Zásady ochrany a zpracování osobních údajů

CBA Service s.r.o.

sídlem Průmyslová 3062/5, 787 01 Šumperk
IČ: 034 46 255

Zajištění informační povinnosti správce osobních údajů

Zásady ochrany a zpracování osobních údajů CBA Service s.r.o. jsou vydány v souladu se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů a s Nařízením Evropského Parlamentu a Rady č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů („nařízení“ nebo „GDPR“) za účelem zajištění informační povinnosti správce osobních údajů dle čl. 13 GDPR. Zpracování osobních údajů ve Společnosti musí být prováděno takovým způsobem, aby byla zajištěna co možná nejvyšší míra informovanosti subjektů údajů.

Vymezení pojmů

“Osobním údajem” se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě, přičemž indentifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

“Subjektem údajů” se rozumí fyzická osoba, jíž se osobní údaje týkají.

“Zpracováním” se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

“Správcem” se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.

“Zpracovatelem”  se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.Osobním údajem se ve smyslu této směrnice rozumí jakýkoli údaj.

“Omezením zpracování” se pro účely této směrnice rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.

“Evidencí” rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

“Příjemcem” se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují.

“Třetí stranou” se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

Rozsah zpracování osobních údajů – kategorie osobních údajů

Společností CBA Service s.r.o., jako správcem osobních údajů a v některých případech i jako zpracovatelem, může dojít v souladu se základními principy zpracování osobních údajů (zákonnost, korektnost a transparentnost zpracování, účelové omezení, minimalizace osobních údajů, přesnost a aktuálnost, omezení uložení, integrita a důvěrnost) a za splnění níže uvedených podmínek ke zpracování následujících kategorií osobních údajů.

1. Identifikační údaje a adresní údaje

Takovými údaji jsou zejména jméno a příjmení, adresa trvalého pobytu, adresa sídla nebo místa podnikání, název obchodní firmy, datum narození, rodné číslo, IČ, DIČ, fakturační adresa, fakturační a platební údaje, adresa dodání, čísla předložených identifikačních dokladů a jejich kopie (veškeré údaje, které nelze kopírovat, jsou na kopiích dokladů začerněny), bankovní spojení.

2. Kontaktní údaje

Takovými údaji jsou zejména kontaktní e-mail, telefonní číslo, korespondenční adresa.

3. Ostatní údaje

Jsou to údaje, které subjekt osobních údajů poskytne správci osobních údajů pro stanovené účely na základě právních důvodů zpracování včetně souhlasu i údaje dostupné z regulérně provozovaných registrů

4. Provozní údaje

Jedná se o údaje vznikající při přímé komunikaci mezi CBA Service s.r.o. a subjektem údajů, zejména údaje pro potřeby účtování a plnění zákonných povinností CBA Service s.r.o. a o údaje zpracovávané pro řešení případných sporů plynoucích z konkrétních kontraktů.

5. Údaje zpracované na základě souhlasu subjektu údajů

Jedná se o zpracování osobních údajů, které není nezbytně nutné k plnění smlouvy, zákonných povinností správce či ochranu oprávněných zájmů CBA Service s.r.o. Účelem jejich zpracování, zvláště pak při zpracování na základě Souhlasu pro obchodní účely, je zlepšení, zrychlení a zvýšení kvality vzájemné komunikace a poskytovaných služeb ze strany CBA Service s.r.o. Tyto údaje jsou zpracovány jen v případě udělení souhlasu a mohou být zpracovány jen po dobu platnosti tohoto souhlasu. Udělení souhlasu je kdykoliv odvolatelné.

6. Cookies

S případnými analytickými a marketingovými cookies může správce osobních údajů pracovat jen na základě souhlasu subjektu osobních údajů. S nezbytnými funkčními cookies může správce osobních údajů pracovat na základě právních předpisů. Používá-li CBA Service s.r.o. při zpracování cookies nástroje poskytované třetími stranami, jejich poskytovatelé jsou v pozici zpracovatelů osobních údajů.

7. Citlivé údaje

Správce osobních údajů nezpracovává citlivé osobní údaje (čl. 9 Nařízení), tj. údaje o rasovém a etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení, členství v odborech, genetické údaje apod.

8. Biometrické údaje

Takovými údaji jsou údaje technického charakteru zpracování fyzických či fyziologických znaků fyzické osoby, které umožňují jedinečnou identifikaci. Případné zpracování biometrických údajů ze strany CBA Service s.r.o. se týká podpisu.

