Podmínky ochrany osobních údajů - Optika Polák

Optika Polák

Podmínky ochrany osobních údajů

Já, Milan Polák, IČO: 16992857, se sídlem 10200 Praha – Hostivař, Přeštická 1091/14, potřebuji v souvislosti s činností, kterou vykonávám (oční optika), sbírat osobní údaje o některých fyzických osobách. Těmito osobami mohou být jak moji zaměstnanci, tak moji zákazníci, dodavatelé a obchodní partneři dodavatelů a jiné osoby, se kterými jsem v určitém vztahu či s nimi komunikuji.

Tyto podmínky ochrany osobních údajů (dále jen „Podmínky“) popisují, jakým způsobem zpracovávám osobní údaje. Tyto Podmínky zajišťují, aby zpracování osobních údajů bylo v souladu s obecně závaznými právními předpisy, zejména s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“), aby práva subjektů údajů byla náležitě chráněna.

Tyto Podmínky dopadají na veškeré osobní údaje, které zpracovávám, bez ohledu na účel či právní titul (zákonný důvod) jejich zpracování.

Dotazy ohledně zpracování osobních údajů lze adresovat:

Korespondenční adresa: Optika Polák , Revoluční 6,110 00 Praha 1

Telefon: 604 216 399

E-mail:info@optika-polak.cz

Zpracovávám přesné a aktuální osobní údaje na základě zákonného titulu stanoveného Nařízením, korektně a transparentním způsobem, pouze pro určité, výslovně vyjádřené a oprávněné účely, v minimálním nezbytném rozsahu, ukládám je ve formě umožňující identifikaci subjektů údajů pouze po nezbytnou dobu ve vztahu k účelu a zajišťuji jejich integritu a důvěrnost pomocí vhodných technických nebo organizačních opatření a náležitého zabezpečení před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

Zajišťuji, aby nepřesné údaje s přihlédnutím k jejich účelu, pro který se zpracovávají, byly bezodkladně vymazány nebo opraveny.

Veškeré činnosti spojené s osobními údaji a jejich ochranou řádně dokumentuji, zejména vedu záznamy o činnostech zpracování a další doklady o zpracování osobních údajů pro naplnění zásady odpovědnosti dle Nařízení. Spolupracuji s dozorovým úřadem, jímž je zejména Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: +420 234 665 111.

Před zahájením jakéhokoli zpracování osobních údajů stanovuji účel, pro který zpracovávám osobní údaje. Takovým účelem je typicky uzavření smlouvy (včetně jednání směřujících k uzavření smlouvy) či plnění smlouvy se zákazníkem, vedení zaměstnanecké agendy, kontaktování zákazníků a potenciálních zákazníků za účelem nabídky produktů.

Za jakým účelem jsou osobní údaje subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předám (zašlu) dle čl. 8.2 těchto Podmínek. Zpracování osobních údajů je po celou dobu prováděno výhradně v rozsahu a za účelem dosažení předem stanoveného účelu.

Jakmile je účel zpracování naplněn, osobní údaje v souladu se zásadou minimalizace údajů (zpracování přiměřené, relevantní, omezené na nezbytný rozsah ve vztahu k účelu zpracování) a omezení uložení vymazávám, pokud je nepotřebuji uchovávat pro jiný účel.

Zpracovává osobní údaje pouze v rozsahu nezbytném pro naplnění daného účelu. O tom, jaké konkrétní osobní údaje o daném subjektu údajů pro daný účel zpracovávám, se subjekt údajů dozví z informace, kterou mu individuálně předám (zašlu) dle čl. 8.2 těchto Podmínek.

Zpracovávám osobní údaje vždy na základě jednoho z titulů vyjmenovaných v článku 6 Nařízení (právní základ pro zpracování). Nejčastěji uplatňovanými tituly pro zpracování jsou:

O konkrétním titulu, na jehož základě jsou osobní údaje daného subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předám (zašlu) Sdle čl. 8.2 těchto Podmínek.

Oprávněný zájem určuji já. Před tím, než začnu osobní údaje podle stanoveného oprávněného zájmu zpracovávat, poměřím tento zájem s oprávněnými zájmy a základními právy a svobodami subjektů údajů, jejichž osobní údaje zpracovávám (provedu tzv. balanční test).

Pokud shledám podle výsledku balančního testu, že může osobní údaje subjektu údajů zpracovávat na základě titulu oprávněného zájmu, informuji vždy subjekt údajů o této skutečnost (tj. že zpracovávám údaje na základě oprávněného zájmu) v rámci informace dle čl. 8.2 těchto Podmínek a sdělím mu, na základě jakého konkrétního oprávněného zájmu tak činím.

