ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ÚAMK a.s. A PRÁVA SUBJEKTŮ ÚDAJŮ A JEJICH UPLATŇOVÁNÍ

GDPR

 Informace o ochraně osobních údajů a jejich zpracování v rámci společnosti ÚAMK a.s. a o právech subjektů údajů podle Nařízení GDPR určená k uveřejnění a poskytování subjektům údajů

1. Předmět

  • Společnost ÚAMK a.s., se sídlem Na Strži 1837/9, 140 00 Praha 4 – Krč, IČO: 60192798, zapsaná v obchodním rejstříku u Městského soudu v Praze, oddíl B, vložka 2275 (dále jen „ÚAMK“), zavedl, dodržuje a pravidelně aktualizuje vnitřní předpisy, které upravují povinnosti vyplývající pro ÚAMK v oblasti ochrany osobních údajů vyplývají z Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů)(dále jen „GDPR“), a z dalších souvisejících předpisů vytvářejících právní rámec ochrany osobních údajů aplikovatelný na činnost ÚAMK.
  • Tento dokument shrnující zásady zpracování osobních údajů společnosti ÚAMK (dále jen „Zásady“) slouží k poskytnutí informace subjektům údajů o tom, jaké osobní údaje ÚAMK v rámci své činnosti zpracovává, včetně informací o tom, pro jaké časové období a z jakého důvodu tak činí. Zásady rovněž obsahují základní informace o právech a povinnostech subjektů údajů podle GDPR a o způsobech jejich uplatnění.
  • Zásady jsou účinné od 25.5.2018.

2. KATEGORIE OSOBNÍCH ÚDAJŮ

  • Osobními údaji jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě. V rámci činnosti ÚAMK může dojít ke zpracování následujících kategorií osobních údajů:
    • identifikační údaje, například jméno a příjmení, titul, datum narození nebo rodné číslo, IČ, DIČ, číslo identifikačních dokladů, podpis;
    • kontaktní údaje, například telefonní číslo, e-mail, adresa trvalého pobytu, kontaktní adresa, fakturační adresa, jiné komunikační adresy nebo sociální sítě, bankovní spojení;
    • údaje o poskytnutých službách, například druh poskytnuté služby [nebo dodaného zboží] a jejich objem, údaje týkající se vozidel příjemců služeb, informace o platební morálce, další relevantní údaje týkající se zpracování;
    • údaje o odebraných službách, například druh poskytnuté služby [nebo odebraného zboží] a jejich objem, další relevantní údaje týkající se zpracování;
    • údaje z komunikace mezi zákazníkem a ÚAMK, údaje z komunikace mezi dodavatelem a ÚAMK, údaje související se sjednáváním a plněním smluv o poskytnutí služeb [nebo prodeji zboží];
    • záznamy z bezpečnostních kamer v sídle ÚAMK, záznamy z kamer umístěných ve vozech ÚAMK, údaje o návštěvě prostor ÚAMK a akcí pořádaných ÚAMK;
    • další údaje získané na základě souhlasu subjektu údajů, například údaje získané marketingovým průzkumem, údaje o využívání služeb [a odběru zboží], zákaznické preference, údaje o slevách a bonusech a jejich využívání.

