Ochrana osobních údajů

Informace pro subjekty osobních údajů

Úvod

Tento dokument naplňuje právo subjektů osobních údajů být informován o všech aspektech zpracování osobních údajů správcem osobních údajů společností ProfiOptic, s.r.o. podle článku 13-15 Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů - GDPR (dále jen Nařízení).
Obecné obchodní zásady ProfiOptic, s.r.o. vyjadřují náš závazek usilovat o ochranu osobních údajů našich zaměstnanců, zákazníků, dodavatelů a obchodních partnerů. Tato pravidla uvádějí, jak bude tento závazek implementován a postavení společnosti v roli správce osobních údajů.
Společnost je stále vázaná na místní legislativu. V oblasti ochrany osobních údajů zůstává hlavním českým regulátorem Úřad pro ochranu osobních údajů (ÚOOÚ), získá také pravomoci odrážející závažnost celé reformy a zároveň bude částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). Nastane-li pak jakákoli pochybnost o rozhodnutí českého regulátora, vždy zde bude existovat možnost obrátit se na EDPB s odvoláním.
Tyto informace o ochraně osobních údajů se vztahují na zpracování v elektronické podobě v systematickém přístupu a k papírovým archivům.
Společnost může tato pravidla doplnit prostřednictvím dílčích zásad a upozornění, která jsou v souladu s Nařízením a pravidly o ochraně osobních údajů.

Obecné zásady a pravidla ochrany osobních údajů

Ochranu soukromí všech subjektů osobních údajů při zpracování osobních údajů považujeme dlouhodobě za významnou záležitost a věnujeme jí zvláštní pozornost. Naše politika ochrany osobních údajů je v souladu se zákonnými ustanoveními a s našimi pravidly chování, která se vztahují na celou společnost.
Nasadili jsme, provozujeme, řídíme a vyhodnocujeme účinnost přiměřených technických a organizačních opatření pro snížení míry rizika hrozeb zneužití osobních údajů a máme pro tyto případy připraven systém řízení incidentů.
Klademe důraz na spolupráci se společnostmi, které dodržují pravidla a zákonná ustanovení a svou činnost provádí v souladu s Nařízením. Více o zpracovatelích a příjemcích níže.
Zaměstnanci jsou vázáni mlčenlivostí a interními pravidly společnosti. Společnost organizuje a poskytuje zaměstnancům školení o pravidlech a dalších závazcích týkající se bezpečnosti a ochrany dat a stejně tak dochází k interním auditům pro kontrolu dodržování těchto pravidel a zásad při práci s osobními údaji. Přístupy k osobním údajům jsou řízené a založené na právech jednotlivých zaměstnanců tak, jak je nezbytně nutné pro práci na jednotlivých pracovních pozicích.

Role společnosti vzhledem k subjektům osobních údajů

ProfiOptic, s.r.o. vystupuje vzhledem k subjektům osobních údajů v roli:

  • Správce osobních údajů – při výkonu zaměstnavatelských práv a povinností a při evidenci kontaktních údajů zaměstnanců obchodních partnerů, při evidenci zákazníků

Zpracování osobních údajů

Kategorie subjektů osobních údajů

Rozsah zpracovávaných osobních údajů a způsob zpracování se liší od charakteristiky konkrétního subjektu. Proto je nutno rozdělit subjekty osobních údajů do kategorií subjektů osobních údajů takto:

  • Zaměstnanci ProfiOptic, s.r.o.
  • Uchazeči o zaměstnání v ProfiOptic, s.r.o.
  • Kontaktní osoby obchodních partnerů ProfiOptic, s.r.o.
  • Zákazníci brýlových zakázek
  • Zákazníci e-shopu (registrovaní i neregistrovaní)
  • Zákazníci on-line objednaní k vyšetření zraku
  • Návštěvníci provozovny

V následující části tohoto dokumentu budou zpracovány odděleně pro každou kategorii subjektů osobních údajů informace o rozsahu, zdroji a zpracování osobních údajů.

