ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ společnosti KOSME s.r.o.

Vážení zaměstnanci, klienti (členové klubu), obchodní partneři, návštěvníci klubu,

dovolujeme si Vás prostřednictvím tohoto materiálu informovat, v jakém rozsahu, jakými způsoby a dle jakých principů společnost KOSME s.r.o. zpracovává Vaše osobní údaje. tj. jaké jsou zásady zpracování osobních údajů společnosti KOSME s.r.o., IČO 28782739, se sídlem Staňkova 1322, Zelené Předměstí, 530 02 Pardubice, zapsané u Krajského soudu v Hradci Králové, spisová značka C, vložka 27065 (dále jako „správce, „společnost“ nebo „KOSME“).

KOSME prostřednictvím těchto zásad plní své povinnosti, vyplývající pro ni z nařízení EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně osobních údajů (dále jako „nařízení GDPR“).

1. Výklady některých základních pojmů

  • Osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě – identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
  • Citlivý osobní údaj – osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zpracování genetických a biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
  • Subjekt údajů – žijící fyzická osoba (nikoliv právnická osoba). Subjektem údajů KOSME rozumí své zaměstnance, klienty (členy klubu), obchodní partnery – podnikající fyzické osoby a návštěvníky klubu. Subjektem údajů není zesnula fyzická osoba.
  • Kategorie osobních údajů – osobní údaje se člení do různých kategorií, např.: popisné, identifikační (jméno, příjmení, datum narození, fotografie, apod.), kontaktní (adresa bydliště, telefon, e-mail), apod.
  • Zpracování – zpracováním se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
  • Správce osobních údajů – společnost KOSME s.r.o.
  • Souhlas se zpracováním – svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nijak nucen.

2. Správce osobních údajů

Správcem osobních údajů je společnost KOSME s.r.o., IČO 26000768, se sídlem Bratranců Veverkových 396, Zelené Předměstí, 530 02 Pardubice, zapsané u Krajského soudu v Hradci Králové, spisová značka C, vložka 19296.

3. Kontaktní adresa správce

KOSME s.r.o., IČO 28782739, se sídlem Staňkova 1322, Zelené Předměstí, 530 02 Pardubice,
e-mail: info@suncity.cz, webové stránky KOSME: http://www.suncity.cz, sekce Ochrana osobních údajů.

4. Právní důvody zpracování

KOSME osobní údaje zpracovává vždy a výhradně pouze na základě některého z těchto právních důvodů (právních titulů):

  • splnění právní povinnosti,
  • plnění smlouvy,
  • ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • splnění úkolu prováděného ve veřejném zájmu,
  • zpracování je nezbytné pro účely oprávněných zájmů KOSME či třetí strany,
  • udělení souhlasu subjektu údajů se zpracováním osobních údajů.

Pouze zpracování, prováděného na základě jednoho z výše uvedených právních důvodů, je zákonné a v souladu s nařízením GDPR.

5. Zpracovávané osobní údaje společností KOSME

Společnosti KOSME zpracovává osobní údaje svých zaměstnanců, obchodních partnerů, svých klientů (členů klubu KOSME) a případných návštěvníků klubu.

5.1 Zaměstnanci:

Zpracovávané osobní údaje:

  • identifikační – jméno, příjmení, datum narození, adresa bydliště,
  • kontaktní osobní údaje – telefon, e-mail.

Účely zpracování:

  • uzavření pracovní smlouvy a naplňování jejího účelu, plnění zákonných povinností (zejm. zákona č. 262/2006 Sb., zákoník práce).

Právní tituly:

  • plnění smlouvy, splnění právní povinnosti, oprávněný zájem KOSME.

5.2 Klienti (členové klubu):

Zpracovávané osobní údaje:

  • identifikační – jméno, příjmení, datum narození, adresa bydliště,
  • kontaktní – telefon, e-mail,
  • vyplývající z členské smlouvy – doba trvání smlouvy, druh členství, údaje pro platební a fakturační operace,
  • potřebné pro odborné vedení osobní tréninku – telefon, e-mail, věk, údaje o zdravotním stavu,
  • potřebné pro reklamu a marketing – jméno, příjmení, telefon, e-mail, nároky na slevy,
  • potřebné pro zajištěné ochrany života, zdraví a majetku klienta (člena klubu) – fotografie, obrazové záznamy (kamerový systém).