3. zpracování osobních údajů

  • V souladu s článkem 6 GDPR je zpracování osobních údajů přípustné:
  • na základě souhlasu subjektu údajů;
  • pro účely splnění či uzavření smlouvy;
  • pro splnění právní povinnosti;
  • pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  • pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci; nebo
  • pro účely oprávněných zájmů ÚAMK či třetí strany, pokud nemá před těmito zájmy přednost zájem subjektu údajů.
  • V případě odmítnutí subjektu údajů poskytnout ÚAMK osobní údaje v rozsahu nezbytném pro splnění smlouvy, v rozsahu vyžadovaném právními předpisy a v rozsahu nezbytném pro ochranu oprávněných zájmů ÚAMK nemůže ÚAMK poskytnout předmětnou službu [či dodat zboží]. Ke zpracování osobních údajů se v těchto případech nevyžaduje zvláštní souhlas. Tento souhlas není vyžadován také v dalších případech, kdy je možné zpracovávat osobní údaje na základě jiného z výše uvedených právních důvodů.
  • Veškeré osobní údaje poskytnuté ÚAMK jsou zpracovávány pro stanovený účel, přičemž nikdy nedochází ke zpracování těchto osobních údajů způsobem, který je s těmito účely neslučitelný. ÚAMK zároveň zpracovává osobní údaje pouze po dobu nezbytnou ke splnění příslušného účelu, s výjimkou zpracování osobních údajů na základě právního předpisu, které probíhá po dobu stanovenou příslušným právním předpisem.
  • ÚAMK zpracovává elektronické kontakty pro účely šíření vlastních obchodních sdělení. Obchodní sdělení ÚAMK jsou zřetelně označena jako obchodní sdělení a neskrývají totožnost odesílatele. Adresáti mají možnost jejich zasílání kdykoli odmítnout. Tato možnost a příslušný kontakt k zaslání odmítnutí jsou v obchodním sdělení vždy uvedeny.
  • ÚAMK zpracovává osobní údaje k šíření svých obchodních sdělení i na základě souhlasu se zpracováním osobních údajů k marketingovým a obchodním účelům.
  • Účelem zpracování osobních údajů, k jejichž zpracování je nezbytný souhlas, je především zkvalitňování služeb, nabízení na míru šitých služeb zákazníkům nebo oslovování zákazníků a potenciálních zákazníků (telefonicky, elektronicky, písemně, jinými formami reklamy a dalšími prostředky). Z osobních údajů získaných na základě souhlasu mohou být pro tyto účely vytvářeny i profily zákazníků nebo anonymizované databáze chování zákazníků při využívání služeb a odběru produktů ÚAMK.
  • Osobní údaje získané na základě souhlasu je možné zpracovávat výhradně po dobu platnosti uděleného souhlasu. Udělení souhlasu je dobrovolné a je tak možné souhlas kdykoli odvolat. Odvolání souhlasu je nutné učinit výslovným, srozumitelným a určitým projevem vůle.
  • Osobní údaje jsou zpracovávány ručně i automatizovaně.
  • Pro lepší představu o typických účelech zpracování osobních údajů uplatňujících se v rámci činnosti ÚAMK uvádíme konkrétní příklady některých účelů zpracování:
    • identifikace zákazníka (splnění smlouvy);
    • poskytování asistenčních služeb (splnění smlouvy);
    • poskytování služeb autoškoly (splnění smlouvy);
    • provozování systému slevových karet (splnění smlouvy);
    • vyúčtování za služby (splnění smlouvy);
    • evidence dlužníků a vymáhání pohledávek (oprávněný zájem ÚAMK);
    • bezpečnost a ochrana majetku (oprávněný zájem ÚAMK);
    • plnění daňových nebo zaměstnavatelských povinností (splnění zákonných povinností); a
    • marketing a obchodní účely (souhlas subjektu);
    • poskytování dopravních a turistických informací (splnění smlouvy/souhlas subjektu).

4. Příjemci osobních údajů a sdílení s jinými správci

  • ÚAMK předává osobní údaje jinému správci, pokud tak stanoví právní předpis, je-li to nezbytné pro účely splnění smlouvy nebo z důvodu ochrany oprávněného zájmu ÚAMK či třetí strany, pokud nemá před těmito zájmy přednost zájem subjektu údajů. V ostatních případech ÚAMK předává osobní údaje jinému správci výhradně na základě souhlasu subjektu údajů. Udělení souhlasu je dobrovolným rozhodnutím subjektu údajů, ke kterému není subjekt údajů jakýmkoli způsobem nucen.
  • Při své činnosti využívá ÚAMK služeb odborných specializovaných subjektů, například advokátů, auditorů, dodavatelů IT systémů, marketingových odborníků, znalců nebo obchodních zástupců. Tyto osoby vystupují zpravidla v pozici zpracovatele osobních údajů, se všemi povinnostmi s tím spojenými, a nakládají s nimi podle pokynů ÚAMK. V případě, že jsou osobní údaje předány subjektům, které vystupují v pozici správce osobních údajů, vztahuje se na ně právní rámec ochrany osobních údajů stanovený v GDPR a dalších souvisejících předpisech - tímto je subjektům údajů garantována vysoká úroveň ochrany osobních údajů. K předání osobních údajů třetím osobám dochází vždy v souladu s příslušnými právními předpisy při zachování práv subjektů údajů.