Je-li titulem pro zpracování osobních údajů subjektu údajů oprávněný zájem, je subjekt údajů oprávněn podat námitku (podrobně viz čl. 8.8 těchto Podmínek) a žádat o výmaz (podrobně viz čl. 8.5 těchto Podmínek). O těchto právech je subjekt údajů informován v rámci informace dle čl. 8.2 těchto Podmínek, a to nejpozději v okamžiku první komunikace se subjektem údajů.

Zpracovávám osobní údaje na základě oprávněných zájmů, jako je například ochrana majetku, vymáhání právních nároků, přímý marketing (pokud zpracovávám osobní údaje pro účely splnění smlouvy, jejíž smluvní stranou je subjekt údajů, jsem oprávněn informovat subjekt údajů o zboží nebo službách a zasílat obchodní sdělení na e-mailovou adresu uvedenou subjektem údajů), aj.

Souhlas subjektu údajů se zpracováním jeho osobních údajů může být udělen pro jeden nebo více konkrétních účelů – tento titul využívám pouze v těch případech, kdy nejsem oprávněn zpracovávat osobní údaje na základě jiného právního titulu.

Souhlas se zpracováním osobních údajů může subjekt kdykoli odvolat. Pokud subjekt údajů svůj souhlas se zpracováním odvolá, neznamená to, že by zpracování osobních údajů před takovým odvoláním bylo nezákonné – odvolání souhlasu nemá zpětný účinek a zpracování osobních údajů vycházející z tohoto souhlasu před jeho odvoláním jím není dotčeno. O této skutečnosti je subjekt údajů informován před tím, než vyjádří souhlas se zpracováním osobních údajů.

Osobní údaje jsou zpracovávány v elektronické podobě neautomatizovaným způsobem a/nebo v tištěné podobě neautomatizovaným způsobem.

Přijímám technická a organizační opatření k ochraně osobních údajů popsaná v těchto Podmínkách a osobní údaje vždy dostatečně zabezpečuji a chráním před jejich zpřístupněním neoprávněným osobám – podrobněji k zabezpečení viz čl. 10 těchto Podmínek.

Osobní údaje budou zpracovávány pouze po dobu potřebnou k naplnění účelu zpracování osobních údajů, která je určena individuálně a o jejíž délce je subjekt osobních údajů informován také individuálně. Nad rámec takto stanovené doby jsem oprávněn zpracovávat osobní údaje subjektu údajů po dobu stanovenou zvláštními právními předpisy nebo po dobu potřebnou k vymáhání práv vůči subjektu údajů. Konkrétní dobu, po kterou budou osobní údaje daného subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předám (zašlu) dle čl. 8.2 těchto Podmínek.

Jakmile je účel zpracování osobních údajů naplněn a již nemám žádný další účel, pro který bych je byl oprávněn zpracovávat, osobních údaje vymažu. V případě osobních údajů zpracovávaných na základě souhlasu subjektu údajů provedu výmaz osobních údajů také v případě, kdy subjekt údajů svůj souhlas se zpracováním osobních údajů odvolá. Pokud jsou osobní údaje zpracovávány z titulu oprávněného zájmu a subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, rovněž osobní údaje vymažu poté, co o tom subjekt údajů informuji.

Každý subjekt údajů má následující práva:

 

Práva uvedená výše ad 1) – 8) může subjekt údajů uplatnit:

Právo uvedené výše v čl. 8 ad 9) může subjekt uplatnit u Úřadu pro ochranu osobních údajů:

případně u jiného příslušného dozorového úřadu v souvislosti se zpracováním osobních údajů.

Každý subjekt údajů obdrží stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných jazykových prostředků informace související se zpracováním jeho osobních údajů, a to nejpozději v okamžiku, kdy je získám. Pokud nezískám osobní údaje přímo od subjektu údajů, poskytnu subjektu údajů informace v přiměřené lhůtě po jejich získání, ale nejpozději do jednoho měsíce.

Informace jsou poskytovány prostřednictvím dokumentu Informace o zpracování osobních údajů zpřístupněného subjektu údajů:

Informace poskytuji buď osobně nebo je za mne poskytuje můj zaměstnanec.

Právo na přístup k osobním údajům má tři složky. Subjekt údajů ve své žádosti určí, kterou ze složek práva na přístup k osobním údajům využívá.

