.o. podána osobně na adrese sídla společnosti RedTractor s.r.o., nebo ze které byla žádost odeslána poštou prostřednictvím poskytovatele poštovních služeb nebo ověřenými elektronickými prostředky (např. datové schránky v České republice). Zejména v případě, že subjekt údajů odešle žádost poštou prostřednictvím poskytovatele poštovních služeb ze zemí mimo Evropský hospodářský prostor nebo Evropskou Unii, může být společností RedTractor s.r.o. kontaktován za účelem dalšího ověření jeho totožnosti.
Ústní žádosti
Uplatnění určitého práva mohou subjekty údajů požadovat také osobně na adrese sídla společnosti RedTractor s.r.o.. Vaše totožnost bude ověřena pověřeným zaměstnancem (např. na recepci) na základě předložení jednoho z následujících dokumentů: občanského průkazu, cestovního pasu nebo dalšího dokumentu s fotografií dostatečně způsobilou k tomu, aby umožnila Vaši jasnou identifikaci.
Výkonem práv subjektů údajů nesmí být dotčena práva třetích osob. V případě, že žádosti subjektů údajů budou zjevně neopodstatněné nebo nepřiměřené, zejména z důvodu jejich opakující se povahy, může společnost RedTractor s.r.o. pro zodpovězení žádosti požadovat přiměřený poplatek nepřekračující nezbytné náklady na poskytnutí informací uvedených výše nebo na zajištění uplatnění práv subjektů údajů.
Společnost RedTractor s.r.o. zajišťuje dostatečnou komunikaci a spolupráci tak, aby byly všechny přijaté žádosti zpracovány v přiměřené době. Společnost RedTractor s.r.o. úzce spolupracuje na tom, aby danému subjektu údajů poskytla odpověď v předepsané lhůtě.
1.7 Role a povinnosti
Společnost RedTractor s.r.o. a jejich statutární orgány jsou odpovědné za zajištění souladu s GDPR a příslušnou národní legislativou členských států v oblasti ochrany osobních údajů.
1.8 Pověřenec pro ochranu osobních údajů a zástupce v EU
Společnost RedTractor s.r.o. se sídlem v EU uvedené v přílohách jmenovaly pověřence s funkční a organizační odpovědností za soulad s právními předpisy a interními předpisy společností RedTractor s.r.o. v oblasti ochrany osobních údajů.
Pověřence je možné kontaktovat e-mailem
1.9 Povinnosti vlastníků údajů a všech zaměstnanců
Všichni vlastníci údajů v rámci společnosti RedTractor s.r.o. a všichni zaměstnanci mají povinnost osobní údaje zpracovávat v souladu s interními předpisy společnosti RedTractor s.r.o., GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.
1.10 Ohlašování případů porušení zabezpečení osobních údajů
Společnost RedTractor s.r.o. oznamuje domnělé porušení zabezpečení osobních údajů příslušnému pověřenci/zástupci EU okamžitě, v každém případě nejpozději do 24 hodin. Pokud porušení zabezpečení osobních údajů splňuje požadavky na ohlášení příslušnému dozorovému úřadu a/nebo subjektům údajů, pověřenec/zástupce EU tuto povinnost splní do 72 hodin od porušení zabezpečení osobních údajů.
1.11 Výmaz osobních údajů
Společnost RedTractor s.r.o. zpracovává osobní údaje pouze po nezbytnou dobu. Za následujících okolností se osobní údaje vymazávají nebo anonymizují:
- Zánik účelu zpracování osobních údajů, aniž by pro dané osobní údaje existoval jiný účel zpracování
- Osobní údaje již nejsou potřeba pro účely, pro které byly zpracovávány, odvolání souhlasu subjektu údajů, aniž by pro dané osobní údaje existoval jiný právní základ zpracování
- Námitka subjektu údajů proti zpracování, aniž by existovaly jiné převažující oprávněné důvody
- Protiprávní zpracování osobních údajů
Společnost RedTractor s.r.o. při výmazu a anonymizaci klade důraz na dodržování nezbytných bezpečnostních opatření.