Účely zpracování:

  • uzavření členské smlouvy a naplňování jejího účelu, odborné vedené tréninku a ochrana zdraví klienta (člena klubu) plnění zákonných povinností, reklama a propagace, evidence a vymáhání pohledávek.

Právní tituly:

  • plnění smlouvy, splnění právní povinnosti, oprávněný zájem KOSME, písemný souhlas klienta (člena klubu).

5.3 Obchodní partneři – fyzické osoby podnikatelé:

Zpracovávané osobní údaje:

  • identifikační – jméno, příjmení, IČO, DIČ, sídlo,
  • kontaktní osobní údaje – telefon, e-mail, webové stránky, platební údaje,
  • pro marketingové a reklamní účely – jméno, příjmení, telefon, e-mail, údaje o dosavadní obchodní spolupráci.

Účely zpracování:

  • uzavření obchodní smlouvy a naplňování jejího účelu, plnění zákonných povinností, reklama a propagace, evidence a vymáhání pohledávek.

Právní tituly:

  • plnění smlouvy, splnění právní povinnosti, oprávněný zájem KOSME.

5.4 Návštěvy klubu:

Zpracovávané osobní údaje:

  • identifikační – záznamy z kamerového systému.

Účely zpracování:

  • ochrana života, zdraví a majetku zaměstnanců, klientů (členů klubu), obchodních partnerů a návštěv klubu, předcházení trestné činnosti.

Právní tituly:

  • oprávněný zájem KOSME.

Společnost KOSME nepředává osobních do ostatních členských států Evropské unie, ani do jakýchkoliv jiných států mimo Evropskou unii.

7. Sdílení zpracovávaných osobních údajů

KOSME osobní údaje subjektu údajů sdílí s jinými správci osobních údajů pouze v případě, že na základě právního předpisu mají stanovenu povinnost či jsou k tomu oprávněni nebo pokud k tomuto úkonu subjekt údajů udělil písemný souhlas.

7.1 Zákonná povinnost poskytovat osobní údaje

Zákonná povinnost poskytování osobních údajů se vztahuje především na tyto subjekty:

  • státní instituce – Policie ČR, soudy, orgány činné v trestním řízení, orgány sociálního zabezpečení, Úřady práce, obecní úřady, apod.),
  • exekutoři;
  • insolvenční správci,
  • zdravotní pojišťovny.

7.2 Třetí osoby, kterým jsou osobní údaje poskytovány

KOSME využívá externí poskytovatele služeb, kteří zajišťují zejména účetnictví, výkaznictví, správu pohledávek, marketing a propagaci, IT. Aby tyto subjekty mohli plnit své účely a povinnosti, musí být jim být od KOSME předány určité osobní údaje zaměstnanců, klientů (členů klubu), obchodních partnerů či návštěv.

Výše uvedené subjekty jsou vždy KOSME prověřeni a poskytují dostatečné záruky s ohledem na důvěrnost a ochranu osobních údajů zaměstnanců, klientů (členů klubu), obchodních partnerů či návštěv. Se všemi těmito poskytovateli KOSME uzavřela písemné smlouvy o zpracování osobních údajů, v nichž se poskytovatelé zavázali k ochraně osobních údajů a dodržování standardů KOSME pro zabezpečení osobních údajů. Jednotlivé právní normy stanoví, za jakých podmínek mohou tyto osoby žádat poskytnutí údajů a v jakém rozsahu.

7.3 Právní vztah se zpracovateli osobních údajů

Pro sdílení osobních údajů se zpracovateli osobních údajů není souhlas subjektu údajů vyžadován. Subjekty, které se mají stát zpracovateli osobních údajů, jsou smluvně (tzv. smlouvou o zpracování) zavázány tyto údaje náležitě chránit.

S každým subjektem, který by se v rámci své činnosti pro KOSME mohl dostat do role zpracovatele osobních údajů, které KOSME jakožto správce spravuje, je uzavřena písemná smlouva o zpracování osobních údajů a tento zpracovatel je s osobními údaji subjektu údajů oprávněn nakládat pouze v rozsahu nezbytně nutném pro splnění jeho úkolu, pro účely splnění jeho úkolu a po sjednanou dobu.

Zároveň je subjekt, vystupující v roli zpracovatele osobních údajů pro KOSME, povinen osobním údajům poskytovat stejnou ochranu, jako KOSME.

