Ochrana osobních údajů fyzických osob
Dnem 25. 5. 2018 vstoupilo v účinnost Nařízení Evropského parlamentu a Rady (EU) o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (General Data Protection Regulation, dále jen „GDPR“). GDPR stanovuje vymezenému okruhu subjektů povinnosti, které musí plnit při zpracování osobních údajů fyzických osob. Tyto povinnosti jsou určeny zejména podnikatelským subjektům.
Naše společnost, stejně jako každý jiný podnikatel, je dle GDPR tzv. „správcem“, který provádí zpracování osobních údajů fyzických osob. Zpracováním osobních údajů se rozumí shromažďování těchto osobních údajů fyzických osob a jakékoliv nakládání s těmito osobními údaji. Naše společnost nevyužívá pro zpracování osobních údajů fyzických osob třetí osobu tzv. „zpracovatele“. Zpracování provádíme jak automatizovaně v elektronické formě, tak i individuálně v elektronické či tištěné formě listinných dokumentů.
Oprávnění správce zpracovávat osobní údaje fyzické osoby, tzv. „zákonnost zpracování“ vzniká podle GDPR hned z několika tzv. „právních důvodů“, z nichž je pouze jeden založen na souhlasu fyzické osoby. Pokud zpracování osobních údajů není založeno výlučně na právním důvodu souhlasu fyzické osoby avšak při existenci jiného právního důvodu, nemůže se dotčená fyzická osoba domáhat zákazu zpracování svých osobních údajů. K právním důvodům nevyžadujícím souhlas fyzické osoby ke zpracování osobních údajů správce patří zejména situace, kdy správce je smluvní stranou nějaké smlouvy, dále pak při plnění povinností k orgánům veřejné správy nebo je to nezbytné za účelem ochrany oprávněných zájmů správce. Vedle existence právního důvodu musí existovat i tzv. „účel“ zpracování osobních údajů fyzické osoby.
Naše společnost získává osobní údaje fyzických osob výlučně za účelem uzavírání kontraktů. Vždy se tedy jedná o smluvní závazkový vztahmezi naší společností a zákazníkem. Právních důvodů k námi prováděnému zpracování osobních údajů fyzické osoby klienta ve smyslu článku 6 GDPR je hned několik. Prvním je NEZBYTNOST PRO SPLNĚNÍ SMLOUVYve smyslu článku 6 odst. 1 písm. b) GDPR, jelikož po celou dobu trvání závazkového vztahu musí mít každá smluvní strana uzavřené smlouvy či dohody k dispozici titul vzniku a trvání závazku, obsahující všechny zákonné náležitosti závazku, tedy i identifikaci smluvních stran včetně dokumentů souvisejících (záruční list atd.). Druhým je NEZBYTNOST PRO SPLNĚNÍ PRÁVNÍ POVINNOSTIve smyslu článku 6 odst. 1 písm. c) GDPR, jelikož má každý podnikatelský subjekt řadu povinností k orgánům veřejné správy, zejména pak povinnost vedení účetnictví a s tím související povinnosti k správci daně, který osobní údaje požaduje. Třetím je NEZBYTNOST PRO OPRÁVNĚNÉ ZÁJMY SPRÁVCEve smyslu článku 6 odst. 1 písm. f) GDPR, jelikož podnikatelský subjekt může být kdykoliv po uzavření smluvního závazkového vztahu vystaven riziku vzniku sporů z takového závazku, včetně z toho plynoucích nároků nedůvodných a neoprávněných, jimž se nelze bránit bez příslušné dokumentace k smluvnímu závazkovému vztahu. Pokud po předsmluvním jednání s fyzickou osobou nedojde k uzavření smluvního závazkového vtahu, osobní údaje dotčené fyzické osoby jsou námi bezodkladně zlikvidovány. Na zákonnost předsmluvního zpracování osobních údajů fyzické osoby dopadá právní důvod NEZBYTNOST PRO SPLNĚNÍ SMLOUVYve smyslu článku 6 odst. 1 písm. b) GDPR. Osobní údaje fyzických osob naše společnost zpracovává pouze po dobu trvání výše uvedených tří právních důvodů, a pouze pro účely plynoucí z těchto právních důvodů. Naše společnost nezískává osobní údaje fyzických osob z jiných zdrojů (od třetích osob) ve smyslu článku 14 GDPR, než od dotčených fyzických osob, jichž se osobní údaje přímo týkají.
V okamžiku, kdy správce od fyzické osoby získává její osobní údaje, má k této fyzické osobě podle GDPR informační povinnost. Naše společnost (správce) tímto svým klientům fyzickým osobám, od nichž jejich osobní údaje získává, sděluje následující povinné informace ve smyslu článku 13 GDPR:
- Správcem i zpracovatelem osobních údajů je: LESAK s.r.o., IČ: 283 55 580, sídlem Božetěchova 2826/36, 612 00 Brno, zastoupena Oldřichem Mašou a Stanislavem Lesákem, jednateli společnosti, zapsaná v OR vedeném u KS v Brně pod sp.zn. C 63361 (dále také „správce“)
- Správce nevyužívá institutu pověřence pro ochranu osobních údajů.
