Zásady ochrany osobních údajů SKUPINY ICZ
dle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále „GDPR“).
1. Úvod a definice
Tento dokument poskytuje informace o způsobu a rozsahu zpracování a ochraně poskytnutých osobních údajů. Dokument je určen Vám – našim zákazníkům, dodavatelům a obchodním partnerům (včetně Vašich zaměstnanců nebo spolupracujících třetích osob). Dokument popisuje zpracování údajů těchto právních subjektů: ICZ a.s., se sídlem Na hřebenech II 1718/10, Nusle, 140 00 Praha 4, IČ: 25145444 (dále „ICZ“), nebo jedna ze společností, která tvoří spolu se společností ICZ koncern ve smyslu § 71 a násl. zákona č. 90/2012 Sb., o obchodních korporacích (dále všechny společnosti společně jako „Skupina ICZ“ a každá společnost jednotlivě jako „Správce“).
Skupina ICZ – společnosti tvořící Skupinu ICZ: ICZ Holding a.s., IČ: 09702652, ICZ a.s., IČ: 25145444, S.ICZ a.s., IČ: 26482444, ICZ.DMS a.s., IČ: 06696805, ICZ.INFRA a.s., IČ: 61859117, ALES, s.r.o., IČ: 48208388, SIKS a.s., IČ: 28213882, ICZ.HEA a.s., IČ: 07240091, ICZ.LOGISTIKA s.r.o., IČ: 22183493, ICZ.Solutions s.r.o., IČ: 22182390, ICZ.Services a.s., IČ: 22183809, Nadační fond ICZ, IČ: 05637902, všechny se sídlem Na hřebenech II 1718/10, Nusle, 140 00 Praha 4 a DELINFO, spol. s r.o., IČ: 49448218, se sídlem Londýnské náměstí 856/2, Štýřice, 639 00 Brno, ICZ Slovakia a.s., IČ: 36328057, D.ICZ Slovakia a.s., IČ: 36859320, ALES a.s., IČ: 36293440, všechny se sídlem Soblahovská 2050, 911 01 Trenčín, Slovenská republika.
Osobní údaje – veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále „Subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Citlivé osobní údaje – zvláštní kategorie osobních údajů, které by mohly odhalit rasový nebo etnický původ, náboženské vyznání, politické nebo filozofické přesvědčení, členství v odborech, informace o vašem zdravotním stavu nebo sexuálním životě, genetické údaje nebo biometrické údaje pro účely jedinečné identifikace osoby.
Zpracování – jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracovatel – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný Subjekt, který zpracovává osobní údaje pro Správce.
Příjemce – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný Subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.
Subjekt údajů – fyzická osoba, k níž se osobní údaje vztahují, může se jednat i o Vaše zaměstnance, členy orgánů obchodních korporací, fyzické osoby s Vámi spolupracující.
2. Typy shromažďovaných osobních údajů
Před vznikem nebo v průběhu smluvního vztahu může Správce zpracovávat osobní údaje o Vás, resp. o Subjektech údajů a to konkrétně ty osobní údaje, které jste před vznikem nebo v průběhu smluvního vztahu poskytli nám – Správci (za účelem realizace smluvního vztahu). Správce zpracovává mimo jiné tyto typy osobních údajů:
- identifikační údaje, například titul, jméno, příjmení, datum narození, pracovní pozice, název zaměstnavatele,
- kontaktní údaje, například adresa trvalého bydliště, kontaktní adresa, telefonní čísla a e-mailové adresy,
- informace ze vzájemné komunikace, například informace obsažené v e-mailech, záznamy telefonických hovorů, zápisy z jednání, záznamy z kontaktních formulářů nebo žádostí podaných prostřednictvím Help Desku, nebo záznamy předané pomocí podpůrných systémů a aplikací určených pro předávání dat a dokumentů k tomuto určených,
- fakturační a transakční údaje, například číslo bankovního účtu, informace objevující se na fakturách, informace o přijatých platbách,
- geolokalizační informace, například informace z Vašeho internetového prohlížeče nebo mobilních aplikací, které využíváte,
- obrazové záznamy z kamerového systému a data o vstupu do prostor z elektronických systémů monitorujících přístup, fotografie ze školicích a marketingových akcí pořádaných Správcem,
- data všech aplikací potřebná pro účely tvorby prototypů, testování a pilotní/produkčních běhů aplikací.
3. Účel a právní základ zpracování osobních údajů
Správce shromažďuje a používá Vámi poskytnuté osobní údaje za účelem plnění smlouvy/objednávky, která bude nebo byla mezi Vámi a Správcem uzavřena. Dále Správce shromažďuje a zpracovává Vámi poskytnuté osobní údaje v případech, kdy tak vyžadují příslušné účinné právní předpisy nebo rozhodnutí orgánu veřejné moci.
