Pravidla ochrany osobních údajů

1. Účel a rozsah pravidel ochrany osobních údajů

Společnost abasto v rámci skupiny Hortim Group („Společnost“) shromažďuje, využívá, sdílí a archivuje některé osobní údaje o stávajících, bývalých a budoucích zaměstnancích, odběratelích, dodavatelích, obchodních kontaktních osobách a dalších lidech v rámci své podnikatelské činnosti. Osobní údaje se zpracovávají v souladu s nařízením o ochraně obecných údajů (General Data Protection Regulation (EU) 2016/679) a s dalšími národními a evropskými zákonnými předpisy a nařízeními (dále společně je „předpisy na ochranu osobních údajů“).

Společnost uznává potřebu nakládat s osobními údaji vhodným a zákonným způsobem a v tomto ohledu se zavazuje dodržovat své závazky. Tyto předpisy o ochraně osobních údajů objasňují způsob, jakým Společnost tyto osobní údaje používá.

Tyto předpisy o ochraně osobních údajů platí pro Společnost a všechny osoby, které ve Společnosti pracují, spolupracují s ní nebo pracují v jejím zastoupení.

Výraz „osobní údaje“ vyjadřuje informace o Vás nebo jiných osobách, díky kterým Vás nebo jiné osoby lze identifikovat. Další výrazy týkající se ochrany údajů jsou definovány v Příloze 1.

Tyto předpisy o ochraně osobních údajů popisují, jak s osobními údaji, které shromáždíme v rámci našich podnikatelských činností, pracujeme. Osobní údaje získáváme z různých zdrojů, včetně:

  • telefonních hovorů, emailů a jiné komunikace;
  • poskytovatelů služeb a jiných třetích stran;
  • našich internetových stránek (dále jen „internetová stránka“); a
  • aplikací sociálních médií.

Internetové stránky a naše aplikace sociálních médií označujeme v těchto Pravidlech o ochraně osobních údajů dále společně jako na „online nástroje“.

Osobní údaje nám můžete poskytnout přímo vy nebo třetí osoba.

Tyto předpisy o ochraně osobních údajů mohou být příležitostně doplněny o další oznámení o ochraně osobních údajů, vypracované přímo pro konkrétní potřeby našeho vztahu s Vámi.

2. Zpracovávané osobní údaje

Osobní údaje, které má Společnost o Vás a dalších osobách uloženy, se mohou lišit v závislosti na vztahu se Společností, včetně typu komunikace mezi jednotlivci a Společností, a službami, které Společnost poskytuje.

Společnost shromažďuje osobní údaje, které lze obecně rozdělit do dvou kategorií – osobní údaje o:

  • zaměstnancích;
  • odběratelích;
  • dodavatelích;
  • obchodních kontaktech.

Společnost se snaží, aby osobních údaje v našich záznamech byly správné a aktuální. Osobní údaje ukládáme na nejmenším možném počtu míst a v nejmenším možném počtu kopií. Naši pracovníci mají pokyn nevytvářet zbytečné kopie osobních údajů.

Osobní údaje, které může Společnost ukládat a zpracovávat, jsou podrobněji popsány v Příloze 2.

3. Na co osobní údaje Společnost využívá

Osobní údaje Společnost používá k výkonu podnikatelské činnosti. Účely, ke kterým Vaše osobní údaje Společnost užívá, se mohou lišit v závislosti na vzájemném vztahu, včetně typu komunikace mezi Společností a jednotlivcem, a službách, které Společnost poskytuje.

Mezi hlavní účely využití osobních údajů patří:

  • usnadnit obecné podnikatelské činnosti, jako mzdové účetnictví, řízení výkonnosti, zajištění služebních cest;
  • usnadnit komunikaci s Vámi a s osobami, které jste uvedl/a jako kontaktní v případě nouze a za účelem ochrany zdraví a bezpečnosti zaměstnanců a ostatních osob;
  • poskytování našich výrobků a služeb;
  • komunikace s Vámi a ostatními osobami;
  • zlepšovat kvalitu našich produktů a služeb, poskytovat školení a zachovávat informační zabezpečení (k tomuto účelu může Společnost například nahrávat nebo monitorovat telefonní hovory);
  • provádět výzkum a analýzy, včetně analýz zákaznické základny Společnosti a jiných osob, jejichž osobní údaje Společnost shromažďuje;
  • poskytovat marketingové informace podle preferencí, které jste Společnosti sdělili (marketingové informace jsou o produktech a službách, nabízených našimi partnery s výhradou Vašich preferencí);
  • personalizace Vašeho užívání online nástrojů nebo návštěv internetových stránek třetích stran formou prezentace informací a reklam přímo na míru, a usnadnění sdílení na sociálních médiích;
  • řízení obchodních operací Společnosti a IT infrastruktury v souladu s našimi interními předpisy a postupy, včetně těch, týkajících se financí a účetnictví, fakturace a úhrad, provozu IT systémů, datového a webového hostingu, datové analýzy, podnikové kontinuity, správy záznamů, správy dokumentů a tisku, a auditingu;
  • vyřizovat stížnosti, zpětnou vazbu a dotazy, vyřizovat žádosti o zpřístupnění nebo opravu údajů, nebo výkon jiných práv, týkajících se osobních údajů;
  • dodržovat platné zákonné a regulatorní povinnosti (včetně zákonů a předpisů platných mimo zemi Vašeho bydliště), například právní předpisy proti praní špinavých peněz, o sankcích nebo proti terorismu; dodržovat zákonné postupy a soudní nařízení; a reagovat na žádosti veřejných institucí a státních orgánů (včetně institucí a orgánů mimo zemi Vašeho pobytu); a
  • zajistit a bránit zákonná práva k ochraně podnikání Společnosti a podnikání obchodních partnerů.

4. Automatizovaná rozhodnutí s použitím osobních údajů

Společnost může používat automatizované nástroje pro rozhodování (tj. pokud osoba není do rozhodování zahrnuta). Společnost obvykle používá tyto nástroje při přímém rozhodování o jednotlivci. V takovém případě může Společnost poskytnout jednotlivci více informací, aby pomohla porozumět tomu, čeho se rozhodování týká.

5. Odpovědnost za osobní údaje

Společnost je povinna nakládat s Vašimi osobními údaji v souladu s těmito předpisy o ochraně osobních údajů, s interními normami a postupy a v souladu s podmínkami předpisů o ochraně údajů.

Pokud Společnost poskytne osobní údaje třetím osobám, tyto třetí osoby budou pečlivě vybrány a budou muset učinit opatření nezbytná k zajištění důvěrnosti a zabezpečení osobních údajů. Třetí osoby převezmou některé povinnosti vyplývající z předpisů o ochraně osobních údajů ve vztahu k péči o osobní údaje, které od Společnosti obdrží.

6. Sdílení osobních údajů

V souvislosti s výše popsanými účely bude Společnost příležitostně muset sdílet Vaše osobní údaje s třetími osobami (například v situaci, kdy třetí osoba Společnosti zpřístupní její osobní údaje a Společnost jí zpřístupní své osobní údaje).

Třetí osoby, se kterými Společnost může sdílet Vaše osobní údaje, jsou podrobněji popsány v Příloze 4.

Za určitých okolností umožňují předpisy na ochranu údajů zpřístupnit osobní údaje policejním a justičním orgánům bez souhlasu dotčeného subjektu. V takovém případě Společnost zpřístupní požadované osobní údaje v rozsahu povoleném předpisy na ochranu údajů a v souladu s nimi. Před zpřístupněním osobních údajů se Společnost ujistí, že je žádost legitimní a odpovídá předpisům na ochranu osobních údajů, případně i za pomoci právních poradců skupiny.

7. Přenos osobních údajů do zahraničí

K účelům, uvedeným v  předpisech o ochraně osobních údajů, může Společnost přenášet osobní údaje subjektům v zahraničí (včetně USA a jiných zemí, které uplatňují jiné režimy ochrany osobních údajů, odlišné od země, ve které žijete, včetně zemí, ve kterých Evropská komise shledala nedostatečnou ochranu osobních údajů).

Společnost může přenášet informace do zahraničí svým poskytovatelům služeb, obchodním partnerům a státním nebo veřejným institucím.

Při těchto přenosech učiní Společnost taková opatření k řádné ochraně Vašich osobních údajů, aby byly řádně chráněny a přeneseny v souladu s podmínkami předpisů na ochranu osobních údajů.

V těchto případech lze využít smluv o přenosu údajů ve formě schválené Evropskou komisí, nebo jiného mechanismu, jež podle předpisů o ochraně osobních údajů poskytuje dodatečný stupeň ochrany osobních údajů přenášených mimo Evropský hospodářský prostor (například standardní smluvní ustanovení).