- Právními důvody zpracování a účely zpracování jsou pro všechny jednotlivé případy zpracování údajů fyzických osob správcem následující:
- Právní důvod: NEZBYTNOST PRO SPLNĚNÍ SMLOUVY, účel: zachování podkladů smluvních vztahů, obsahujících práva a povinnosti stran jakékoliv smlouvy či dohody.
- Právní důvod: NEZBYTNOST PRO SPLNĚNÍ PRÁVNÍ POVINNOSTI, účel: vedení účetnictví a plnění povinností podnikatele k orgánům veřejné správy a jiným institucím.
- Právní důvod: NEZBYTNOST PRO OPRÁVNĚNÉ ZÁJMY SPRÁVCE, účel: zachování podkladů smluvních vztahů za účelem obrany v případě vzniku sporů.
- Správce neposkytuje osobní údaje fyzických osob svých zákazníků žádným příjemcům v České republice, ani žádným příjemců v zahraničí včetně mezinárodních organizací.
- Osobní údaje jsou správcem zpracovávány jen po dobu trvání existence právních důvodů zpracování a pouze v minimalizovaném rozsahu. Zpravidla jde pouze o jméno, příjmení, datum narození, bydliště, kontaktní e-mail a kontaktní telefon. I přes ustanovení článku 87 GDPR o národních identifikačních číslech poskytujeme pro rodné číslo fyzické osoby (RČ) a identifikační číslo podnikající fyzické osoby (IČ) stejnou ochranu jako pro ostatní osobní údaje fyzické osoby, jsou-li námi tyto osobní údaje fyzické osoby zpracovávány.
- Fyzická osoba, jejíž osobní údaje jsou zpracovávány správcem, má právo na přístup k těmto osobním údajům o své osobě, jakož i právo požadovat opravu těchto údajů, dále právo na omezení jejich zpracování, právo na vznesení námitky proti jejich zpracování a právo na výmaz těchto údajů. Právo na výmaz osobních údajů fyzické osoby zpracovávaných správcem lze ovšem účinně nárokovat jen při výlučné existenci právního důvodu zpracování UDĚLENÍ SOUHLASU FYZICKÉ OSOBY ve smyslu článku 6 odst. 1 písm. a) GDPR. Při existenci právního důvodu UDĚLENÍ SOUHLASU FYZICKÉ OSOBY má dotčená fyzická osoba právo svůj souhlas se zpracováním osobních údajů o své osobě kdykoliv odvolat, a to snadným způsobem.
- Fyzická osoba, jejíž osobní údaje jsou správcem zpracovávány, má právo podat proti zpracování svých osobních údajů správcem stížnost u dozorového úřadu. Správce má v souladu s článkem 31 GDPR povinnost na požádání spolupracovat s dozorovým úřadem při plnění jeho úkolů.
- Osobní údaje fyzické osoby v rámci zpracování správcem nebudou předmětem automatizovaného individuálního rozhodování, včetně profilování ve smyslu článku 22 GDPR.
- Osobní údaje fyzických osob jsou správcem zpracovávány automatizovaně v elektronické formě i individuálně v elektronické formě či tištěné formě listinných dokumentů.
- Správce nebude zpracovávat osobní údaje fyzických osob pro jiné účely než účely výše uvedené, které jsou založeny na zákonných právních důvodech.
Mimo výše uvedené právní důvody a účely zpracování osobních údajů fyzických osob, zavádíme ještě jeden samostatný právní důvod a účel zpracování osobních údajů, který je založen výlučně na oprávnění uděleném zákazníkem. Jde o právní důvod UDĚLENÍ SOUHLASU FYZICKÉ OSOBYve smyslu článku 6 odst. 1 písm. a) GDPR, a to k účelu kontaktování fyzické osoby s obchodní nabídkou správce, a dále k účelu archivace dokumentů pro možnou budoucí potřebnost. Účel obchodních nabídek znamená evidenci osobních údajů fyzické osoby zákazníka, který od nás již poptává zboží a služby, a v jeho zájmovém segmentu se vyskytnou nové produkty, o něž by zákazník mohl projevit zájem. V tomto případě se jedná o aktivitu správce vesměs ojedinělou, nikoliv o pravidelnou. Osobní údaje fyzické osoby v žádném případě nejsou poskytnuty jakékoliv třetí osobě a nejde o osobní údaje fyzických osob jiných, než z řad našich zákazníků. Účel archivace pro možnou budoucí potřebnost znamená, že zákazník může i po uplynutí lhůt pro zákonné zpracování osobních údajů mít zájem na získání dokumentů k produktům pořízeným od naší společnosti. Příkladně jde o situace, kdy zákazník po mnoha letech ztratí dokumentaci ke konkrétnímu produktu a při jeho prodeji potřebuje prokázat původ takového produktu popř. jeho certifikační doklady. Bez souhlasu k archivaci nad rámec zákonných povinností musíme však veškerou dokumentaci k danému produktu zlikvidovat a budoucí poskytnutí duplicitních dokumentů k našim produktům je tak pro případ potřeby vyloučeno. V případě zpracování osobních údajů fyzické osoby z právního důvodu UDĚLENÍ SOUHLASU FYZICKÉ OSOBY je podkladem pro takové zpracování udělení elektronického souhlasu na dálkově přístupném elektronickém dokumentu nebo vlastnoručním podpisem na tištěném listinném dokumentu. Odvolání souhlasu se zpracováním svých osobních údajů může dotčená fyzická osoba provést jakýmkoliv písemným způsobem adresovaným správci, ať už elektronicky či v tištěné listinné formě, z něhož výslovně vyplyne odvolání souhlasu a je zřejmé, že odvolání souhlasu učinila dotčená fyzická osoba či její oprávněný zmocněnec.