Zpracování osobních údajů zákazníků brýlových zakázek

S ohledem na ochranu osobních údajů omezujeme zpracování osobních dat zákazníků na údaje, které jsou nutné pro plnění zakázky.

Osobní údaje

U zákazníků brýlových zakázek zpracováváme následující osobní údaje:

  • Jméno a příjmení, tituly
  • Adresa bydliště
  • Telefon
  • E-mail
  • Rok narození
  • Rodné číslo
  • Zdravotní anamnéza
  • refrakce

Do kategorie zvláštních osobních údajů podle čl.9 a 10 Nařízení spadají údaje o zdravotní anamnéze a refrakce

Zdroj dat

Data, která zpracováváme, získáme výhradně od zákazníků případně vlastním vyšetřením zraku na základě uzavřené objednávky.

Účel zpracování

U osobních údajů zákazníků brýlových zakázek dochází ke zpracování jejich osobních údajů výhradně pro následující účely:

  • plnění předmětu zakázky.
  • Zdravotní pojišťovna
  • Marketing (pouze zasílaní pozvánek na firemní akce, informace o novinkách, vánoční přání) – jen se souhlasem subjektu

Zákonnost zpracování

Zpracování splňuje podmínky zákonnosti stanovené článkem 6. odst.1. Nařízení a to zejména v bodě

a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro tento konkrétní účel – týká se kontaktních údajů nutných pro uvedené marketingové účely
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů – týká se všech údajů nutných pro splnění zakázky a příštích zakázek.
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje – týká se osobních údajů nutných pro zdravotní pojišťovnu.

Doba zpracování

Osobní údaje zákazníků brýlových zakázek nutných pro další zakázky se uchovávají 7 roků po datu poslední zakázky, v případě oznámení zákazníka, že další zakázku nebude realizovat, se osobní údaje vymažou. Při požadavku zákazníka na výmaz se osobní data zákazníků, kterým jsme provedli vyšetření zraku, se uchovávají po dobu 90 dní od vyšetření zraku.
Zpracování osobních údajů pro marketingové účely probíhá pět roků po datu poslední zakázky, případně po odvolání souhlasu.

Přenos osobních údajů třetím stranám

Osobní údaje zákazníků brýlových zakázek se předávají třetím osobám (např. zdravotní pojišťovna, finanční správa, a podobně) jen ze zákonných důvodů.
Kontaktní adresy zákazníků se předávají na základě jejich souhlasu zpracovatelům marketingové akce.

Zpracování osobních údajů zákazníků e-shopu

S ohledem na ochranu osobních údajů omezujeme zpracování osobních dat zákazníků na údaje, které jsou nutné pro plnění zakázky. Na webu našeho e-shopu se neprovádí profilování, ani jiné automatické rozhodování. Web používá pouze session cookies, které jsou nutné pro udržení relace. Po ukončení relace se cookies neukládají.

Osobní údaje

U zákazníků brýlových zakázek zpracováváme následující osobní údaje:

  • Jméno a příjmení, tituly
  • Kontaktní adresa
  • Adresa pro zasílání zboží
  • E-mail
  • telefon
  • dioptrické hodnoty
  • Do kategorie zvláštních osobních údajů podle čl.9 a 10 Nařízení spadají údaje o dioptrii kontaktní čočky.

Zdroj dat

Data, která zpracováváme, získáme výhradně od zákazníků prostřednictvím webové komunikace.

Účel zpracování

U osobních údajů zákazníků e-shopu dochází ke zpracování jejich osobních údajů výhradně pro následující účely:

plnění předmětu zakázky.
Marketing (pouze zasílaní informace o novinkách) – jen u zákazníků, kteří provedou registraci na webových stránkách a vyjádří souhlas s tímto zpracováním

Zákonnost zpracování

Zpracování splňuje podmínky zákonnosti stanovené článkem 6. odst.1. Nařízení a to zejména v bodě:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro tento konkrétní účel – týká se kontaktních údajů nutných pro uvedené marketingové účely.
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů – týká se všech údajů nutných pro splnění zakázky.

