Informace o zpracování a ochraně osobních údajů
dle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „nařízení“) a zákona č. 110/2019 Sb., o zpracování osobních údajů
1. Identifikace a kontaktní údaje správce
Cardiomedical, s.r.o.
IČ: 05448841
se sídlem Na Poříčí 1079/3a, Nové Město, 110 00 Praha 1
zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, pod sp. zn. C 263797
(dále jen „společnost“)
Kontaktní údaje pro účely ochrany osobních údajů:
datová schránka: r2q39yv
e-mail: objednavky@cardiomedical.cz
Společnost není povinna jmenovat pověřence pro ochranu osobních údajů.
2. Pojmy
-
- zpracováním se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromažďování, zaznamenávání, uspořádání, strukturování, ukládání, přizpůsobení nebo pozměnění, vyhledávání, nahlížení, užití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení,
- osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby,
- správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů,
- zpracovatelem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce,
- příjemcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli,
- zvláštní kategorií osobních údajů se rozumí osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Zpracování těchto údajů je povoleno jen v taxativně vymezených případech.
3. Zpracování osobních údajů
Zpracování osobních údajů bez souhlasu subjektu údajů je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů
(např. kupní smlouva, smlouva o poskytování služeb, smlouva o dílo, nájemní smlouva…),
b. zpracování je nezbytné pro splnění právní povinnosti správce
(např. povinnosti zaměstnavatele podle zákoníku práce, předpisů o zdravotním a sociálním zabezpečení a předpisů o evidenci daní, vedení zdravotnické dokumentace v rozsahu stanoveném příslušnými právními předpisy, zpracování údajů ze žádanek o vyšetření biologického materiálu…),
c. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
(např. humanitární účely, monitorování epidemií a jejich šíření, naléhavé humanitární situace, zejména přírodní a člověkem způsobené katastrofy…),
d. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
(správce může být orgány veřejné moci přizván k účasti na jejich činnosti, např. subdodávky, řešení humanitárních situací),
e. zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě
(např. provozování kamerových systémů nebo vedení knihy návštěv za účelem zajištění bezpečnosti a ochrany majetku…).
Zpracování osobních údajů pro jiné než shora uvedené účely je možné pouze se souhlasem subjektu údajů. Subjekt údajů má právo svůj souhlas kdykoli odvolat, a to stejným způsobem, jakým byl souhlas udělen, nebo zasláním zprávy do datové schránky nebo na e-mailovou adresu objednavky@cardiomedical.cz. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, jenž byl dán před jeho odvoláním. Odvolání souhlasu též nemá vliv na zpracování osobních údajů, které správce zpracovává na základě jiného právního titulu, než je souhlas.
4. Subjekty osobních údajů, kategorie osobních údajů
Společnost zpracovává zejména údaje o
-
- svých zaměstnancích, příp. osobách jim blízkých,
- zákaznících, obchodních partnerech.
Společnost nezpracovává zvláštní kategorie osobních údajů.
V závislosti na účelu a subjektu údajů mohou být zpracovávány tyto kategorie osobních údajů:
- zaměstnanci
-
- jméno
- příjmení
- pohlaví
- věk
- místo narození
- datum narození
- rodné číslo
- osobní stav
- adresa bydliště, přechodného či jiného pobytu
- telefonní číslo
- číslo účtu
- počet dětí
- dosažené vzdělání
- odborné znalosti a dovednosti
- kód zdravotní pojišťovny
- výška
- váha
- velikost oděvů
- velikost obuvi
- členství v odborech
- snímek obličeje
- obrazový záznam
- zdravotní stav
- alergie
- zákazníci, obchodní partneři
-
- jméno
- příjmení
- datum narození
- rodné číslo
- adresa bydliště, přechodného či jiného pobytu
- telefonní číslo
- číslo účtu
5. Přístup k osobním údajům
Zpracování osobních údajů provádí společnost sama, nebo tím pověří třetí osobu (zpracovatele). Zaměstnanci společnosti i další zpracovatelé jsou vázáni povinností mlčenlivosti a nesmějí využít poskytnuté údaje k žádným jiným účelům, než ke kterým jim byly zpřístupněny.
Společnost i zpracovatelé jsou povinni zajistit takové technické a organizační zabezpečení osobních údajů, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k údajům či k jejich jinému zneužití.