Specifické kategorie ochrany osobních údajů fyzických osob
Osobní údaje fyzických osob zmocněnců:Je-li fyzická osoba zákazníka zastoupena zmocněncem, platí výše uvedené informování i postupy dle GDPR ohledně osobních údajů fyzické osoby zmocněnce i pro osobu zmocněnce. Rovněž zde platí ustanovení článku 13 odst. 4 GDPR a článku 14 odst. 5 písm. a) GDPR o již existující informovanosti fyzické osoby o zpracování jejich osobních údajů. K osobě zmocněnce tak správce nemá žádné samostatné povinnosti nad rámec povinností k zmocniteli. Mimo to se právní jednání zmocněnce považuje za právní jednání zmocnitele.
Osobní údaje fyzických osob statutárních orgánů právnických osob:Údaje fyzických osob statutárních orgánů jsou správcem zpracovávány pouze v rozsahu jména a příjmení osoby člena statutárního orgánu či obdobného zástupce (prokura), jež jsou zveřejněna ve veřejném rejstříku, tedy nedochází k zásahu do práv fyzických osob ve smyslu ochrany osobních údajů dle GDPR. Osobní údaje fyzických osob členů statutárního orgánu jsou ve zpracovávaném rozsahu (v rozsahu jména a příjmení) nezneužitelné pro neidentifikovatelnost takové fyzické osoby mimo její účast v právnické osobě, a navíc jde o údaje veřejně přístupné.
Osobní údaje fyzických osob obchodních dodavatelů správce:Na zpracování osobních údajů fyzických osob dodavatelů zboží a služeb správci dopadají stejná práva a povinnosti správce uvedené výše, jako k osobám fyzických osob zákazníků, tzn. vzhledem k existenci smluvního závazkového vztahu jsou zde dány stejné právní důvody i účely zpracování osobních údajů fyzických osob, jako v případě zákazníků včetně odpovídající informační povinnosti.
Osobní údaje fyzických osob zaměstnanců správce:Pro zpracování osobních údajů fyzických osob v pracovním poměru k správci platí stejná práva a povinnosti uvedené výše, jako k osobám fyzických osob zákazníků, tzn. vzhledem k existenci smluvního závazkového vztahu jsou zde dány stejné právní důvody i účely zpracování osobních údajů fyzických osob, jako v případě zákazníků včetně odpovídající informační povinnosti.
Společná a závěrečná ustanovení
Každá fyzická osoba má možnost podat u naší společnosti námitky ohledně zpracování jejich osobních údajů. Oprávněnost námitek bezodkladně posoudíme a učiníme patřičná opatření k nápravě případně závadného stavu. Opět připomínáme, že žádná fyzická osoba se nemůže účinně domáhat výmazu (zákazu zpracování) svých osobních údajů u správce, existují-li ke zpracování osobních údajů fyzické osoby zákonné (právní) důvody nespočívající na souhlasu fyzické osoby.
V oblasti ochrany osobních údajů, v souladu s povinnostmi stanovenými dle GDPR, nepřetržitě sledujeme veškerá bezpečnostní rizika a proti možnému zneužití osobních údajů fyzických osob činíme odpovídající bezpečností opatření. Podle článku 32 GDPR je každý správce povinen učinit vhodná technická a organizační opatření k zajištění bezpečného zpracování osobních údajů fyzických osob, kterým se plně řídíme a technické zabezpečení máme nastaveno v rámci našich možností. Technickou specifikaci zabezpečení nemůžeme právě z bezpečnostních důvodů zveřejnit.
Kontakt pro hlášení bezpečnostních hrozeb a podávání námitek proti zpracování osobních údajů:
Telefon: +420 517 076 770
E-mail: obchod@lesaksro.cz
Výše uvedený právní text je autorským dílem ve smyslu § 2 odst. 1 a násl. zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů. Užití autorského díla je možné jen udělením uživatelské licence ve smyslu § 2358, § 2371 a násl. zákona č. 89/2012 Sb., občanského zákoníku v platném a účinném znění. Autorem výše uvedeného textu je advokátní kancelář Mgr. Alexandra Petra, IČ 46315926, sídlem Moravské náměstí 629/4, 602 00 Brno, www.akpetr.cz. Kopírování a použití textu bez souhlasu autora je nezákonné.