Doba zpracování

Osobní údaje neregistrovaných zákazníků e-shopu se uchovávají jen do splnění objednávky.
Osobní údaje registrovaných zákazníků e-shopu se uchovávají 7 roků po datu poslední zakázky případně do odvolání souhlasu
Zpracování osobních údajů pro marketingové účely probíhá 7 roků po datu poslední zakázky, případně do odvolání souhlasu.

Přenos osobních údajů třetím stranám

Kontaktní adresy zákazníků se předávají na základě jejich souhlasu zpracovatelům marketingové akce.

Zpracování osobních údajů zákazníků on-line objednaných k  vyšetření zraku

S ohledem na ochranu osobních údajů omezujeme zpracování osobních dat zákazníků na údaje, které jsou nutné pro plnění zakázky. Na webu našeho e-shopu se neprovádí profilování, ani jiné automatické rozhodování. Web používá pouze session cookies, které jsou nutné pro udržení relace. Po ukončení relace se cookies neukládají.

Osobní údaje

U zákazníků on-line objednaných k vyšetření zraku zpracováváme následující osobní údaje:

  • příjmení
  • E-mail
  • telefon

Žádné z těchto údajů nespadají do kategorie zvláštních osobních údajů podle čl.9 a 10 Nařízení.

Zdroj dat

Data, která zpracováváme, získáme výhradně od zákazníků prostřednictvím webové komunikace.

Účel zpracování

U osobních údajů zákazníků on-line objednaných k vyšetření zraku dochází ke zpracování jejich osobních údajů výhradně pro následující účely:
plnění předmětu zakázky.

Zákonnost zpracování

Zpracování splňuje podmínky zákonnosti stanovené článkem 6. odst.1. Nařízení a to zejména v bodě:
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů – týká se všech údajů nutných pro splnění zakázky.

Doba zpracování

Osobní údaje zákazníků on-line objednaných k vyšetření zraku se uchovávají v registračním systému 90 dní, poté se anonymizují.

Přenos osobních údajů třetím stranám

Osobní údaje zákazníků on-line objednaných k vyšetření zraku se nikomu nepředávají.

Zpracování osobních údajů návštěvníků provozovny

Toto zpracování se týká provozu kamerových systémů na provozovnách.

Osobní údaje

U návštěvníků provozoven zpracováváme následující osobní údaje:

Kamerový záznam

Kamerový záznam nespadá do kategorie zvláštních osobních údajů podle čl.9 a 10 Nařízení.

Zdroj dat

Data, která zpracováváme, získáme výhradně od kamer instalovaných v provozovnách

Účel zpracování

Účelem zpracování je ochrana majetku správce osobních údajů.

Zákonnost zpracování

Zpracování splňuje podmínky zákonnosti stanovené článkem 6. odst.1. Nařízení a to zejména v bodě:
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce.

Doba zpracování

Osobní údaje – kamerové záznamy se uschovávají po dobu 30 dnů, poté se mažou.

Přenos osobních údajů třetím stranám

Kamerové záznamy se v případě nutnosti předávají orgánům činným v trestním řízení.

Práva subjektů osobních údajů

S platností obecného Nařízení o ochraně osobních údajů vzniká subjektům osobních údajů právo na:

  • informace a přístup k osobním údajům,
  • přenositelnost údajů,
  • omezení zpracování,
  • opravu a výmaz osobních údajů,
  • informace ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování,
  • vznést námitku,
  • vyjmutí z automatizovaného rozhodování včetně profilování.