8. Zabezpečení zpracovávaných osobních údajů

KOSME dlouhodobě vyvíjí maximální možné úsilí k zajištění důvěrnosti, integrity a dostupnosti jí zpracovaných osobních údajů. KOSME zavedla a nadále udržuje a zdokonaluje vhodná technická, bezpečnostní a organizační opatření ti nezákonnému nebo neoprávněnému zpracování osobních údajů a proti náhodné ztrátě či poškození osobních údajů.

Přístup k osobním údajům mají pouze individuálně určené osoby, které jsou řádně proškoleny v oblasti problematiky zpracování a ochrany osobních údajů, a které jsou vázány zákonnou či smluvní mlčenlivostí.

9. Doba uložení zpracovávaných osobních údajů

Doba uchovávání (zpracování) osobních údajů v KOSME se vztahuje k jednotlivým účelům zpracování a vyplývá ze zákonných povinností, smluvních vztahů, oprávněného zájmu, vědeckovýzkumné činnosti nebo uděleného souhlasu. KOSME vychází z těchto právních pramenů:

  • nařízení GDPR,
  • zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů,
  • zákona č. 563/1991 Sb., o účetnictví, ve znění pozdějších předpisů.

Osobní údaje, které KOSME zpracovává na základě souhlasu subjektu pro stanovený účel, jsou zpracovávány po dobu, po kterou je souhlas platný, resp. do jeho odvolání.

V souladu se zásadou minimalizace dat je záměrem KOSME zpracovávat pouze ty osobní údaje, které KOSME nezbytně potřebuje pro daný účel a jejich uchovávání je nastaveno tak, aby byly ponechány po nezbytně nutnou dobu k zajištění zájmů subjektu údajů nebo ochrany jeho práv či práv na ochranu zájmů KOSME. Jakmile daná doba uplyne nebo pozbyly důvody uchování, jsou osobní údaje vymazány, resp. anonymizovány.

10. Provozování kamerového systému

KOSME ve svých prostorách neprovozuje kamerový systém se záznamem.

Bude-li kamerový systém se zázname zaveden, budou místa snímaná kamerovým systémem se záznamem vždy označena piktogramem kamery s textem o provádění kamerového záznamu se záznamem, včetně kontaktu na KOSME jakožto správce osobních údajů a telefonního kontaktu na další informace.

V případě zavedení kamerového systému se záznamem, bude zpracování osobních údajů prostřednictvím kamerových záznamů v KOSME prováděno výhradně za účelem ochrany života a zdraví zaměstnanců KOSME, klientů (členů klubu), obchodních partnerů, včetně případných třetích osob, a dále za účelem ochrany majetku KOSME a jejich zaměstnanců, včetně případných třetích osob.

11. Práva vyplývající z nařízení GDPR

Zaměstnanců, klientům (členům klubu) a obchodním partnerům (fyzickým osobám podnikatelům) KOSME náležejí ve smyslu ustanovení článků 12 až 21 nařízení GDPR níže uvedená práva. Pokud kterýkoliv z výše uvedených tato práva vůči KOSME uplatní, je KOSME povinna subjektem údajů uplatněná práva realizovat. Jedná se o tato práva:

11.1 Právo na informace

Základní právo subjektu údajů, naplňující zásadu transparentnosti zpracování osobních údajů, které subjektu údajů zaručuje řádnou informovanost o zpracování jeho osobních údajů.

11.2 Právo na přístup k osobním údajům

Subjekt údajů má právo získat od KOSME potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

  • účel zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích,
  • plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, týkajících se subjektu údajů nebo omezení jejich zpracování, anebo vznést námitku proti tomuto zpracování,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v článku 22 odst. 1 a 4 nařízení GDPR, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

11.3 Právo na opravu a doplnění

Subjekt údajů má právo na to, aby KOSME bez zbytečného odkladu opravila nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Pokud KOSME tuto žádost subjektu údajů obdrží, je povinna vyvinout adekvátní činnost, aby žádost prověřila a případně toto právo vykonala ve formě opravy či doplnění.

KOSME není povinna aktivně vyhledávat nepřesné osobní údaje subjektu údajů.