9. Kamerový systém

Za účelem ochrany vlastního majetku a výlučně z bezpečnostních důvodů CBA Service s.r.o. může používat kamerový systém. Provozování kamerového systému podléhá přísně stanoveným pravidlům a je prováděno pouze v nezbytně nutném rozsahu tak, aby nadměrně nezasahovalo do soukromí osob. Toto zpracování osobních údajů je nezbytné pro účely ochrany oprávněných zájmů CBA Service s.r.o. a proto ke zpracování těchto osobních údajů CBA Service s.r.o. nepotřebuje souhlas daného subjektu údajů. Subjekty osobních údajů jsou o pořizování kamerového záznamu vždy informovány.

Záznamy pořízené kamerovým systémem jsou průběžně mazány z příslušného datového úložiště, kdy dochází k nahrazení těchto dat aktuálně pořizovaným záznamem. Delší doba archivace záznamů z kamerového systému je přípustná pouze tehdy, vyplynulo-li by ze záznamů, že došlo k protiprávnímu zásahu do majetku či jiných práv a chráněných zájmů správce osobních údajů.

10. Lokační údaje

CBA Service s.r.o. nezpracovává lokační údaje.

Zdroje osobních údajů

Osobní údaje poskytuje subjekt osobních údajů správci osobních údajů pro stanovené účely na základě právních důvodů zpracování včetně souhlasu. Zdrojem osobních údajů jsou pro stanovené účely v nezbytné míře i údaje dostupné z regulérně provozovaných registrů, zejména obchodní rejstřík, živnostenský rejstřík, insolvenční rejstřík a centrální evidence exekucí.

Účely a právní důvody zpracování osobních údajů

Od účelu zpracování se odvíjí rozsah zpracovávaných údajů. Pro některé účely je možné zpracovávat údaje přímo na základě smlouvy nebo oprávněného zájmu CBA Service s.r.o. či na základě zákona, a to vše bez souhlasu subjektu osobních údajů. Pro jiné účely může dojít ke zpracování osobních údajů pouze na základě souhlasu.

1. Zpracovávání z důvodu plnění smlouvy, plnění zákonných povinností a z důvodu oprávněných zájmů CBA Service s.r.o.

Poskytnutí osobních údajů nutných pro plnění smlouvy (zejména prodej zboží na dálku), plnění zákonných povinností CBA Service s.r.o. a ochranu oprávněných zájmů CBA Service s.r.o. je povinné. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné provádět kontraktaci, poskytovat služby ani řádně plnit zákonné povinnosti. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.

Jedná se zejména o tyto dílčí účely: plnění účetních a daňových povinností (plnění zákonných povinností), vyúčtování (plnění smlouvy), vymáhání pohledávek a ostatní zákaznické spory (oprávněný zájem), ochrana a správa majetku, zejména vedení evidencí, které je CBA Service s.r.o. povinen vést k prokázání daňové uznatelnosti výdajů (oprávněný zájem), ochrana života a zdraví (oprávněný zájem), zajištění důkazů pro případ nutnosti obhajoby práv CBA Service s.r.o. (oprávněný zájem), účely stanovené zvláštními zákony pro potřeby přestupkového, správního řízení, trestního řízení apod. a pro naplnění povinnosti součinnosti se státními orgány České republiky včetně Policie České republiky (plnění zákonných povinností).

2. Zpracovávání údajů CBA Service s.r.o. se souhlasem 

CBA Service s.r.o. na základě souhlasu subjektu údajů může zpracovávat některé údaje nad rámec nutný k plnění smlouvy a taktéž pro obchodní účely, a to na základě Souhlasu pro obchodní účely, pro vytvoření vhodné nabídky subjektu osobních údajů, pro zlepšení kvality plnění a pro případné zrychlení a zlepšení úrovně vzájemné komunikace. Konkrétní forma/formy – např. telefonicky, písemně, prostřednictvím internetové reklamy, formou elektronické komunikace, je v dispozici subjektu osobních údajů, který případný souhlas uděluje. Správce může provádět pro oslovení klientů s vhodnými nabídkami pouze nezbytně nutné zpracování. Poskytnutí souhlasu je dobrovolné a kdykoli odvolatelné. Pokud subjekt údajů svůj souhlas odvolá, není tím dotčeno zpracování jeho osobních údajů ze strany CBA Service s.r.o. pro jiné účely a na základě jiných právních titulů, v souladu s těmito Zásadami ochrany a zpracování osobních údajů. Obchodní sdělení lze cílit jednak na kontakty klientů/stávajících zákazníků z titulu oprávněného zájmu správce osobních údajů a to jen do doby vyslovení případného nesouhlasu klienta/stávajícího zákazníka. Nebo na základě platného souhlasu se zpracováním osobních údajů pro obchodní účely. Obchodní sdělení vždy skýtají možnost odmítnutí přijímání dalších obchodních sdělení.

