Pravidla ochrany osobních informací 2018-06-20T14:21:34+00:00

Pravidla ochrany osobních informací

 

Společnosti skupiny ePurse Group v České republice, tj. společnosti Retailtrek a.s., Paynovatio a.s. a Vissto s.r.o. (dále jednotlivě jen společnost),

 

přijaly v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen GDPR)

tato pravidla ochrany osobních údajů (dále jen pravidla):

  1. Úvodní ustanovení
    • Cílem těchto pravidel je poskytnout informace o tom, jaké osobní údaje společnost (jako správce) zpracovává o fyzických osobách při své podnikatelské činnosti, k jakým účelům a jak dlouho společnost tyto údaje v souladu s platnými právními předpisy zpracovává, a rovněž informovat dotčené fyzické osoby
      o tom, jaká práva fyzickým osobám v souvislosti se zpracováním jejich osobních údajů náleží.
    • Tato pravidla se týkají zpracování osobních údajů návštěvníků obchodních prostor, klientů (uživatelů služeb) společnosti, zaměstnanců a uchazečů o zaměstnání ve společnosti a dalších fyzických osob spolupracujících se společností, a to vždy v rozsahu osobních údajů odpovídajících jejich postavení vůči společnosti.
    • Tato pravidla a práva a povinnosti dotčených osob se řídí GDPR a souvisejícími právními předpisy. Není-li v těchto pravidlech uvedeno jinak, mají pojmy v nich použité stejný význam jako pojmy použité v GDPR.
    • Kontaktní údaje společnosti, které lze použít při uplatňování jakýchkoli práv vůči společnosti a komunikaci se společností v souvislosti se zpracováváním osobních údajů, jsou uvedeny v čl. 8.1 těchto pravidel.
    • Tato pravidla jsou závazná pro společnost a zaměstnance společnosti okamžikem jejich účinnosti. Společnost zajistí, aby zaměstnanci společnosti byli s těmito pravidly seznámeni.
  2. Právní základ a účel zpracování
    • Společnost zpracovává osobní údaje v nezbytném rozsahu pro účely svého podnikání v rozsahu předmětu podnikání zapsaného v obchodním rejstříku, zejména pak za účelem komunikace se zákazníky prostřednictvím digitálních mobilních technologií a vyhodnocování chování zákazníků (společnost Retailtrek a.s.), implementace platebních řešení (společnost Paynovatio a.s.) a služeb v oblasti vizualizace dat (společnost Vissto s.r.o.), plnění právních povinností společnosti, včetně zejména plnění povinností zaměstnavatele, a ochranu svých oprávněných zájmů.
    • Osobní údaje dotčených fyzických osob jsou zpracovávány na základě právních důvodů uvedených v GDPR, a to z důvodu plnění smlouvy, jejíž smluvní stranou je daná fyzická osoba (čl. 6 odst. 1 písm. b) GDPR), za účelem plnění právních povinností uložených společnosti (čl. 6 odst. 1 písm. c) GDPR), za účelem ochrany oprávněných zájmů společnosti (čl. 6 odst. 1 písm. f) GDPR) anebo na základě souhlasu dotčené fyzické osoby (čl. 6 odst. 1 písm. a) GDPR).
  • Rozsah zpracovávaných údajů
    • Společnost zpracovává osobní údaje u těchto kategorií subjektů údajů:
      • návštěvníků obchodních prostor (pro monitoring návštěvnosti a chování zákazníků);
      • svých klientů (uživatelů služeb);
      • svých zaměstnanců a uchazečů o zaměstnání;
      • svých statutárních orgánů a společníků;
      • svých obchodních partnerů;
      • jiných osob, jejichž osobní údaje byly společnosti sděleny a společnost je bude využívat v souvislosti se svým podnikáním.
    • Společnost zpravidla zpracovává tyto kategorie údajů s přihlédnutím ke konkrétnímu postavení subjektu údajů a souvisejícím povinnostem společnosti:
      • v případě návštěvníků obchodních prostor:

provozní a lokační údaje (např. MAC adresa koncového zařízení), kamerové záznamy z obchodních prostor obchodních partnerů společnosti, údaje o typovém chování zákazníků v obchodních prostorách, případně základní osobní údaje (např. pohlaví a věk). Uvedené kategorie osobních údajů neumožňují společnosti identifikovat konkrétní fyzické osoby.

