Zpracování osobních údajů probíhá v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 o nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a poučení subjektů údajů (dále jen „GDPR“) a zákona č. 110/2019 Sb., o zpracování osobních údajů.
I. Úvodní ustanovení
Zásady zpracování osobních údajů (dále jen „Zásady“) jsou vydány v souladu s GDPR za účelem zajištění informační povinnosti společnosti AutoMax Group s.r.o., a to dle čl. 13 GDPR a dle čl. 14 GDPR.
Cílem Zásad je informovat subjekty údajů o tom, jaké osobní údaje o nich společnost AutoMax Group s.r.o zpracovává, k jakým účelům a jak dlouho je bude společnost AutoMax Group s.r.o. uchovávat, dále také komu a z jakého důvodu je může předat. Dále společnost AutoMax Group s.r.o. informuje v rámci Zásad subjekty údajů o tom, jaká práva jim v souvislosti se zpracováním jejich osobních údajů náleží.
II. Definiční pojmy Správce
Správcem je subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a nese za toto zpracování odpovědnost. Správcem je společnost AutoMax Group s.r.o., Prague Office Park I, se sídlem K Hájům 1233/2, 155 00 Praha 5, IČO: 43873588.
Subjekt údajů
Subjektem údajů je fyzická osoba, jíž se zpracování osobních údajů týká, zejména zaměstnanec správce, uchazeč o zaměstnání u správce, smluvní partner správce (fyzická osoba – podnikající, nepodnikající), subjekt v předsmluvním vztahu se správcem (objednatel před akceptací objednávky, poptávající apod.), subjekt ve smluvním stavu se správcem, uživatel, návštěvník webových stránek.
Osobní údaj
Osobním údajem se pro účely těchto Zásad myslí veškeré informace o identifikovaném či identifikovatelném subjektu údajů ve smyslu čl. 4 odst. 1 GDPR.
Cookies jsou krátké textové soubory, které si ukládá webový nebo mobilní prohlížeč subjektu údajů. Soubory cookies se používají pro zlepšení fungování webových stránek, vyhodnocení jejich návštěvnosti a za účelem lepšího cílení marketingových aktivit. Součástí Zásad jsou Podmínkami užití souborů cookies.
Souhlas
Souhlas je svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Zpracovatel
Zpracovatel je subjekt, který na základě zákona nebo z pověření správce zpracovává osobní údaje pro správce, a to na základě smlouvy o zpracování osobních údajů
III. Zpracovatelé osobních údajů
Správce při plnění svých závazků a povinností ze smluv využívá odborné a specializované služby jiných subjektů, jde zejména o obchodní zastoupení, činnost advokátů, internetovou reklamu apod., kteří za účelem zajištění svých služeb mohou zpracovávat osobní údaje poskytnuté správcem, avšak pouze v rozsahu a v rámci pokynů správce. Správce zpracovatele pečlivě vybírá a s každým zpracovatelem má uzavřenou smlouvu o zpracování osobních údajů. Subjekt údajů tak bere na vědomí, že správce může zpracovateli předat jeho osobní údaje k zajištění daného účelu.
Zpracovateli ve smyslu daných Zásad jsou zejména orgány státní správy, orgány místní samosprávy, veřejné ústavy, bankovní ústavy, pojišťovny a externí subjekty poskytující služby správci v různých oblastech (BOZP, účetnictví, školení, vzdělávání).
IV. Osobní údaje
Ve smyslu čl. 4 odst. 1 GDPR správce o subjektu údajů zpracovává v návaznosti na účel zpracování následující osobní údaje, a to zejména:
a) identifikační a adresní údaje: např. jméno, příjmení, doručovací adresa, sídlo podnikání, DIČ, IČ;
b) další osobní údaje spojené se smluvním vztahem: např. číslo bankovního účtu, historie objednávek;
c) elektronické kontaktní údaje: např. telefonní číslo, e-mailová adresa;
d) jiné elektronické údaje: IP adresa, cookies;
e) další osobní údaje: typicky údaje poskytnuté zákazníkem v objednávkovém formuláři či v jiných dokumentech a při komunikaci se správcem
V. Zdroje osobních údajů
Správce získává osobní údaje, zejména
a) přímo od subjektů údajů (např. registrace, e-maily, telefon, chat, webové stránky, kontaktní formulář na webu, sociální sítě, vizitky, smlouvy, souhlasy, videozáznam pořízený prostřednictvím technického zařízení správce aj.)