V případech, kdy není zpracování osobních údajů nezbytné pro splnění smlouvy nebo není požadováno zákonem, tak Vás může Správce v omezených případech výslovně požádat o souhlas nebo o zajištění souhlasu s určitými způsoby použití osobních údajů. Pokud Správce požádá o souhlas, máte vždy možnost odmítnout a pokud souhlas poskytnete, tak Subjekt údajů, který souhlas poskytl je pak oprávněn takový souhlas kdykoliv odvolat.
Správce může dále osobní údaje rovněž shromažďovat a zpracovávat i bez souhlasu pokud je to nezbytné kvůli jiným oprávněným účelům Správce, například:
- řízení a rozvoj obchodních vztahů,
- zajištění bezpečnosti a ochrany majetku Správce a dalších oprávněných zájmů Správce,
- prošetření potenciálních incidentů nebo porušení povinností vyplývajících z právních předpisů a/nebo interních předpisů,
- pokud je to nezbytné pro dodržování právních předpisů, například shromažďování a poskytování osobních údajů v souladu s regulatorními požadavky, daňovými zákony nebo na žádost policie,
- na základě povolení soudu nebo při výkonu či obhajobě zákonných práv Správce,
- pokud je to nezbytné k ochraně Vašich životně důležitých zájmů (nebo životně důležitých zájmů jiné osoby).
4. Příjemci osobních údajů
Správce může poskytnuté osobní údaje sdílet také s třetími stranami – Zpracovateli, včetně:
- ostatních společností Skupiny ICZ;
- těch, kteří poskytují Správci zboží nebo služby (například finanční, daňoví a právní poradci, další poradci, poskytovatelé podpory v oblasti uchování dat a systémů);
- jiných třetích stran, pokud se jedná o sdílení osobních údajů na základě Vašeho souhlasu, nebo je to nezbytné:
- k dodržování povinností vyplývajících z právních předpisů,
- k vypracování či podání skutečné či potenciální žaloby nebo k obhajobě před skutečnou či potenciální žalobou nebo
- k ochraně Vašich životně důležitých zájmů (nebo životně důležitých zájmů jiné osoby)
- plnění smluv uzavřených mezi Správcem a třetí stranou.
5. Doba uchovávání údajů
Osobní údaje budou uchovány pouze po dobu nezbytně nutnou k naplnění účelů popsaných v těchto zásadách (nebo jiných účelů, které Vám byly sděleny) nebo účelů jinak požadovaných smlouvami uzavřenými s třetími stranami, příslušnými zákony či jinými vnitřními předpisy Správce.
6. Zdroje osobních údajů
Nejvíce osobních údajů získáváme přímo od Vás, a to na základě naší vzájemné komunikace v průběhu obchodní spolupráce, a to jak před uzavřením smlouvy, tak v průběhu její realizace. Dále mohou osobní údaje pocházet také z veřejně dostupných zdrojů, veřejných rejstříků a evidencí (např. obchodní rejstřík, registr dlužníků, profesní registry). Správce může získávat osobní údaje pomocí podpůrných systémů a aplikací určených pro předávání dat a dokumentů k tomuto určených. Správce může získávat osobní údaje také od třetích stran, které jsou oprávněny k přístupu a zpracovávání osobních údajů. V svých prostorech může Správce získávat osobní údaje z elektronických systémů monitorujících přístup a v prostorech vybavených kamerovým systémem může Správce získávat osobní údaje (obrazové záznamy) z těchto kamerových systémů.
7. Práva subjektu údajů
Každý Subjekt údajů má právo na:
- přístup k osobním údajům (čl. 15 GDPR),
Dle čl. 15 GDPR má Subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od Správce osobních údajů: a) potvrzení, zda zpracovává osobní údaje, b) informace o účelech zpracování, kategoriích dotčených osobních údajů, příjemcích, kterým osobní údaje byly nebo budou zpřístupněny, plánované době zpracování, o existenci práva požadovat od Správce opravu nebo výmaz osobních údajů týkajících se Subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování, právu podat stížnost u dozorového úřadu, o veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od Subjektu údajů, skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, o vhodných zárukách při předání údajů mimo EU, c) v případě, že nebudou nepříznivě dotčena práva a svobody jiných osob i kopii osobních údajů.
- opravu osobních údajů (čl. 16 GDPR),
Dle čl. 16 GDPR má Subjekt údajů právo na opravu nepřesných osobních údajů, které o něm bude Správce osobních údajů zpracovávat. Subjekt údajů má rovněž povinnost oznamovat změny svých osobních údajů a doložit, že k takové změně došlo. Zároveň je povinen poskytnout součinnost, bude-li zjištěno, že osobní údaje, které o něm správce zpracovává, nejsou přesné. Oprava bude provedena bez zbytečného odkladu, vždy však s ohledem na dané technické možnosti.