5. Práva subjektu údajů

  • Předpokladem uplatnění práv subjektu údajů podle nařízení GDPR je, v souvislosti se zpracováním osobních údajů ze strany ÚAMK (jak jsou specifikována v následujících bodech této části 5. Zásad), náležité prokázání totožnosti subjektu údajů, která umožní potřebnou identifikaci subjektu údajů či jiné oprávněné osoby.

5.1 Právo na poskytnutí informací

  • Za podmínek stanovených v článcích 13 a 14 GDPR poskytne ÚAMK subjektu údajů informace týkající se zpracování osobních údajů, a to vždy alespoň do té míry, ve které subjekt údajů těmito informace již nedisponuje. Jedná se zejména o (i) kontaktní údaje ÚAMK, (ii) účely zpracování osobních údajů, (iii) kategorie dotčených osobních údajů, (iv) případné příjemce či kategorie příjemců osobních údajů a (v) případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci. Rozsah poskytovaných informací a doba jejich poskytnutí se liší dle specifik konkrétního případu, a to vždy dle specifikace vyplývající z GDPR.
  • Obdobně jako v případě odstavce výše postupuje ÚAMK v případech, kdy ÚAMK hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány. V těchto situacích poskytne ÚAMK subjektu údajů potřebné informace ještě před uvedeným dalším zpracováním.

5.2 Právo na přístup k osobním údajům

  • Dle článku 15 GDPR má subjekt údajů zejména právo získat od ÚAMK potvrzení, zda osobní údaje, které se jej týkají, jsou či nejsou zpracovávány. Pokud zpracovávány jsou, má subjekt údajů právo k nim získat přístup.
  • Subjekt údajů má dále právo na informaci o (a) účelu zpracování osobních údajů, (b) kategorii dotčených osobních údajů, (c) příjemcích nebo kategoriích příjemců osobních údajů, (d) plánované době uložení osobních údajů, (e) existenci práva požadovat od ÚAMK opravu, výmaz nebo omezení zpracování osobních údajů a možnosti vznést námitku proti zpracování osobních údajů, (f) právu podat stížnost u dozorového úřadu, (g) zdroji osobních údajů, (h) skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, (i) o opatřeních přijatých při předávání osobních údajů do zemí mimo EU/EHP.

5.3 Právo na opravu

  • Dle článku 16 GDPR má subjekt údajů právo, aby ÚAMK bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má také právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

5.4 Právo na výmaz („být zapomenut“)

  • Subjekt údajů dle článku 17 GDPR právo na to, aby ÚAMK bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, a ÚAMK má povinnost osobní údaje bez zbytečného odkladu vymazat, a to zejména v případech, kdy (a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, (b) subjekt údajů odvolá udělený souhlas a neexistuje žádný další právní důvod zpracování, (c) subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, (d) osobní údaje byly zpracovány protiprávně, (e) osobní údaje musí být vymazány ke splnění právní povinnosti ÚAMK, nebo (f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti. Výjimky, kdy se práva na výmaz nelze domáhat plynou zejména z plnění povinností stanovených právními předpisy.

5.5 Právo na omezení zpracování

  • Dle článku 18 GDPR má subjekt údajů právo na to, aby ÚAMK zpracování osobních údajů omezil, pokud (a) subjekt údajů popírá přesnost osobních údajů, (b) zpracování osobních údajů ze strany ÚAMK je protiprávní a subjekt údajů odmítá jejich výmaz a žádá omezení, (c) ÚAMK osobní údaje nadále nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků, nebo (d) subjekt údajů vznesl námitku proti zpracování a dochází ke srovnávání kolidujících oprávněných zájmů.
  • O zrušení omezení zpracování bude subjekt údajů ze strany ÚAMK předem informován. Výjimky, kdy se práva na omezení zpracování nelze domáhat plynou zejména z plnění povinností stanovených právními předpisy.

5.6 Oznámení o opravě, výmazu nebo omezení zpracování

  • Dle článku 19 GDPR má subjekt údajů právo, aby ÚAMK oznámil veškeré opravy, výmazy nebo omezení zpracování osobních údajů jednotlivým příjemcům osobních údajů. To neplatí, pokud se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. O příjemcích musí být subjekt údajů informován, pokud tuto informaci požaduje.