b) z veřejné evidence – veřejnou evidencí je pro účely tohoto dokumentu:
veřejný rejstřík dle zákona č. 304/2013 Sb., o veřejných rejstřících právnických a fyzických osob, ve znění pozdějších předpisů, tzn. spolkový rejstřík, nadační rejstřík, rejstřík ústavů, rejstřík společenství vlastníků jednotek, obchodní rejstřík a rejstřík obecně prospěšných společností;
další registry ve smyslu č. 111/2009 Sb., o základních registrech, ve znění pozdějších předpisů.
VI. Rozsah zpracování osobních údajů
Osobní údaje jsou zpracovány v rozsahu, v jakém je příslušný subjekt údajů správci poskytl, a to v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem, nebo které správce shromáždil jinak a zpracovává je v souladu s platnými právními předpisy či k plnění zákonných povinností správce.
c) při provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů
d) z důvodu splnění právní povinnosti vztahující se na správce (včetně archivnictví na základě zákona)
e) z důvodu ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
f) z důvodu splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, ke které je pověřen správce
g) z důvodu oprávněného zájmu správce či třetí strany (včetně archivnictví na základě oprávněného zájmu správce).
Správce zpracovává zvláštní kategorie osobních údajů, tj. citlivé informace o subjektu údajů, pouze:
a) na základě výslovného souhlasu subjektu,
b) k plnění povinností v oblasti pracovního práva, práva sociálního zabezpečení a sociální ochrany,
c) k ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas,
d) jedná – li se o osobní údaje zjevně zveřejněný subjektem údajů,
e) k určení, výkonu nebo obhajobě právních nároků nebo při jednání soudů,
f) pokud zde je významný veřejný zájem,
g) k archivaci ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely.
VIII. Způsob zpracování a ochrany osobních údajů
Zpracování osobních údajů je prováděno v provozovnách správce či sídle správce jednotlivými pověřenými zaměstnanci správce, příp. zpracovatelem. Ke zpracování dochází prostřednictvím výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
IX. Doba zpracování osobních údajů
Správce osobní údaje uchovává pouze po nezbytně nutnou dobu a archivuje je dle zákonných lhůt mu uložených dle jednotlivých právní předpisů, zpravidla se jedná o dobu deseti let od ukončení smluvního vztahu.
Dále správce uchovává osobní údaje v souladu se lhůtami uvedenými v příslušných smlouvách, ve vnitřních předpisech správce či v příslušných právních předpisech. Osobní údaje jsou tedy uchovávány po dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak ze smluv, oprávněných zájmů, tak i z příslušných právních předpisů.
X. Zpracování údajů na základě souhlasu
Správce údajů může zpracovávat údaje o subjektu údajů v souladu s čl. VII Zásad i v případě, že mu ze strany subjektu údajů byl udělen dobrovolný a informovaný souhlas ve smyslu čl. 6 odst. 1 písm. a) GDPR. Souhlas má zpravidla formu zaškrtávacího pole. Souhlas může být udělen k různým účelům společně nebo jednotlivě, např. za účelem zpracování souboru cookies, pro zobrazování případných marketingových sdělení, k nabízení služeb správce, k zasílání obchodních sdělení. Daný souhlas je možno kdykoliv odvolat.
XI. Práva subjektů údajů a povinnosti správce Právo na vysvětlení
1. Každý subjekt údajů, který zjistí nebo se domnívá, že správce nebo zpracovatel provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může:
a) požádat správce o vysvětlení,
b) požadovat, aby správce odstranil takto vzniklý stav, zejména se může jednat o blokování, provedení opravy, doplnění nebo vymazání osobních údajů.