Jestliže subjekt údajů podává žádost v elektronické formě, budou informace poskytnuty v běžně používané elektronické formě (zpravidla emailem), ledaže by subjekt údajů ve své žádosti uvedl, že požaduje jiný způsob poskytnutí informací. O opatřeních přijatých na základě žádosti subjektu údajů informuji subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

Subjekt údajů má právo na:

Právo na opravu či doplnění subjekt údajů uplatní prostřednictvím žádosti, v níž subjekt údajů uvede své identifikační údaje, právo, jež prostřednictvím žádosti uplatňuje, a způsob, jakým si přeje být informován o přijatých opatřeních.

O opatřeních přijatých na základě žádosti subjektu údajů informuji subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

Oznamuji jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuji subjekt údajů o takto informovaných příjemcích.

Na žádost subjektu údajů bez zbytečného odkladu vymažu jeho osobní údaje, pokud je dán některý z výše uvedených důvodů:

V žádosti o výmaz osobních údajů subjekt údajů uvede své identifikační údaje, právo, jež prostřednictvím žádosti uplatňuje, a způsob, jakým si přeje být informován o přijatých opatřeních.

Jestliže jsem osobní údaje zveřejnil a jsem povinen je vymazat, přijmu s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, abych informoval správce a/nebo zpracovatele, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

Výše uvedené neplatí, pokud je zpracování osobních údajů nezbytné:

Oznamuji jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré výmazy osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuji subjekt údajů o tom, kteří příjemci osobních údajů byli takto informováni.

O opatřeních přijatých na základě žádosti subjektu údajů informuji subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena. Pokud na základě jedné z výše uvedených výjimek odmítnu osobní údaje vymazat, informuji o tom subjekt údajů ve lhůtě jednoho měsíce od doručení žádosti, odůvodním užití výjimky a poučím subjekt údajů o právu podat stížnost u Úřadu pro ochranu osobních údajů nebo u jiného příslušného dozorového úřadu v souvislosti se zpracováním osobních údajů nebo žádat soudní ochranu.

Subjekt údajů má právo na to, abych omezil zpracování jeho osobních údajů, v kterémkoli z těchto případů:

V žádosti o omezení zpracování subjekt údajů uvede své identifikační údaje, právo, jež prostřednictvím žádosti uplatňuje, důvod požadovaného omezení zpracování a způsob, jakým si přeje být informován o přijatých opatřeních.

O opatřeních přijatých na základě žádosti subjektu údajů informuji subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

V důsledku omezení zpracování osobních údajů můžu předmětné osobní údaje nadále ukládat, avšak zpracovány mohou být pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu. V těchto případech subjekt údajů, který dosáhl omezení zpracování osobních údajů, předem upozorním na to, že omezení zpracování bude zrušeno.

Oznamuji jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškerá omezení zpracování osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuji subjekt údajů o tom, kterým příjemcům bylo takové oznámení podáno.

Subjekt údajů má právo získat osobní údaje, které se ho týkají, které mi poskytl a které jsou zpracovávány automatizovaně, pokud je současně splněna některá z níže uvedených podmínek:

Za osobní údaje, které mi byly poskytnuty, jsou považovány údaje, které mi subjekt údajů přímo, vědomě a aktivně sdělil (např. prostřednictvím vyplněného formuláře).

V žádosti o přenos osobních údajů subjekt údajů uvede své identifikační údaje, právo, jež prostřednictvím žádosti uplatňuje, komu mají být údaje předány a způsob, jakým si přeje být informován o přijatých opatřeních.

O opatřeních přijatých na základě žádosti subjektu údajů informuji subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

Osobní údaje subjektu údajů poskytnu ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů je oprávněn předat získané osobní údaje jinému správci osobních údajů. Subjekt údajů si ve své žádosti zvolí, zda mám osobní údaje poskytnout subjektu údajů nebo zda využije právo na to, aby jeho osobní údaje byly předány přímo jinému správci/zpracovateli, je-li to technicky proveditelné.

Právem na přenositelnost údajů nesmí být nepříznivě dotčena práva a svobody jiných osob.