  • v případě klientů (uživatelů služeb):

jméno, příjmení, telefonní číslo, adresa trvalého bydliště a/nebo doručovací adresa, datum narození, e-mail, bankovní spojení, IČO, DIČO, údaje o poskytovaných službách a jiné potřebné identifikační či kontaktní údaje;

  • v případě zaměstnanců a uchazečů o zaměstnání:

jméno, příjmení a dřívější příjmení, titul, rodné číslo, číslo občanského průkazu, telefonní číslo, adresa trvalého bydliště a/nebo doručovací adresa, datum narození, místo narození, pohlaví, rodinný stav (případně jméno a příjmení manžela a název a adresa jeho zaměstnavatele, jméno, příjmení a rodné číslo dítěte), email, bankovní spojení, vzdělání, předchozí praxe, údaj o zdravotní pojišťovně, státní občanství, počet dětí (u žen), druh pobíraného důchodu a jiné potřebné identifikační či kontaktní údaje;

  • v případě statutárních orgánů a společníků:

jméno a příjmení, telefonní číslo, adresa trvalého bydliště a/nebo doručovací adresa, datum narození, email, bankovní spojení a jiné potřebné identifikační či kontaktní údaje;

  • v případě obchodních partnerů:

jméno a příjmení, telefonní číslo, adresa trvalého bydliště a/nebo doručovací adresa, datum narození, email, bankovní spojení, IČO, DIČO a jiné potřebné identifikační či kontaktní údaje;

  • v případě jiných osob:

jméno a příjmení, telefonní číslo, adresa trvalého bydliště a/nebo doručovací adresa, datum narození, email, IČO, DIČO a jiné potřebné identifikační či kontaktní údaje.

  • Společnost může zpracovávat i jiné osobní údaje, pokud to účel zpracování vyžaduje.
  1. Práva subjektu údajů

 [Právo na přístup k osobním údajům]

  • Subjekt údajů má za podmínek čl. 15 GDPR právo na přístup k osobním údajům, včetně práva získat od společnosti potvrzení, zda společnost zpracovává jeho osobní údaje, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům a informacím o: (a) účelech zpracování, (b) kategoriích dotčených osobních údajů, (c) příjemcích nebo kategoriích příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemcích ve třetích zemích nebo v mezinárodních organizacích; (d) plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritériích použitých ke stanovení této doby; (e) existenci práva požadovat od společnosti opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování; (f) právu podat stížnost u dozorového úřadu; (g) veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů; (h) skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, a v těchto případech i smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů; (i) vhodných zárukách, pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci.
  • Byl-li subjekt údajů s informacemi uvedenými v odst. 1 výše seznámen prostřednictvím těchto pravidel či jinak, společnost tyto informace zvlášť poskytovat nemusí.
  • Společnost nevyužívá automatizovaného rozhodování ani profilování.

[Právo na opravu osobních údajů]

  • Subjekt údajů má za podmínek čl. 16 GDPR právo na to, aby společnost bez zbytečného odkladu opravila nepřesné osobní údaje, které se ho týkají, a na doplnění neúplných osobních údajů, vyžaduje-li to účel jejich zpracování společností.

[Právo na výmaz osobních údajů]

  • Subjekt údajů má za podmínek čl. 17 GDPR právo na to, aby společnost bez zbytečného odkladu vymazala osobní údaje, které se ho týkají, pokud (i) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, (ii) subjekt údajů vznese námitky proti zpracování prováděnému za účelem podnikání společnosti a oprávněné ochrany jejích zájmů a neexistují žádné převažující oprávněné důvody pro zpracování, nebo (iii) osobní údaje byly zpracovány protiprávně.
  • Společnost však žádosti o výmaz nevyhoví, pokud se na ni bude vztahovat právní povinnost takové osobní údaje uchovávat.

[Právo na omezení zpracování osobních údajů]

  • Subjekt údajů má za podmínek čl. 18 GDPR právo na to, aby společnost omezila zpracování jeho osobních údajů v kterémkoliv z těchto případů: (i) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby společnost mohla přesnost osobních údajů ověřit; (ii) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití; (iii) společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků; (iv) subjekt údajů vznesl námitku proti zpracování prováděnému za účelem podnikání společnosti a oprávněné ochrany jejích zájmů, dokud nebude ověřeno, zda oprávněné důvody společnosti převažují nad oprávněnými důvody subjektu údajů.