2. Je-li žádost subjektu údajů shledána oprávněnou, správce odstraní neprodleně závadný stav. Nevyhoví-li správce žádosti subjektu údajů, má subjekt údajů právo obrátit se přímo na dozorový úřad, kterým je Úřad na ochranu osobních údajů. Subjekt údajů má také právo obrátit se se svým podnětem na dozorový úřad přímo bez učinění předchozích kroků.
3. Správce je povinen na žádost subjektů údajů o informace reagovat bez zbytečného odkladu, nejpozději však do 1 měsíce od obdržení takové žádosti. V odůvodněných případech může správce tuto lhůtu prodloužit, nejdéle však o 2 měsíce. Správce o prodloužení lhůty informuje subjekt údajů, a to také do 1 měsíce od obdržení žádosti subjektu údajů a sdělí subjektu údajů důvody tohoto prodloužení. V případě, že subjekt údajů podá žádost o informace a sdělení elektronicky, správce mu je poskytne elektronicky, ledaže subjekt údajů nepožádá o jiný způsob poskytnutí informací a sdělení, např. písemně.
4. Pokud subjekt údajů žádá správce o přijetí určitých opatření (opravu jeho osobních údajů, jejich výmaz apod.) a správce takové opatření nepřijme, informuje o tom subjekt údajů neprodleně, nejpozději do 1 měsíce od žádosti o přijetí příslušného opatření, a to včetně důvodů neprovedení těchto opatření a také informace o možnosti subjektu údajů podat stížnost u Úřadu pro ochranu osobních údajů, příp. se obrátit na soud.
5. Informace a sdělení poskytuje správce subjektu údajů bezplatně. V případě, že subjekt údajů činí opakované žádosti, nebo jsou tyto žádosti nedůvodné, či nepřiměřené, správce může žádost subjektu údajů odmítnout anebo uložit přiměřený poplatek pokrývající administrativní náklady spojené s poskytnutím informací a sdělení nebo spojené s provedením požadovaných opatření. Správce musí být schopen nedůvodnost či nepřiměřenost žádosti subjektu údajů doložit.
Právo na informace
1. V případě, že správce získá osobní údaje přímo od subjektu údajů, sdělí při jejich získání subjektu údajů následující informace:
a) identifikační a kontaktní údaje správce a případného zástupce správce;
b) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
c) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování nezbytné pro účely oprávněných zájmů správce, či třetí osoby;
d) případné příjemce nebo kategorie příjemců osobních údajů;
e) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Evropské komise, že tato třetí země nebo mezinárodní organizace poskytuje odpovídající ochranu osobním údajům, dále pak odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
2. Pokud je to nezbytné pro zajištění spravedlivého a transparentního zpracování, správce poskytne subjektu údajů i další informace, zejména dobu zpracování osobních údajů, příp. kritéria pro její stanovení, dále pak informace o právu subjektu údajů na opravu osobních údajů, jejich výmaz apod.
3. V případě, že správce nezíská osobní údaje přímo od subjektu údajů, sdělí při jejich získání subjektu údajů informace uvedené v odst. 1 písm. a), b), d) a e), příp. i další informace dle předchozího odstavce.
4. Správce informuje subjekt údajů o změně účelu zpracování osobních údajů, kdykoliv k ní dojde.
Právo na přístup k informacím o zpracování osobních údajů
1. Správce je povinen na požádání dát subjektu údajů potvrzení o tom, zda správce osobní údaje, které se ho týkají, zpracovává, a pokud ano, zajistit subjektu údajů přístup k těmto údajům a k následujícím informacím:
a) účely zpracování;
b) kategorie dotčených osobních údajů;
c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
f) právo podat stížnost u Úřadu pro ochranu osobních údajů;
g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů.
2. Správce je v souladu s povinnostmi stanovenými v předchozím odstavci povinen poskytnout subjektu údajů kopii zpracovávaných osobních údajů. Za poskytnutí kopií dle předchozí věty může správce účtovat přiměřený administrativní poplatek.
Právo na opravu osobních údajů
Správce má povinnost bez zbytečného odkladu opravit nepřesné osobní údaje týkající se subjektu údajů, doplnit neúplné osobní údaje, kdykoliv mu taková změna bude oznámena.
