I. Úvodní ustanovení
Společnost Auditorská, daňová a účetní kancelář ve Zlíně a.s. jako správce osobních údajů podle čl. 4 bod 7. GDPR i jako zpracovatel osobních údajů podle čl. 4 bod 8. GDPR (dále i jen „Správce“) tímto svým klientům, zaměstnancům, uchazečům o zaměstnání, smluvním partnerům a jejich zástupcům, (dále i jen jako „subjekty údajů“) i ostatní veřejnosti poskytuje níže uvedené informace v souladu s čl. 13 GDPR a dále deklaruje, že přijala vhodná technická a organizační opatření pro zajištění ochrany práv subjektů údajů v souladu s požadavky GDPR.
II. Totožnost správce osobních údajů, kontaktní údaje případný zástupce
III. Pověřenec pro ochranu osobních údajů
Správce nejmenoval pověřence pro ochranu osobních údajů.
IV. Rozsah zpracování osobních údajů
-
- Správce zpracovává osobní údaje pouze přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro které jsou zpracovány, tj. osobní údaje, které mu byly poskytnuty subjekty údajů, nebo které Správce získal na základě plnění smluvního vztahu se subjekty údajů.
- Správce zpracovává pouze přesné a úplné osobní údaje a provádí jejich aktualizaci.
- Správce nezpracování žádné citlivé údaje a nevede zdravotní záznamy.
V. Účel zpracování a právní základ pro zpracování
- Účelem zpracování poskytnutých osobních údajů je:
-
- poskytování služeb Správcem podle smlouvy uzavřené s klientem, tj. výkon práv a povinností vyplývajících ze smluvního vztahu mezi klientem a Správcem (při vzniku smluvního vztahu a v průběhu jeho trvání jsou Správcem vyžadovány osobní údaje, které jsou nutné pro úspěšné splnění smlouvy, kdy poskytnutí osobních údajů je nutným požadavkem pro uzavření a následně plnění smlouvy, bez poskytnutí osobních údajů není možné smlouvu uzavřít či jí ze strany správce plnit),
- zasílání obchodních sdělení a činění dalších marketingových aktivit Správce
- vedení personální a mzdové agendy zaměstnanců a evidence uchazečů o zaměstnání u Správce
2. Správce zpracovává osobní údaje výhradně v souladu s právními důvody stanovenými v čl. 6 GDPR. Právním základem pro zpracování osobních údajů je tedy:
-
- plnění smlouvy mezi klientem a Správcem či plnění pracovní smlouvy se zaměstnancem podle čl. 6 odst. 1 písm. b) GDPR,
- oprávněný zájem správce na poskytování přímého marketingu klientům (zejména pro zasílání obchodních sdělení a newsletterů) či oprávněný zájem správce jako zaměstnavatele podle čl. 6 odst. 1 písm. f) GDPR,
- souhlas subjektu osobních údajů se zpracováním pro účely poskytování přímého marketingu (zejména pro zasílání obchodních sdělení a newsletterů) podle čl. 6 odst. 1 písm. a) GDPR ve spojení s 7 odst. 2 zákona č. 480/2004 Sb., o některých službách informační společnosti v případě, že nedošlo k objednávce zboží nebo služby tímto subjektem.
- plnění právních povinností, které se na Správce vztahují podle čl. 6 odst. 1 písm. c) GDPR
3. Ze strany správce nedochází k automatickému individuálnímu rozhodování ve smyslu čl. 22 GDPR.
VI. Příjemci osobních údajů
- Správce předává osobní údaje třetím subjektům jen v nezbytně nutné míře, kdy tyto subjekty nakládají s osobními údaji v souladu s těmito zásadami ochrany osobních údajů a zachovávají mlčenlivost i zákaz zpřístupnění neoprávněným osobám ve vztahu k poskytnutým osobním údajům.
- Jedná se zejména o tyto kategorie příjemců:
- Osoby podílející se na dodání služby (např. zaměstnanci Správce)
- Orgány veřejné moci (např. správní orgány)
- Poskytovatelé údržby informačního systému a jiných IT služeb
- Další příjemci dle potřeb a pokynů klienta
- Správce nemá v úmyslu předávat osobní údaje do třetí země nebo mezinárodní organizaci.
VII. Doba zpracování a uložení osobních údajů
- Osobní údaje budou zpracovávány po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi klientem a Správcem a uplatňování nároků z těchto smluvních vztahů (obvykle po dobu 10 let od ukončení smluvní vztahu) a po dobu nezbytnou k naplnění jiného výše uvedeného účelu jeho zpracování nebo po dobu stanovenou platnými právními předpisy (zejm. zákona č. 563/1991 Sb., o účetnictví, zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů a GDPR)
- Po skončení doby zpracování osobních údajů jsou osobní informace v elektronické podobě smazány a osobní údaje v tištěné podobě protokolárně skartovány.
VIII. Práva subjektu údajů
- Subjekt údajů má vůči Správci následující práva a Správce umožňuje výkon těchto práv:
- Právo na přístup k osobním údajům dle čl. 15 GDPR
- Právo na opravu osobních údajů dle čl. 16 GDPR
- Právo na výmaz osobních údajů („právo být zapomenut“) dle čl. 17 GDPR
- Právo na omezení zpracování dle čl. 18 GDPR
- Právo na přenositelnost údajů dle čl. 20 GDPR
- Právo vznést námitku proti zpracování osobních údajů dle čl. 21 GDPR
Všechna tato výše uvedená práva můžete uplatnit na e-mailové adrese: recepce@aduz.cz.
2. Právo podat stížnost u dozorového úřadu, tj. Úřadu pro ochranu osobních údajů, v případě, že se klient domnívá, že bylo porušeno jeho právo na ochranu osobních údajů.
3. Více informací o právech klienta je k dispozici na internetových stránkách Úřadu pro ochranu osobních údajů (https://www.uoou.cz/6-prava-subjektu-udaj/d-27276).
IX. Povinnosti Správce a odpovědnost (Podmínky zabezpečení osobních údajů)
- Správce provádí zpracování osobních údajů dle zásad na zákonnosti, korektnosti, transparentnosti a bezpečnosti ochrany osobních údajů a činí veškerá vhodná technická a organizační opatření pro zabezpečení osobních údajů a na ochranu před zpřístupnění neoprávněným osobám nebo jejich zneužitím.
- Správce přijal příslušná technická opatřená, aby veškeré osobní údaje v elektronické podobě v interních systémech společnosti uchovávány zabezpečeně. Osobní údaje v tištěné podobě jsou uchovávány v zabezpečených prostorech a mají k nim přístup pouze pověřené osoby, které s nimi potřebují nakládat při plnění svých úkolů a povinností pro Správce. Tyto osoby zachovávají o osobních údajích, s nimiž se seznamují, mlčenlivost a tato povinnost je zákonně nebo smluvně garantována.
- Správce provádí interní audit osobních údajů, které zpracovává, a výstupy tohoto auditu zapracuje do těchto zásad a promítne do procesů, které se týkají zpracování osobních údajů. V rámci interního auditu posoudí především vliv na ochranu osobních údajů, jejich rozsah, účel a dobu uchování.
- Správce je povinen ohlásit veškeré úniky či ohrožení zabezpečení zpracovávaných osobních údajů Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl.
- Správce zajišťuje dodržování těchto pravidel při zpracování osobních údajů jeho společností, zaměstnanci a v případě dodavatelů – externích zpracovatelů osobních údajů má smluvně zajištěny záruky odpovídající ochrany dle čl. 28 GDPR.
Tyto zásady nabývají účinnosti dnem 25. května 2018.