Uplatnění práv subjektu osobních údajů

Pro uplatnění práv subjektů osobních údajů, pro které vystupuje ProfiOptic, s.r.o. v roli správce osobních údajů přijímáme žádosti nebo námitky na adrese naší provozovny ProfiOptic, s.r.o., Dlouhá 489, 760 01 Zlín, nebo e-mailem na adresu profioptic@seznam.cz.
Žádost lze akceptovat v případě jednoznačné identifikace osoby, a to písemnou i elektronickou formou. V opačném případě Vás požádáme o dodání dodatečných podkladů pro správnou identifikaci Vaší osoby.
Žádost nebo námitku zpracujeme bez zbytečného odkladu a budeme Vás informovat o vyřízení do 30 dnů od obdržení žádosti/stížnosti.

Informace a přístup k osobním údajům

V případě, že získáme Vaše osobní údaje ke zpracování přímo od Vás, jsme povinni Vám sdělit následující:

  • totožnost a kontaktní údaje společnosti,
  • účely zpracování, pro které jsou osobní údaje získány, a právní základ pro zpracování,
  • oprávněné zájmy správce nebo třetí strany v případě, že jsou tyto zájmy nadřazené nad zájmy a právy subjektu údajů
  • případné příjemce osobních údajů a úmysl, předat Vaše osobní údaje do třetí země nebo mezinárodní organizaci,
  • dobu, po kterou budou údaje používány, příp. uloženy,
  • výčet Vašich práv včetně práva podat stížnost,
  • zda poskytnutí osobních údajů je zákonným či smluvním požadavkem, tedy kdy dochází ke zpracování dat na základě zákona a kdy na základě Vašeho souhlasu

V případě, že nebyly Vaše osobní údaje získány přímo od Vás, jsme povinni Vám navíc poskytnout informace, o jakou kategorii dotčených osobních údajů se jedná a zdroj, ze kterého byly data přijata.

Přenositelnost

Subjekt osobních údajů má právo získat své osobní údaje, které nám poskytl, ve strukturované podobě v běžně používaném a strojově čitelném formátu. Zároveň máte, jako subjekt osobních údajů, právo na přenos těchto dat k jinému správci. Přenos osobních dat je možný pouze u osobních údajů, které jsou získány na základě souhlasu nebo smlouvy a jsou zpracovávána automatizovaně. Při přenosu dat nesmí být nepříznivě dotčena práva a svobody jiných osob.

Omezení zpracování

Jako subjekt osobních údajů máte právo na to, abychom omezili zpracování osobních údajů v případě, že:

  • popřete přesnost osobních údajů,
  • máte podezření na protiprávní zpracování osobních údajů, ale odmítáte výmaz těchto osobních údajů a místo toho žádáte o omezení jejich použití,
  • již osobní údaje nepotřebujeme pro účely zpracování, ale vy jako subjekt údajů je požadujete pro určení, výkon nebo obhajobu právních nároků,
  • vznesete námitku proti zpracování – zpracování bude omezeno na dobu potřebnou k ověření, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

Chceme Vás upozornit, že v případě žádosti o omezení zpracování Vašich osobních údajů může dojít k omezení naší činnosti vůči Vám a našemu smluvnímu vztahu.

Oprava a výmaz osobních dat

Jako subjekt osobních údajů máte právo na opravu nepřesných či neaktuálních osobních údajů, které se Vás týkají.
Právo na výmaz neboli právo být zapomenut máte možnost uplatnit v případě, že:

  • osobní údaje již nejsou potřebné pro účel, pro který byly shromážděny a zpracovávány,
  • odvoláte souhlas, na jehož základě údaje zpracováváme, a neexistuje další právní důvod pro zpracování,
  • jsou osobní údaje zpracovány protiprávně,

Vaše právo na výmaz lze uplatnit až po uplynutí stanovené lhůty pro určení, výkon nebo obhajobu právních nároků.