[Právo stížnosti]

  • Subjekt údajů má právo podat stížnost u Úřadu pro ochranu osobních údajů (Pplk. Sochora 27
    170 00 Praha 7, e-mail: posta@uoou.cz, uoou.cz).

[Právo námitky]

  • Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se jej týkají a společnost je zpracovává pro účely svého podnikání či pro účely ochrany svých jiných oprávněných zájmů. Společnost osobní údaje nebude zpracovávat, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

[Zpracování nevyžadující identifikaci]

  • V případě návštěvníků obchodních prostor (viz čl. 3.2.1 těchto pravidel) zpracovává společnost zásadně pouze takové osobní údaje, které neumožňují společnosti identifikovat konkrétní fyzickou osobu. V těchto případech je společnost oprávněna podle čl. 11 odst. 2 GDPR výkon práv subjektu údajů odepřít, ledaže žadatel poskytne společnosti dodatečné informace, které umožní jeho identifikaci.
  1. Povinnosti subjektu údajů a jiných osob
    • Subjekt údajů či jiná osoba, která poskytla osobní údaje společnosti, v případě změny osobních údajů poskytnutých společnosti vyrozumí společnost bez zbytečného odkladu o změně tak, aby osobní údaje zpracovávané společností byly aktuální a přesné.
    • Neposkytnutí osobních údajů společnosti zaměstnancem, které společnost nezbytně potřebuje pro své podnikání či plnění svých povinností zaměstnavatele, může být považováno za porušení povinností zaměstnance ve smyslu a s důsledky předvídanými v zákoníku práce.
    • Nevyplývá-li z právních předpisů něco jiného, nikdo nesmí osobní údaje zpracovávané společností, s nimiž se seznámí, jakkoli využívat či zpracovávat, pro jiný účel, než pro který jsou zpracovávány společností podle těchto pravidel.
  2. Předávání osobních údajů
    • Společnost může předávat jí zpracovávané osobní údaje orgánům veřejné správy, soudům či jiným obdobným orgánům, jakož i společnostem skupiny ePurse Group a svým právním, daňovým, účetním či jiným poradcům v rozsahu potřebném pro své podnikání a plnění svých povinností nebo je-li to nutné pro ochranu jejích práv či oprávněných zájmů.
    • Se souhlasem dotčené fyzické osoby nebo na její příkaz mohou být osobní údaje předány i dalším subjektům.
  • Doba a způsob uchovávání osobních údajů
    • Společnost uchovává osobní údaje po dobu nutnou pro naplnění účelů zpracování uvedených v čl. 2.1 nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány (zlikvidovány) či anonymizovány.
    • Bez ohledu na výše uvedené společnost může jakékoli osobní údaje uchovávat vždy nejméně po dobu, kdy je vedeno správní, soudní či jiné obdobné řízení se společností týkající se dotčeného subjektu údajů, je-li to nutné pro ochranu oprávněných zájmů společnosti, plnění jejích povinností či ochranu práv subjektu údajů.
    • Společnost zpracovává osobní údaje manuálně i automatizovaně. Osobní údaje jsou uchovávány zabezpečeně v elektronické nebo listinné podobě. Společnost zajišťuje přiměřené zabezpečení zpracovávaných osobních údajů před neoprávněným přístupem nebo přenosem, před jejich ztrátou nebo zničením, jakož i před jiným možným zneužitím.
  • Závěrečná ustanovení
    • Jakékoliv dotazy týkající se zpracování osobních údajů kteroukoliv ze společností skupiny ePurse Group, včetně žádosti o uplatnění práv subjektu údajů, můžete adresovat na společnost Retailtrek a.s., IČ: 059 03 637, se sídlem Krakovská 583/9, Nové Město, 110 01 Praha 1, zapsanou v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 22291, e-mail: e-mail: , tel.:      .
    • Žádné z ustanovení těchto pravidel nezakládá a nemůže být vykládáno tak, že by zakládalo, povinnost společnosti nad rámec povinností předvídaných v GDPR.
    • Pokud by bylo jakékoli z ustanovení těchto pravidel neplatné či neúčinné, nemá to vliv na platnost a účinnost jiných ustanovení.
    • Tato pravidla jsou platná a účinná okamžikem svého přijetí.

ePurse Group