Doby zpracování osobních údajů

Osobní údaje pro činnosti CBA Service s.r.o. jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány, likvidovány v řádných lhůtách.

U klientů CBA Service s.r.o., je společnost CBA Service s.r.o. oprávněna v případě, že mají splněny veškeré své závazky vůči ní, zpracovávat v databázi klientů jejich základní identifikační, adresní, kontaktní údaje i ostatní a provozní údaje po dobu 4 let ode dne ukončení poslední smlouvy se společností CBA Service s.r.o.

Jsou-li vystavovány správcem údajů faktury dle zákona o dani z přidané hodnoty, jsou v souladu s § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty archivovány po dobu 10 let od jejich vystavení. Z důvodu nutnosti doložit právní důvod pro vystavení faktur jsou návazně po dobu 10 let ode dne ukončení smlouvy archivovány i příslušné smlouvy.

Režim osobních údajů poskytnutých v rámci jednání, které nevedlo k uzavření smlouvy

V případě jednání mezi společností CBA Service s.r.o. a potenciálním zájemcem o uzavření smlouvy, které nebylo zakončeno uzavřením smlouvy, je společnost CBA Service s.r.o. oprávněna zpracovávat poskytnuté osobní údaje po dobu 3 měsíců od ukončení příslušného jednání.

Ostatní příjemci osobních údajů

Společnost CBA Service s.r.o. při plnění svých závazků a povinností využívá odborné služby jiných subjektů. Pokud tito zpracovávají osobní údaje předané od společnosti CBA Service s.r.o., mají postavení zpracovatelů osobních údajů. Zpracovávají osobní údaje pouze v rámci pokynů udělených společností CBA Service s.r.o. Může jít zejména o činnost účetního, daňového poradce, auditora, advokáta, správce IT systému apod. Se všemi takovými subjekty uzavírá CBA Service s.r.o. smlouvu o zpracování osobních údajů, ve které má zpracovatel stanoveny povinnosti k ochraně a zabezpečení osobních údajů, odpovídající evropskému standardu.

Pro realizaci své činnosti využívá společnost CBA Service s.r.o. spolupráci s extermíni partnery, kteří mohou být v postavení správce osobních údajů nebo/i zpracovatele osobních údajů. Těmto subjektům může společnost CBA Service s.r.o. předávat osobní údaje pouze v nezbytně nutném rozsahu, určeném účelem dané agendy a po předchozím prověření zajištění ochrany osobních údajů na úrovni evropských standardů ze strany těchto subjektů. Jedná se zejména o dopravní společnosti a doručovatele.

Společnost CBA Service s.r.o. v rámci plnění svých zákonných povinností předává osobní údaje správním orgánům a úřadům stanoveným platnou legislativou.

Kategorie zpracovatelů, správců a dalších příjemců osobních údajů

Společnost CBA Service s.r.o. vede aktuální seznam jednotlivých kategorií zpracovatelů, správců a dalších příjemců osobních údajů, u kterých může dojít ke zpracování osobních údajů subjektů údajů. Může se jednat zejména o poskytovatele účetních, daňových, finančních a právních služeb a poradenství, IT služeb, servisních a technických služeb, poštovních služeb, případné zplnomocněné subjekty a orgány státní správy.

Předávání osobních údajů

Písemnosti a jiné listiny obsahující osobní údaje subjektů osobních údajů, mohou být předávány pouze schváleným externím zpracovatelům, orgánům státní správy, a jiným schváleným správcům, a to pouze za podmínek uvedených v těchto Zásadách ochrany a zpracování osobních údajů.

Předávání osobních údajů do jiných států v rámci EU

Společnost CBA Service s.r.o. nepředává osobní údaje do další země v rámci EU.

Předávání osobních údajů do třetích zemí

Společnost CBA Service s.r.o. nepředává osobní údaje do třetí země ani mezinárodní organizaci mimo rámec EU.

Způsoby zpracování osobních údajů

CBA Service s.r.o. zpracovává osobní údaje manuálním způsobem i automatizovaně a vede řádnou evidenci takových činností, při kterých dochází ke zpracování osobních údajů.

Informace o právech subjektů údajů

CBA Service s.r.o. dbá na plnění informačních povinností vůči subjektům údajům. Zejména dbá na plnění informační povinnosti vůči subjektům dle článku 12, 13 a  14 Nařízení. Agendu plnění informační povinnosti vůči subjektům údajů má na starosti odpovědná osoba.