Právo na výmaz osobních údajů
1. Správce má povinnost bez zbytečného odkladu vymazat osobní údaje, týkající se subjektu údajů, pokud je naplněn jeden z následujících důvodů:
a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b) subjekt údajů odvolá souhlas, pokud byly osobní údaje zpracovávány na základě tohoto souhlasu, a neexistuje žádný další právní důvod pro zpracování;
c) subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;
d) osobní údaje byly zpracovány protiprávně;
e) osobní údaje musí být vymazány za účelem splnění právní povinnosti stanovené právem Evropské unie nebo právním řádem České republiky.
2. V případě, že správce osobní údaje subjektu údajů zveřejnil a je povinen je vymazat, musí správce přijmout (s ohledem na dostupnou technologii a náklady) přiměřené kroky k tomu, aby informoval jiné správce osobních údajů, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie i replikace.
3. Správce není povinen osobní údaje vymazat, pokud je zpracování osobních údajů pro něj nezbytné, např. pro splnění právní povinnosti, jež vyžaduje zpracování osobních údajů právem Evropské unie nebo právním řádem České republiky, které se na správce vztahuje, nebo pro určení, výkon nebo obhajobu svých právních nároků apod.
Právo na omezení zpracování osobních údajů
1. Správce je povinen omezit zpracování osobních údajů subjektu údajů, pokud:
a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
d) subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce pro zpracování převažují nad oprávněnými důvody subjektu údajů.
2. V případě, že správce omezil zpracování osobních údajů dle předchozího odstavce, mohou být tyto osobní údaje zpracovávány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu Evropské unie.
3. Správce předem informuje subjekt údajů o zrušení omezení zpracování osobních údajů dle odst. 1.
Právo na odvolání souhlasu se zpracováním osobních údajů
Subjekt údajů může kdykoliv souhlas se zpracováním osobních údajů udělený podle čl. X Zásad odvolat, a to zasláním požadavku na adresu lucie.vitaskova@automax-group.com
Právo vznést námitku proti zpracování osobních údajů
1. Subjekt údajů může kdykoliv vznést námitku proti zpracování osobních údajů, které správce zpracovává z důvodu oprávněného zájmu, a to v souladu s čl. 21 GDPR.
2. V případě, že subjekt údajů vznese námitku proti zpracování osobních údajů, které správce zpracovává za účelem oprávněných zájmů správce, či třetí osoby, správce na základě této námitky osobní údaje dále nezpracovává, ledaže prokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Správce musí subjekt údajů o tomto právu informovat, a to nejpozději při první komunikaci se subjektem údajů.
Právo podat stížnost u dozorového úřadu
Subjekt údajů má právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů, pokud se domnívá, že při zpracování jeho osobních údajů došlo k porušení pravidel ochrany osobních údajů.
XII. Ověření totožnosti subjektu údajů
1. V případě, že správce obdrží podání subjektu údajů, kterým v souladu s GDPR
a) uplatňuje právo na přístup ke svým osobním údajům, a/nebo,
b) žádá o vyřízení žádosti o potvrzení, zda správce ve smyslu GDPR zpracovává osobní údaje týkající se žadatele, a/nebo,
c) žádá o bezplatné poskytnutí kopií zpracovávaných osobních údajů a/nebo,
d) žádá o sdělení, které kategorie osobních údajů jsou zpracovávány, a/nebo,
e) žádá o sdělení, za jakým účelem jsou osobní údaje zpracovávány, a/nebo,
f) žádá o sdělení, jaká je plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, jaká jsou kritéria použitá ke stanovení této doby, a/nebo,
g) žádá o sdělení, zda (a za jakých podmínek) může po správci požadovat opravu nebo výmaz osobních údajů, omezení jejich zpracovávání, popřípadě zda a jak může subjekt údajů podat námitku proti zpracovávání mých osobních údajů, a/nebo,