Společnost je připravena poskytnout Vám další informace o těchto přenosech a podrobnosti o bezpečnostních opatřeních (kontaktní údaje najdete v příloze 8 tohoto dokumentu).

8. Zabezpečení osobních údajů

K zabezpečení osobních údajů využívá Společnost vhodné technické, fyzické, právní i organizační opatření vyhovující předpisům na ochranu osobních údajů.

Vzhledem k tomu, že některé osobní údaje jsou archivovány elektronicky, Společnost učinila příslušná bezpečnostní IT opatření k zabezpečení těchto osobních údajů, například systémy antivirové ochrany, firewally a technologie kódování dat. V prostorách Společnosti jsou zavedeny postupy na fyzickou ochranu osobních údajů v papírové podobě. Společnost pravidelně také školí své pracovníky o ochraně dat a informační bezpečnosti.

Pokud Společnost poskytne osobní údaje třetí osobě (včetně jejich poskytovatelů služeb), nebo najme třetí osobu, aby jménem Společnosti shromažďovala osobní údaje, tato třetí osoba je vždy pečlivě vybrána a je povinna aplikovat vhodná bezpečnostní opatřeni k ochraně osobních údajů a jejich zabezpečení. Osobní údaje jsou například kódované / chráněné heslem.

Žádný přenos dat prostřednictvím internetu nebo systému elektronického uložení dat není bohužel stoprocentně bezpečný. Pokud máte důvod se domnívat, že Vaše komunikace se Společností již není bezpečná (pokud máte například pocit, že došlo k narušení ochrany osobních údajů, které jste Společnosti poskytly), sdělte to Společnosti co nejdříve

Způsob, jakým jsou chráněny Vaše osobní údaje, je podrobněji popsán v  bezpečnostních pravidlech Společnosti, jenž je možno získat od kontaktních osob uvedených v Příloze 8.

9. Právní odůvodnění našeho způsobu zpracování osobních údajů

Aby Společnost vyhověla předpisům na ochranu osobních údajů, je povinna Vám sdělit právní odůvodnění, na základě kterého využívá Vaše osobní údaje k svým potřebám.

Zatímco zákon uvádí několik právních odůvodnění, tabulka v Příloze 5 popisuje hlavní právní důvody, které se vztahují k využití Vašich osobních údajů pro naše potřeby.

Aby Společnost od Vás získala osobní údaje a splnila tím příslušné zákonné podmínky, přičemž některé osobní údaje potřebuje, aby splnila podmínky smluvního vztahu s Vámi (nebo někým jiným) nebo při přípravě uzavření smlouvy s Vámi (nebo s někým jiným). Příležitostně Vás Společnost může informovat, že od Vás potřebuje osobní údaje. Pokud Společnosti v dané situaci relevantní osobní údaje neposkytnete, nebude Vám pravděpodobně moci poskytovat své produkty nebo služby. Podrobnější informace získáte u kontaktních osob Společnosti uvedených v Příloze 8.

Pokud při zdůvodnění potřeby využívat Vaše osobní údaje Společnost vychází z legitimních podnikatelských zájmů nebo legitimních zájmů třetích osob, pak legitimní zájmy Společnosti obvykle budou:

  • rozvíjet komerční činnost a cíle, nebo komerční činnost a cíle třetí osoby (například realizací přímého marketingu);
  • dodržování platných zákonných a regulatorních povinností, směrnic, norem a etických kodexů (například prověřovat sdělené informace, případně jinak předcházet, vyhledávat nebo vyšetřovat podvod nebo praní špinavých peněz);
  • zlepšení a rozvoj obchodních činností a služeb nebo služeb třetí strany;
  • ochrana podnikání, akcionářů, zaměstnanců a odběratelů nebo třetí osoby (například zajištění IT sítě a informační bezpečnosti, vymáhání nároků včetně vymáhání dluhů); a
  • analýza konkurentů na trhu pro poskytování služeb Společnosti (například prostřednictvím výzkumů, včetně výzkumů trhu).

Může nastat situace, kdy Společnost bude shromažďovat, využívat a zpřístupňovat osobní údaje v souvislosti se záležitostmi ve veřejném zájmu, například za účelem dodržování svých povinností vyplývajících ze zákonů proti praní špinavých peněz a financování terorismu, jiných zákonů a předpisů zaměřených na prevenci trestné činnosti. V takových případech je právní zdůvodnění využití osobních údajů takové, že jejich využití je nutné pro záležitosti veřejného zájmu. Další zdůvodnění pak může záviset na okolnostech případu.