1. Právo na přístup k osobním údajům

Dle čl. 15 GDPR má subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od společnosti CBA Service s.r.o. potvrzení o zpracování osobních údajů, právo na informace o účelech zpracování, kategoriích osobních údajů, jež jsou zpracovávány. Dále pak o příjemcích, kterým jsou osobní údaje zpřístupňovány a o době zpracování. Dále má subjekt údajů právo požadovat od správce opravu nebo výmaz osobních údajů, týkajících se subjektu údajů, nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování. Může si vyžádat kopii osobních údajů, přičemž v případě opakované žádosti bude společnost CBA Service s.r.o.  oprávněna za kopii osobních údajů účtovat přiměřený poplatek.

2. Právo na opravu nepřesných údajů

Dle čl. 16 GDPR má subjekt údajů právo na opravu nepřesných osobních údajů, resp. na doplnění neúplných osobních údajů, které o něm společnost CBA Service s.r.o. zpracovává. Subjekt údajů má vůči správci údajů adekvátní povinnost oznamovat změnu svých osobních údajů a doložit, že k takové změně došlo.

3. Právo na výmaz

Dle čl. 17 GDPR má subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud společnost CBA Service s.r.o. neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Společnost CBA Service s.r.o.  má nastaveny mechanismy pro výmaz osobních údajů, kdy pominul účel, jež určoval rozsah a parametry zpracování osobních údajů.

4. Právo na omezení zpracování

Dle čl. 18 GDPR má subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.

5. Právo na oznámení opravy, výmazu nebo omezení zpracování

Subjekt údajů má také dle čl. 19 GDPR právo na oznámení ze strany společnosti CBA Service s.r.o.  v případě opravy, výmazu nebo omezení zpracování osobních údajů.

6. Právo na přenositelnost osobních údajů

Čl. 20 GDPR přiznává subjektu údajů právo na přenositelnost údajů, které se ho týkají a které poskytl správci, a to ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat CBA Service s.r.o. o předání těchto údajů jinému správci. Žádosti nelze vyhovět, pokud by v konkrétním případě mohlo dojít k negativnímu dotčení práv a svobod třetích subjektů.

7. Právo vznést námitku proti zpracování osobních údajů

Dle čl. 21 GDPR má subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu společnosti CBA Service s.r.o. Je na společnosti CBA Service s.r.o. ,aby prokázala existenci oprávněného důvodu pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů. V opačném případě společnost CBA Service s.r.o. zpracování na základě námitky ukončí bez zbytečného odkladu.

8. Právo na odvolání souhlasu se zpracováním osobních údajů

Souhlas se zpracováním osobních údajů je kdykoli odvolatelný, a to stejně jednoduchou formou, jakou byl udělen.

9. Právo nebýt předmětem automatizovaného rozhodování založeného výhradně na automatizovaném zpracování

Subjekt osobních údajů má právo nebýt předmětem rozhodování, založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt osobních údajů právní účinky.

Automatizované rozhodování

CBA Service s.r.o. neprovádí automatizované rozhodování.

 

Profilování

CBA Service s.r.o. neprovádí žádné profilování, jehož předmětem by byly citlivé osobní údaje nebo na základě kterého by prováděla automatizované rozhodování.

Kontakty na vedení agendy ochrany osobních údajů

Odpovědná osoba je povinna skrze níže uvedené kontakty vyřizovat žádosti subjektů osobních údajů týkající se zpracování osobních údajů. Zejména je odpovědná osoba povinna vyřizovat žádosti subjektů údajů o poskytnutí informací (dle článku 12-14 Nařízení), žádosti na přístup k osobním údajům (dle článku 15 Nařízení), žádosti na opravu a výmaz (dle článku 16 a 17 Nařízení), žádosti na omezení zpracování (dle článku 18 Nařízení) a žádosti na přenositelnost osobních údajů (dle článku 20 Nařízení).

Na níže uvedených kontaktech mohou subjekty osobních údajů realizovat možnost uplatnění svých práv, a to písemnou či elektronickou formou.

Adresa: CBA Service s.r.o., Průmyslová 3062/5, 787 01 Šumperk

E-mailová adresa: adamkova.jana@cba.cz

Právo obrátit se na Úřad pro ochranu osobních údajů

Subjekt údajů má právo podat stížnost a obrátit se na Úřad pro ochranu osobních údajů www.uoou.cz.

Účinnost a aktualizace Zásad o ochraně a zpracování osobních údajů

Zásady ochrany a zpracování osobních údajů firmy CBA Service s.r.o. podléhají průběžné aktualizaci.

Tyto Zásady ochrany a zpracování osobních údajů firmy CBA Service s.r.o. nabývají účinnosti dnem zveřejnění, tj. 5.1.2023.