11.4 Právo na výmaz („právo být zapomenut“)

Subjekt údajů má právo na to, aby správce (KOSME) bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají a správce (KOSME) má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
  • subjekt údajů odvolá souhlas, na jehož základě byly údaje podle článku 6 odst. 1 písm. a) nebo článku 9 odst. 2 písm. a) nařízení GDPR zpracovány, a neexistuje žádný další právní důvod pro zpracování;
  • subjekt údajů vznese námitky proti zpracování podle článku 21 odst. 1 nařízení GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle článku 21 odst. 2 nařízení GDPR;
  • osobní údaje byly zpracovány protiprávně;
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1. a 2. nařízení GDPR.

11.5 Právo na omezení zpracování

Subjekt údajů má právo na to, aby správce (KOSME) omezil zpracování, v kterémkoli z těchto případů:

  • subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce (KOSME) mohl přesnost osobních údajů ověřit;
  • zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  • správce (KOSME) již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  • subjekt údajů vznesl námitku proti zpracování podle článku 21 odst. 1 nařízení GDPR, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

Omezením zpracování se rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu. Podstatným znakem omezení zpracování je dočasnost tohoto opatření (tím se liší od likvidace osobních údajů).

Příkladem uplatnění tohoto práva je situace, kdy z důvodu nepřesného zadání e-mailové adresy jsou např. výpisy o používání služby zasílány jiné osobě a tato osoba namítá nepřesnost osobních údajů (e-mailové adresy). Správce je povinen do doby, než se nepřesnost odstraní, omezit zpracování nepřesné e-mailové adresy a nezasílat nesprávnému příjemci údaje jiné fyzické osoby.

11.6 Právo na přenositelnost údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci (KOSME), ve strukturovaném, běžně používaném a strojově čitelném formátu (např. CSV, XML, JSON, ZIP, apod.) a právo předat tyto údaje jinému správci, aniž by tomu správce (KOSME), kterému byly osobní údaje poskytnuty, bránil. Toto právo subjektu údajů lze realizovat pouze za kumulativního splnění 2 podmínek:

  • zpracování založeno na souhlasu nebo smlouvě
  • a jedná se o automatizované zpracování.

11.7 Právo vznést námitku

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, avšak jedině pokud je zpracování osobních údajů založeno na základě článku 6 odst. 1 nařízení GDPR:

  • písmenu e. – zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  • písmenu f. – zpracování je nezbytné pro účely oprávněných zájmů správce (KOSME) či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě, včetně profilování založeného na těchto ustanoveních.

Správce (KOSME) osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

11.8 Právo odvolat souhlas se zpracováním osobních údajů

Subjekt údajů právo kdykoliv odvolat správci (KOSME) udělený souhlas se zpracováním jeho osobních údajů. Odvoláním není dotčena zákonnost zpracování osobních údajů vycházejícího ze souhlasu, který byl dán před jeho odvoláním, tj. nemá retroaktivní účinky.

V případě uplatnění tohoto práva je správce (KOSME) povinen od okamžiku přijetí odvolání souhlasu okamžitě přestat se zpracováním těch osobních údajů subjektu údajů, které na základě takového souhlasu dosud zpracovával.

11.9 Právo podat stížnost

Bude-li se subjekt údajů domnívat, že zpracováváním jeho osobních údajů v KOSME dochází k porušení nařízení GDPR, má právo podat stížnost u dozorového úřadu, kterým je v České republice Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, webové stránky https://www.uoou.cz, e-mail posta@uoou.cz, telefon +420 234 665 111 (Ústředna), případně u dozorového úřadu jiného členského státu.

Subjekt údajů může stížnost podat u dozorového úřadu v místě svého obvyklého bydliště nebo místě výkonu zaměstnání nebo v místě, kde došlo k údajnému porušení. V podobnostech viz webové stránky dozorového úřadu.

Na výše uvedená práva je KOSME povinna reagovat ve lhůtě do jednoho měsíce. Ve výjimečných případech je možné tuto lhůtu prodloužit, vždy však za neprodleného informování subjektu údajů.

Žádost může subjekt údajů podat jedním z těchto způsobů:

  • písemně na adresu KOSME s.r.o., KOSME s.r.o., IČO 28782739, se sídlem Staňkova 1322, Zelené Předměstí, 530 02 Pardubice,
  • osobně v prostorách KOSME,
  • elektronicky na e-mail info@suncity.cz či do datové schránky ID rtbg6mr.

12. Závěrečná ustanovení

Tyto zásady zpracování osobních údajů společnosti KOSME s.r.o. jsou platné a účinné ke dni 25. 5. 2018.

za KOSME s.r.o.
Jiří Kopecký, jednatel