5.7 Právo na přenositelnost údajů

  • Za podmínek článku 20 GDPR má subjekt údajů právo získat své osobní údaje, které poskytl ÚAMK, ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů má dále právo tyto údaje předat jinému správci nebo požádat ÚAMK, je-li to technicky proveditelné, aby je tomuto jinému správci sám předal přímo.

5.8  Právo vznést námitku

  • Dle článku 21 GDPR má subjekt údajů, z důvodů týkajících se své konkrétní situace, právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají a které jsou zpracovávány ÚAMK pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo pro účely oprávněných zájmů ÚAMK jakožto správce či třetí strany. Pokud v těchto případech ÚAMK neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků, nebude ÚAMK osobní údaje dále zpracovávat.
  • V případě, že subjekt údajů podá námitku proti zpracování osobních údajů shromážděných pro účely přímého marketingu, což zahrnuje i profilování, nebudou ze strany ÚAMK osobní údaje pro tyto účely nadále zpracovávány.

5.9 Automatizované individuální rozhodování, včetně profilování

  • Dle článku 22 GDPR má subjekt údajů právo nebýt předmětem jakéhokoli rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
  • ÚAMK nečiní žádná rozhodnutí s právními účinky pro subjekt údajů výhradně na základě automatizovaného zpracování, včetně profilování. Každé takové rozhodnutí ÚAMK je zásadně činěno po posouzení k tomu příslušnou kvalifikovanou osobou.

5.10 Oznamování případů porušení zabezpečení

  • Dle článku 34 GDPR má subjekt údajů právo být ze stranu ÚAMK informován, pokud dojde k takovému porušení zabezpečení osobních údajů, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

6. ŽÁDOSTI, STÍŽNOSTI, NÁMITKY nebo podněty

  • Z nařízení GDPR plynou subjektům údajů četná práva, která mají sloužit k zajištění vysoké úrovně ochrany jejich osobních údajů. ÚAMK ochranu osobních údajů a soukromí subjektů údajů vždy považuje za prioritu. Ve věci svých práv se na nás proto neváhejte kdykoliv obrátit s jakýmikoli žádostmi, stížnostmi, námitkami (včetně kvalifikované námitky podle článku 21 GDPR), dotazy nebo podněty (dále společně jen „Žádost“).
  • V jakékoli záležitosti týkající se osobních údajů je možné ÚAMK a.s. kontaktovat prostřednictvím speciálně zřízené e-mailové adresy nebo písemně na adrese ÚAMK a.s., Na Strži 1837/9, 140 00 Praha 4 – Krč, k rukám Ing. Ivana Ivanča, osoby pověřené v oblasti ochrany osobních údajů.
  • Pro rychlejší vyřízení záležitosti a obdržení dřívější odpovědi lze využít vzorový formulář, který naleznete na www.uamk.cz/gdpr_doc/Vzor_zadost.docx
  • V případě, že Žádost bude obsahovat všechny potřebné údaje a relevantní informace pro její vyřízení, bude ÚAMK a.s. žadatele kontaktovat a informovat o přijatém opatření.
  • V případě, že Žádost nebude obsahovat všechny potřebné údaje a relevantní informace pro vyřízení záležitosti, bude ÚAMK a.s. žadatele kontaktovat s požadavkem o doplnění Žádosti. Po doplnění potřebných údajů a informací vyřeší ÚAMK a.s. záležitost standardním postupem.
  • Za účelem ověření oprávněnosti Žádosti a k jejímu řádnému vyřízení může být žadatel požádán o prokázání své totožnosti či doložení jiných nezbytných informací.

7. ÚŘAD NA OCHRANU OSOBNÍCH ÚDAJŮ

  • Subjekt údajů má právo obrátit se kdykoli se stížností na Úřad pro ochranu osobních údajů (Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz, Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript., tel. +420 234 665 111).

8. Pověřená osoba

  • Osobou pověřenou ÚAMK v oblasti ochrany osobních údajů je Ing. Ivan Ivančo (e-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript., tel. 261 104 591).