h) žádá o sdělení, zda (a jak) může subjekt údajů podat stížnost u dozorového úřadu a kdo je tímto dozorovým úřadem, a/nebo,
i) žádá o sdělení veškerých dostupných informací o zdroji osobních údajů, které se subjektu údajů týkají, pokud nebyly získány přímo od něj, a/nebo,
j) žádá o sdělení, zda vzhledem ke zpracovávání osobních údajů subjektu údajů dochází rovněž k automatizovanému rozhodování, včetně profilování uvedenému v čl. 22 odst. 1 a 4 GDPR, a přinejmenším v těchto případech dále žádá o poskytnutí smysluplných informací týkajících se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro jeho osobu, a/nebo,
k) žádá o sdělení, kdo jsou příjemci osobních údajů tohoto subjektu údajů, popřípadě žádá uvést jejich kategorie, kterým byly nebo budou zpřístupněny jeho osobní údaje, a/nebo,
l) žádá o sdělení příjemců ze třetích zemí a mezinárodních organizací, kteří měli nebo budou mít k dispozici osobní údaje subjektu údajů, a/nebo,
m) žádá o poskytnutí informací ohledně záruk dle čl. 46 GDPR v případě, že se osobní údaje předávají do třetí země nebo mezinárodní organizaci,
je správce povinen před zpracováním shora uvedených žádostí dostatečně ověřit identitu žadatele. Má-li správce pochybnosti o totožnosti žadatele, má právo si od žadatele vyžádat dodatečné informace nezbytné k potvrzení jeho totožnosti, a to zcela v souladu s čl. 12 odst. 6 GDPR.
2. Správce je oprávněn v případě pochybností o identitě žadatele vyžádat si od této osoby:
a) zaslání žádosti s ověřeným podpisem žadatele v případě, že žadatel učinil žádost v listinné formě,
b) zaslání žádosti s elektronickým podpisem, tj. s údaji v elektronické podobě, které jsou připojené k datové zprávě nebo jsou s ní logicky spojené, a které slouží jako metoda k jednoznačnému ověření identity podepsané osoby ve vztahu k datové zprávě
c) zaslání žádosti datovou schránkou, má-li ji žadatel zřízenu
3. Správce není oprávněn vyžadovat další informace k ověření identitě žadatele zejména v případech, kdy:
a) správce v rozhodné době (tj. době podání příslušné žádosti) zpracovává emailový kontakt jako osobní údaj žadatele, ze kterého byla příslušná žádost odeslána
b) správce v rozhodné době zpracovává telefonní číslo žadatele, pak učiní telefonát na toto telefonní číslo za účelem ověření identity žadatele a dle dohody s žadatelem pak zašle požadované informace či sdělí další skutečnosti týkající se zpracování osobních údajů elektronicky na žadatelem udanou emailovou adresu či písemně na žadatelem udanou adresu,
c) správce má možnost identitu žadatele ověřit jinak (např. prostřednictvím veřejných rejstříků, dosavadní komunikace)
d) subjekt údajů učinil žádost osobně před příslušným pracovníkem správce či jinou jím pověřenou osobou.
XIII. Závěrečná ustanovení
Správce nezpracovává osobní údaje dětí ani zvláštní kategorie osobních údajů, tzv. citlivé osobní údaje, ve smyslu čl. 9 odst. 1 GDPR.
Při zpracování osobních údajů nedochází k automatizovanému individuálnímu rozhodování, a to ani na základě profilování ve smyslu čl. 22 GDPR.
Správce po ukončení poskytování služeb nebo zániku důvodu pro zpracovávání údajů osobní údaje subjektu údajů zlikviduje.
Všechny údaje o subjektu údajů jsou ukládány na území Evropské unie nebo ve třetích zemích při splnění podmínek pro předávání údajů do třetích zemí ve smyslu čl. 44 a násl. GDPR.
Osobní údaje jsou zpravidla zpracovávány v elektronické podobě.
Správce je oprávněn Zásady měnit. Pokud dojde ke změně Zásad správce subjekt údajů o dané změně informuje.
Pro případ dotazů týkajících se zpracování osobních údajů subjektů údajů lze kontaktovat ustaveného zaměstnance, a to na e-mail:: lucie.vitaskova@automax-group.com
Poslední aktualizace tohoto Prohlášení provedena dne 27. 1. 2022