Při zpracování citlivějších osobních údajů Společnost vychází buď:

  • z Vašeho souhlasu; nebo
  • ze skutečnosti, že využití Vašich citlivých osobních údajů je nezbytné pro zřízení, výkonu nebo obraně právních nároků, nebo kdykoli soudy jednají v rámci svých pravomocí (například, když soud vydá soudní nařízení nařizující zpracování osobních údajů).

Zpracování osobních údajů, týkajících se odsouzení v trestní věci nebo trestné činnosti probíhá s výhradou podmínek stanovených platným právem.

10. Monitoring

Společnost může monitorovat telefonní hovory s Vámi, za účelem:

  • zlepšovat úroveň služeb Společnosti tím, že zaměstnanců poskytne zpětnou vazbu a školení;
  • reagovat na dotazy, obavy a stížnosti;
  • předcházet, vyhledávat a prošetřovat trestnou činnost, včetně podvodu a praní špinavých peněz, a analyzovat a řídit obchodní rizika; a
  • dodržovat zákonné a regulatorní povinnosti vztahující se na Společnost.

Dále Společnost může monitorovat elektronickou komunikaci mezi Společností a zaměstnanci (například elektronickou poštu) za účelem ochrany zaměstnanců, podnikání a IT Infrastruktury a třetích osob, prostřednictvím mj.:

  • identifikace a řešení nevhodné komunikace; a
  • vyhledávání a odstraňování virů a jiného škodlivého softwaru a řešením dalších problémů informační bezpečnosti.

Využití uzavřeného kamerového okruhu (CCTV) také vyžaduje zpracování osobních údajů. Podrobnější informace o zpracování osobních údajů v rámci CCTV najdete v Příloze 6.

11. Archivace osobních údajů

Vaše osobní údaje se Společnost ponechá tak dlouho, jak bude potřeba k účelům, ke kterým je shromáždila. To znamená, že Společnost uchová osobní údaje po dobu, po kterou trvá její vztah s jednotlivcem, kterého se osobní údaje týkají. Jakmile tento vztah skončí, Společnost uchová takové osobní údaje po dobu nezbytnou: (a) k plnění zákonných povinností ve vztahu k evidence a archivaci, (b) k ochraně nebo uplatnění oprávněných nároků, (c) k evidenci pro obchodní analýzy a audit, a (d) k reakci na stížnosti a ostatní potíže týkající se podnikání.

Pokud s Vašimi osobními údaji Společnost pracuje, aby vyhověla zákonným a regulatorním povinnostem, ponechá si tyto údaje minimálně po dobu, po kterou budete tyto povinnosti plnit. V některých případech bude platit zákonná doba archivace i přes to, že prvotní účel pominul.

Pokud osobní údaje Společnost používá při poskytování produktu nebo služby, ponechává si je alespoň tak dlouho, dokud produkt nebo službu poskytuje, a po několik následujících let. Počet let se mění v závislosti na povaze poskytovaného produktu nebo služby.

Společnost se snaží zajistit, aby se archivovaly pouze osobní údaje, které jsou potřebné a nezbytné k realizaci činností, ke kterým byla shromážděna. Osobní údaje budou vymazány v okamžiky, kdy účel pominul, nebo již k realizaci nejsou potřeba.

Další informace o lhůtách pro archivaci, po které Společnost archivuje Vaše osobní údaje, jsou k dispozici na kontaktních adresách v Příloze 8.

12. Práva k osobním údajům

V Příloze 7 je uvedeno shrnutí práv jednotlivců na ochranu osobních údajů v EHP ve vztahu k jejich osobním údajům. Tato práva lze uplatnit pouze za určitých okolností a vztahují se k nim některé zákonné výjimky.

Pokud chcete uplatnit svá práva, kontaktujte prosím Společnost na adrese uvedené v Příloze 8.

13. Koho kontaktovat ve věci osobních údajů

Pokud máte dotazy nebo obavy ze způsobu, jakým Společnost využívá Vaše osobní údaje, kontaktujte prosím Společnost na adrese uvedené v Příloze 8.

14. Revize a úpravy

Tyto předpisy o ochraně osobních údajů Společnost pravidelně reviduje a vyhrazuje si právo provádět změny zohledňující podnikání, právní nároky a způsob, jakým osobní údaje Společnost zpracovává. Společnost může tyto předpisy příležitostně revidovat a měnit.

Přílohy