- výmaz osobních údajů (čl. 17 GDPR),
Dle čl. 17 Nařízení má Subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud Správce osobních údajů neprokáže oprávněné důvody pro zpracování těchto osobních údajů.
- omezení zpracování osobních údajů (čl. 18 GDPR),
Dle čl. 18 GDPR má Subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.
- přenositelnost osobních údajů (čl. 20 GDPR),
Dle čl. 20 GDPR má Subjekt údajů právo na přenositelnost údajů, které se ho týkají a které poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat správce osobních údajů o předání těchto údajů jinému správci. Pokud v souvislosti se smlouvou nebo na základě souhlasu poskytne Subjekt údajů osobní údaje a jejich zpracování se provádí automatizovaně, má právo získat takové údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Bude-li to technicky proveditelné, lze údaje předat i určenému správci, bude-li řádně určena osoba jednající za příslušného správce a bude-li možné ji autorizovat. V případě, že by výkonem tohoto práva mohlo dojít k nepříznivému dotčení práv a svobod třetích osob, nebude možné žádosti Subjektu údajů vyhovět.
- vznést námitku proti zpracování osobních údajů (čl. 21 GDPR),
Dle čl. 21 GDPR má Subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu správce osobních údajů. V případě, že správce osobních údajů neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami Subjektu údajů, správce osobních údajů zpracování na základě námitky ukončí bez zbytečného odkladu.
- nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR),
Dle čl. 22 GDPR má subjekt údajů právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
- odvolání souhlasu se zpracováním osobních údajů,
Pokud Správce zpracovává osobní údaje na základě souhlasu, tak má Subjekt údajů právo kdykoliv odvolat svůj souhlas.
- podání stížnosti v případě, že se domnívá, že bylo porušeno jeho právo na ochranu osobních údajů
v České republice u Úřadu pro ochranu osobních údajů se sídlem Pplk. Sochora 727/27, 17000 Praha 7 – Holešovice, tel.: 234 665 111, email: posta@uoou.cz a ve Slovenské republice u Úradu na ochranu osobných údajov, se sídlem: Hraničná 12 820 07 Bratislava 27, Slovenská republika, tel.: +421 /2/ 3231 3220, email: statny.dozor@pdp.gov.sk.
Upozorňujeme, že v souvislosti s výše popsanými právy Subjektu údajů mohou existovat omezení nebo výjimky z možnosti uplatnit práva. Správce se bude snažit se Subjektem údajů spolupracovat a projednat případné výjimky nebo omezení v případě, že bude ze strany Subjektu údajů vznesen požadavek na uplatnění práva. Máte-li jakýkoliv dotaz ohledně práv Subjektu údajů nebo chce-li vznést Subjekt údajů požadavek ohledně výkonu takových práv v souvislosti s osobními údaji uvedenými v těchto zásadách, obraťte se písemně na pověřence pro ochranu osobních údajů Skupiny ICZ, jehož kontaktní informace jsou uvedeny níže.
8. Zabezpečení osobních údajů
Skupina ICZ si je vědoma důležitosti a hodnoty osobních údajů a proto má implementovaná odpovídající organizační a technická opatření s cílem zajistit bezpečnost Vámi poskytnutých osobních údajů, což dokládá také skutečnost, že Skupina ICZ má zaveden Systém managementu bezpečnosti informací v souladu s normou ISO/IEC 27001 a je držitelem příslušného certifikátu.
Osobní údaje jsou spravovány a zpracovávány v souladu se všemi aplikovatelnými právními předpisy, zejména v souladu s GDPR, ale i v souladu s právními předpisy na ochranu osobnosti fyzické osoby, předpisy z oblasti kybernetické bezpečnosti a ochrany utajovaných informací. Osoby nakládající s osobními údaji jsou vázány mlčenlivostí, dodržováním právních předpisů a dodržováním interních předpisů Správce.
9. Kontaktní informace Správce
S případnými otázkami nebo připomínkami, které se týkají Vašich práv, těchto zásad nebo postupů Správce při ochraně osobních údajů se můžete obracet na pana Jana Maška, pověřence pro ochranu osobních údajů pro Skupinu ICZ, adresa: Na hřebenech II 1718/10, 140 00 Praha 4, e-mail: dpo@i.cz, telefon: +420 222 271 730.
Tyto zásady nabývají účinnosti ke dni 25. 5. 2018. Tento text byl k 1. 11. 2024 aktualizován. Správce je oprávněn kdykoliv změnit text těchto zásad s tím, že novou verzi zveřejní na svých webových stránkách.