Informace ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

Vždy, pokud to jako subjekt údajů požadujete, Vás budeme informovat o příjemcích Vašich osobních údajů ve chvíli, kdy jim byly Vaše údaje zpřístupněny. Dále vás budeme informovat o opravách, výmazech, nebo pokud dojde k omezení zpracování osobních údajů, které se Vás týkají.

Právo vznést námitku

Právo vznést námitku můžete pouze v určitých specifických případech, a to pokud jde o:

  • zpracování osobních údajů, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci anebo pro účely našich oprávněných zájmů či zájmy třetí strany (vč. profilování),
  • V případě, že vznesete námitku s relevantními důvody, sdělíme Vám důvody pro zpracování. Pokud nebudou naše důvody převažovat nad Vašimi zájmy a právy, nebo se nebude jednat o důvod určení, výkon nebo obhajobu právních nároků, bude zpracování osobních údajů přerušeno.
  • zpracování pro účely přímého marketingu (vč. profilování),
  • V případě, že vznesete námitku a nepřejete si, aby Vaše údaje byly dále zpracovávány pro tento účel, není potřeba uvádět důvody pro ukončení. Po obdržení námitky přestáváme Vaše údaje pro tento účel používat. Pokud však příslušné údaje zpracováváme rovněž pro jiný účel na základě jiného právního základu, takové zpracování není námitkou dotčeno.
  • zpracování pro účely vědeckého či historického výzkumu nebo pro statistické účely.
  • V případě, že vznesete námitku s relevantními důvody, sdělíme Vám důvody pro zpracování. Právo lze uplatnit, pouze pokud se nejedná o zpracování pro splnění úkolu prováděného ve veřejném zájmu.

Převažující / nadřazené zájmy

Některá práva a povinnosti společnosti mohou být nadřazená nad právy jednotlivců, pokud za daných konkrétních okolností existuje oprávněný zájem, který převažuje nad zájmem jednotlivce (přednostní zájem). Převažující zájem existuje, je-li třeba:

  • chránit oprávněné obchodní zájmy společnosti včetně:
  • zdraví, bezpečnost nebo bezpečnost jednotlivců,
  • práva duševního vlastnictví, obchodního tajemství nebo jméno společnosti,
  • kontinuity obchodních operací,
  • zachování důvěrnosti při navrhovaném prodeji, fúzi nebo akvizici podniku,
  • zapojení důvěryhodných poradců nebo poradců pro obchodní, právní, daňové nebo pojišťovací účely.
  • předcházet nebo vyšetřovat porušení zákona, a to skutečné nebo předpokládané na základě odůvodněných podezření (včetně spolupráce s donucovacími orgány), smluv, nebo zásad naší společnosti,
  • jinak chránit nebo bránit práva společnosti, jejích zaměstnanců nebo jiných osob.

Seznam subjektů, které mohou přijít do styku s osobními údaji

  • Jednatel ProfiOptic, s.r.o.
  • Zaměstnanci ProfiOptic, s.r.o. pověření zpracováním osobních dat
  • Orgány veřejné moci a soudy (zejm. při plnění našich zákonných povinností)
  • Auditoři nebo jiné nezávislé osoby zajišťující plnění zákonných povinností
  • Poskytovatelé služeb nezbytných pro výkon naší činnosti (servis ICT, servis informačního systému apod.) - MAXOFT s.r.o.
  • Poskytovatelé zdravotních služeb (při šetření pojistných událostí)
  • Smluvní zpracovatelé osobních dat pro účely zpracování mzdové agendy a marketingu:
    - ing. Kamila Boháčková (zpracování mezd)
    - Gareth John Webb (marketing)

Pravidla pro přenos údajů mimo Evropskou unii

Žádné osobní údaje nepředáváme mimo Evropskou unii.

Sledování a dodržování právních norem

V naší společnosti jsou prováděny interní audity procesů a postupů, které obsahují zpracování osobních údajů, za účelem dodržování stanovených zásad a pravidel.

Za společnost Olga Webb
jednatel

Ve Zlíně 1. 6. 2019