1.12 Správa dokumentů
Společnost RedTractor s.r.o. nakládá s dokumenty v souladu s GDPR. Pravidla pro přijímání, evidování, oběh, ukládání a vyřazení (skartaci) dokumentů ve společnosti RedTractor s.r.o. jsou zakotvena v platných skartačních řádech společnosti RedTractor s.r.o..
Po ukončení archivační doby jsou dokumenty vyřazeny v souladu s nastaveným skartačním řízením, a to s prokazatelným záznamem (schválení vlastníkem dokumentů; schválení příslušného státního oblastního archivu; potvrzení o skartaci).
1.13 Zveřejňování osobních údajů ve veřejných médiích a na intranetu
Společnost RedTractor s.r.o. může osobní údaje zveřejnit na intranetu, internetu nebo v jakémkoli jiném médiu pouze se souhlasem dotčeného subjektu údajů, pokud v konkrétním případě neexistuje jiný právní základ zpracování.
1.14 Informace o zpracování osobních údajů
Pokud společnost RedTractor s.r.o. získává osobní údaje týkající se subjektů údajů přímo od těchto subjektů údajů, jsou těmto subjektům informace o zpracování jejich osobních údajů poskytnuty v okamžiku získání osobních údajů. Pokud osobní údaje nejsou získány přímo od subjektů údajů, jsou jim informace o zpracování poskytnuty následně, většinou při první komunikaci s daným subjektem.
2. Základní termíny/zkratky
Subjekt údajů
Identifikovaná nebo identifikovatelná fyzická osoba, jejíž osobní údaje se zpracovávají; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Správce údajů
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
Zpracovatel
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Osobní údaje
Veškeré informace o identifikované nebo identifikovatelné fyzické osobě.
Zvláštní kategorie osobních údajů
Osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Národní legislativa členských států v oblasti ochrany osobních údajů
Legislativa v oblasti ochrany osobních údajů přijatá členskými státy v souladu s GDPR.
GDPR
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Zpracování osobních údajů
Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Pověřenec
Pověřenec pro ochranu osobních údajů (DPO).
Zástupce v EU
Fyzická nebo právnická osoba usazená v EU, jmenovaná písemně správcem nebo zpracovatelem podle článku 27 GDPR, zastupuje správce nebo zpracovatele při plnění příslušných povinností podle GDPR.
Anonymizované informace
Informace, které se netýkají identifikované či identifikovatelné fyzické osoby, včetně osobních údajů anonymizovaných tak, že subjekt údajů není nebo již přestal být identifikovatelným.
Třetí strana
Jakákoli právnická nebo fyzická osoba, která není zaměstnancem společnosti, s výjimkou subjektů údajů.
Souhlas
Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Příloha č. 1 – Vzor žádosti
Žádost o uplatnění práva subjektu údajů podle GDPR (Obecné nařízení o ochraně osobních údajů)
Poučení pro žadatele
- Prosím vyplňte čitelně.
- Nesprávné, nečitelné nebo neúplné údaje mohou způsobit zamítnutí nebo chybné vyřízení žádosti.
- Není možné vyhovět žádosti, pokud není možné subjekt údajů jednoznačně identifikovat a jeho totožnost ověřit jedním z následujících způsobů:
- úředně ověřeným podpisem žádosti při zaslání poštou v listinné podobě
- prokázáním se platným dokladem totožnosti (občanským průkazem, cestovním pasem, povolením k pobytu) při osobním podání žádosti
- zasláním žádosti elektronicky datovou schránkou fyzické osoby, která je subjektem údajů
- Žádost je možné zaslat poštou na adresu sídla společnosti, které je žádost adresována, nebo podat osobně na příslušné adrese sídla v běžných pracovních hodinách.
- Vaši žádost označte vždy jako "GDPR žádost" (na obálce u adresy; u datové schránky v popisu); neuvedení může způsobit prodloužení vyřízení žádosti.
- Pokud je subjekt údajů zastupován, je vyžadován doklad potvrzující, že je zákonný zástupce / zmocněnec oprávněn jednat jménem subjektu údajů.
- E-mail na žádosti je nepovinný a slouží ke zpřesnění dohledání subjektu údajů, nemusíte jej tedy uvádět.
Máte-li pochybnost či dotaz ke způsobu podání žádosti, můžete nás kontaktovat e-mailem na adrese