V případě zpracování osobních údajů na základě právního titulu oprávněného zájmu má subjekt údajů právo vznést námitku proti zpracování svých osobních údajů z důvodů týkajících se jeho konkrétní situace, které v námitce popíše. Námitku může subjekt údajů podat elektronicky na e-mailové adrese info@optika-polak.cz, telefonicky na čísle 604 216 399 nebo písemně na adrese Oční Optik Milan Polák, Revoluční 6, Praha 1

O opatřeních přijatých na základě žádosti subjektu údajů informuji subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

V případě obdržení námitky osobní údaje přestanu zpracovávat (ponechám si je pouze uložené) a provedu posouzení, zda má závažné oprávněné důvody pro jejich zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud dojdu k závěru, že takové důvody mám, informuji o tom subjekt údajů, sdělím mu zároveň možnosti další obrany a ve zpracování osobních údajů pokračuji. Pokud naopak dojdu k závěru, že dostatečné důvody pro zpracování osobních údajů nemám, subjekt údajů o tom informuji, zpracování ukončím a provedu výmaz osobních údajů.

Subjekt údajů má právo vznést kdykoli námitku proti zpracování osobních údajů pro účely přímého marketingu, v důsledku čehož osobní údaje pro tento účel přestanu zpracovávat.

Na výše uvedené právo vznést námitku subjekt údajů výslovně, zřetelně a odděleně od jiných informací upozorním nejpozději v okamžiku první komunikace se subjektem údajů.

Osobní údaje zpracovávám s respektem k právu subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů, které se subjektu údajů významně dotýká, a to včetně profilování (tj. jakékoli formy automatizovaného zpracování osobních údajů spočívajícího v jejich použití k rozboru, odhadu nebo hodnocení určitých aspektů týkajících se subjektu údajů – např. pracovního výkonu, ekonomické situace, zájmů, apod.).

Při správě osobních údajů můžu učinit subjekt údajů předmětem automatizovaného rozhodnutí, pokud je takové rozhodnutí nezbytné k uzavření nebo plnění smlouvy se subjektem údajů, nebo pokud je rozhodnutí povoleno právním předpisem Evropské unie nebo českého právního řádu současně vhodně zajišťujícím ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo pokud subjekt údajů k takovému rozhodnutí udělil výslovný souhlas.

Pokud subjekt údajů nechce být předmětem automatizovaného rozhodování, včetně profilování, uvede ve své žádosti své identifikační údaje, právo, jež prostřednictvím žádosti uplatňuje a způsob, jakým si přeje být informován o přijatých opatřeních.

Osobní údaje můžu jako správce zpracovávat přímo svými zaměstnanci, anebo prostřednictvím třetích osob (dále jen „Zpracovatel“ nebo „Zpracovatelé“). S každým Zpracovatelem uzavírám smlouvu o zpracování osobních údajů.

O tom, komu a v jakém rozsahu jsou informace předávány, se subjekt údajů dozví z informace, kterou mu individuálně předám (zašlu).

Osobní údaje předávám zejména:

Zpracovatelé poskytli dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení a aby byla zajištěna ochrana práv subjektů. Všichni Zpracovatelé doložili dostatečné záruky nakládání s předávanými osobními údaji.

Osobní údaje třetím osobám nejsou předávány úplatně.

Osobní údaje mohou být předávány do třetích zemí mimo Evropskou unii a Evropský hospodářský prostor. O tom, komu a v jakém rozsahu jsou informace do třetích zemí mimo Evropskou unii a Evropský hospodářský prostor předávány, se subjekt údajů dozví z informace, kterou mu individuálně předám (zašlu).

S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracovávání i k pravděpodobným a různě vážným rizikům pro práva a svobody fyzických osob jsem zavedl vhodná technická a organizační opatření, abych zajistil úroveň zabezpečení osobních údajů odpovídající danému riziku zejména náhodnému nebo protiprávnímu zničení, ztrátě, pozměňování, neoprávněnému zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněnému přístupu k nim.

Zavedl jsem následující opatření:

Zaměstnanci, kteří nakládají s osobními údaji, jsou v pracovních smlouvách a/nebo jiných smlouvách zavázáni mlčenlivostí a závazkem nakládat s osobními údaji výhradně dle mých pokynů jako správce osobních údajů.

Zavedl jsem postupy pro případ fyzického či technického incidentu.

Rovněž jsem zavedl politiku pravidelných kontrol, posuzování a hodnocení přijatých bezpečnostních opatření (zejména prověřování bezpečnosti IT systémů).

Tyto Podmínky jsem schválil dne 27.4.2018 a nabývají účinnosti dne 25. května 2018. Odpovídám za jejich úplnost, správnost a aktuálnost. Tyto Podmínky jsou revidovány a aktualizovány pravidelně po uplynutí 12 měsíců ode dne, kdy nabyly účinnosti, nebo od poslední revize a aktualizace, příp. častěji, nastane-li potřeba jejich revize a aktualizace. Aktuální verze Podmínek je vždy k disposici na internetové adrese https://www.optika-polak.cz/.