Třetími stranami/příjemci, které mohou mít přístup k osobním údajům, jsou:
-
- orgány veřejné moci a jimi zřizované subjekty,
- dodavatelé účetních, auditních a právních služeb,
- dodavatelé zajišťující technický provoz služeb nebo provozující potřebné technologie,
- dodavatelé zajišťující bezpečnost informačních systémů a technologií,
- dodavatelé archivačních služeb,
- dodavatelé poštovních a přepravních služeb,
- poskytovatelé platebních bran,
- subjekty, kterým je společnost povinna některé osobní údaje předat na základě platných právních předpisů např. Policie ČR, popř. jiné orgány činné v trestním řízení, soudy, zdravotní pojišťovny, orgány sociálního zabezpečení, finanční orgány.
Všem uvedeným osobám je přístup k osobním údajům umožněn vždy jen v nezbytně nutném rozsahu.
6. Doba zpracování osobních údajů
Osobní údaje jsou v souladu se zásadou omezení uložení zpracovávány pouze po dobu nezbytnou pro naplnění účelu zpracování. V případě uděleného souhlasu se zpracováním osobních údajů po dobu maximálně 10 let, nebude-li tento souhlas subjektem údajů odvolán dříve.
Společnost je oprávněna dále zpracovávat osobní údaje pro splnění svých další zákonných povinností (např. archivace, bezpečnost, obhajoba právních nároků), v souladu s příslušnými právními předpisy a po dobu jimi stanovenou, a to i po případném odvolání souhlasu subjektu údajů.
7. Ochrana osobních údajů
Společnost za účelem ochrany osobních údajů, aby nemohlo dojít k náhodnému nebo protiprávnímu zničení, ztrátě, pozměňování, neoprávněnému zpřístupnění osobních údajů, nebo neoprávněnému přístupu k nim:
a. chrání prostory, v nichž jsou uloženy dokumenty nebo nosiče dat obsahující zpracovávané osobní údaje (zámky, přístupové kódy, monitorovací systémy, bezpečnostní personál apod.),
b. poučuje zaměstnance pověřené zpracováním osobních údajů o pravidlech zpracování a ochrany osobních údajů a o dalších povinnostech vyplývajících z nařízení a souvisejících právních předpisů,
c. používá technické zařízení a programové vybavení způsobem, který v nejvyšší možné míře vyloučí neoprávněný nebo nahodilý přístup k osobním údajům (přístupová hesla, spořiče obrazovek, šifrování, antivirové filtry apod.),
d. dálkový přenos osobních údajů provádí prostřednictvím zabezpečené komunikace,
e. provádí pravidelná testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
8. Práva subjektu osobních údajů
a. Právo na přístup k osobním údajům. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se jej týkají, jsou či nejsou zpracovávány. Má právo získat přístup ke zpracovávaným osobním údajům a k informacím o účelu zpracování, kategorii dotčených osobních údajů, příjemci nebo kategorie příjemců, plánované době uložení, existenci svých práv, informaci o zdroji osobních údajů, automatizovaném rozhodování, profilování. Správce je povinen poskytnout subjektu údajů na žádost kopii zpracovávaných osobních údajů. Za další kopie může správce účtovat přiměřený poplatek na základě administrativních nákladů.
b. Právo na opravu. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se jej týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů.
c. Právo na výmaz („právo být zapomenut“). Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, pokud je dán jeden z těchto důvodů:
-
-
-
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
- subjekt údajů odvolá souhlas se zpracováním a neexistuje žádný další právní důvod pro zpracování
- subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
- osobní údaje byly zpracovány protiprávně
- osobní údaje musí být vymazány ke splnění právní povinnosti
-
-
d. Právo na omezení zpracování. Subjekt údajů má právo na to, aby správce omezil zpracování, jestliže:
-
-
-
- subjekt údajů popírá přesnost osobních údajů
- zpracování je protiprávní, subjekt údajů odmítá výmaz a žádá místo toho omezení použití
- správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
- subjekt údajů vznesl námitku proti zpracování
-
-
e. Právo na přenositelnost údajů. Subjekt údajů má právo získat osobní údaje, které se jej týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, jestliže zpracování je založeno na souhlasu subjektu údajů nebo na smlouvě a provádí se automatizovaně.
f. Právo vznést námitku. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají.
9. Dozorový úřad
Monitorováním uplatňování nařízení s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů jsou jednotlivými členskými státy EU pověřeny dozorové úřady.
Pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno nařízení, má právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení.
Dozorovým úřadem České republiky je:
Úřad pro ochranu osobních údajů
Pplk. Sochora 27,
170 00 Praha 7
IČO: 70837627
ID datové schránky: qkbaa2n
E-mail: posta@uoou.gov.cz
Konzultace k GDPR: +420 234 665 800