Česky English
Drobečková navigace

Úvod > Pro diváky > GDPR

Politika ochrany osobních údajů společnosti TMM

 

Shrnutí

Tato Politika ochrany osobních údajů společnosti TMM s.r.o., IČO: 25164449, se sídlem Radotínská 69/34, 159 00 Praha 5, Velká Chuchle („společnost TMM“) stanovuje pravidla ochrany osobních údajů včetně souvisejících povinností společnosti TMM („Politika ochrany osobních údajů“). Politika ochrany osobních údajů odráží pravidla ochrany osobních údajů vyžadované GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.

Společnost TMM bere ochranu osobních údajů vážně a s osobními údaji při výkonu své podnikatelské činnosti nakládá s dostatečnou opatrností a odpovědností. Porušení zabezpečení osobních údajů může mít vážné právní a ekonomické důsledky pro společnost TMM, její zaměstnance a subjekty údajů, a rovněž může poškodit dobrou pověst společnosti TMM. Implementací Politiky ochrany osobních údajů ve společnosti TMM budou minimalizována rizika porušení zabezpečení osobních údajů i rizika z něj vyplývající.

 

Rozsah

Tato Politika ochrany osobních údajů je závazná pro společnost TMM a její zaměstnance. Týká se veškerého zpracování osobních údajů, na které se vztahuje GDPR a národní legislativa členských států.

 

1.  Postupy a kompetence

Následující odstavce popisují postupy, které společnost TMM dodržuje při zpracování osobních údajů. Dále obsahují stručný popis rozdělení kompetencí ve společnosti TMM v oblasti zpracování osobních údajů.

 

1.1  Všeobecné povinnosti

Společnost TMM zavedla a bude nadále zavádět vhodná technická a organizační opatření, která zajistí ochranu osobních údajů před jejich zneužitím, ztrátou či poškozením, a bude s údaji zacházet v souladu s GDPR a národní legislativou členských států v oblasti ochrany osobních údajů. Ochrana osobních údajů se vztahuje na zpracování osobních údajů partnerů a zaměstnanců společnosti TMM, jejich rodinných příslušníků, uchazečů o zaměstnání, zákazníků a dalších fyzických osob, jejichž osobní údaje jsou zpracovávány společností TMM.

 

1.2  Základní zásady ochrany osobních údajů

Společnost TMM při zpracování osobních údajů respektuje základní zásady stanovené v GDPR. Příslušné základní zásady jsou uvedeny níže:

  • zásada zákonnosti – před zpracováním osobních údajů musí být stanoven alespoň jeden právní základ zpracování,
  • zásada účelového omezení – zpracování osobních údajů pouze za předem stanoveným účelem,
  • zásada minimalizace údajů – zpracování pouze osobních údajů nutných, relevantních a přiměřených danému legitimnímu účelu,
  • zásada korektnosti a transparentnosti – otevřenost a transparentnost zpracování vůči subjektům údajů,
  • zásada integrity a důvěrnosti, aplikace principu přístupu pouze k nezbytným informacím – implementace nutných organizačních a technických opatření za účelem zajištění omezení přístupu k osobním údajům, aby nemohlo docházet k jejich neoprávněnému nebo protiprávnímu zpracování,
  • zásada přesnosti – zpracování přesných a aktuálních osobních údajů,
  • režim kontrolovaného řízení změn – změna současného systému zpracování na nový způsob podléhá zvážení pověřencem pro ochranu osobních údajů („pověřenec“) nebo správcem, a případné následné přípravě posouzení vlivu na ochranu osobních údajů, a
  • definice rolí osob zúčastněných na ochraně osobních údajů ve společnosti TMM.

 

1.3  Právní základy zpracování a účely zpracování osobních údajů

Zpracování osobních údajů je vždy založeno na právních základech zpracování, mezi které patří souhlas se zpracováním osobních údajů, splnění právní povinnosti, splnění smlouvy, oprávněný zájem, veřejný zájem nebo ochrana zájmů subjektu údajů.

 

1.4  Zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se trestních věcí

Zvláštní kategorie osobních údajů a osobní údaje týkající se trestních věcí jsou obzvláště citlivé, a tudíž se na ně vztahuje vysoký stupeň ochrany. Jakékoli zpracování zvláštních kategorií osobních údajů je konzultováno s pověřencem.

 

1.5  Předávání osobních údajů

Společnost TMM může osobní data zpřístupnit třetím stranám (včetně předávání osobních údajů v rámci skupiny) pouze za určitých podmínek. Osobní údaje mohou být zpřístupněny třetí straně v postavení zpracovatele na základě smlouvy o zpracování osobních údajů. Osobní údaje mohou být rovněž zpřístupněny jiné třetí straně v postavení správce nebo společného správce na základě příslušných smluvních ujednání.

V případě požadavků na opravu nebo výmaz osobních údajů nebo omezení zpracování, informuje společnost TMM za určitých podmínek příslušné třetí strany, jimž byly osobní údaje zpřístupněny, s výjimkou situací, kdy takové informování není proveditelné nebo vyžaduje nepřiměřené úsilí. Společnost TMM informuje subjekt údajů o třetích stranách, jimž byly dotčené osobní údaje zpřístupněny, pouze na žádost subjektu údajů.

Za určitých podmínek může společnost TMM osobní údaje předávat také do třetích zemí mimo EHP nebo Evropskou unii nebo mezinárodním organizacím. Při posuzování zákonných podmínek, za nichž je možné předání osobních údajů do třetích zemí nebo mezinárodním organizacím, se společnost TMM radí s pověřencem.

 

1.6  Práva subjektů údajů

Společnost TMM podniká všechny kroky nutné k tomu, aby subjekty údajů mohly vykonávat svá práva stanovená GDPR. Ve vztahu ke zpracování osobních údajů patří mezi práva subjektů údajů právo na přístup k osobním údajům, právo na opravu, omezení zpracování, přenositelnost nebo výmaz osobních údajů, právo vznést námitku proti zpracování osobních údajů a právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů.

Subjekty údajů mohou uplatnění svých práv požadovat prostřednictvím písemné nebo ústní žádosti. Za účelem zajištění dostatečné ochrany osobních údajů zpracovávaných společností TMM a s cílem předcházet zneužití osobních údajů přijala společnost TMM níže uvedená pravidla pro ověření totožnosti subjektů údajů.

Písemné žádosti

Pro písemnou žádost o uplatnění určitého práva subjekt údajů vyplní formulář žádosti, který tvoří přílohu této Politiky ochrany osobních údajů a který je dostupný u pověřence. Podpis subjektu údajů na formuláři musí být úředně ověřený (např. v notářské kanceláři, na poště, v advokátní kanceláři, na obecním / krajském úřadě), vyjma zaslání žádosti elektronicky datovou schránkou.

Ústní žádosti

Uplatnění určitého práva mohou subjekty údajů požadovat také osobně na adrese sídla společnosti TMM. Vaše totožnost bude ověřena pověřeným zaměstnancem (např. na recepci) na základě předložení jednoho z následujících dokumentů: občanského průkazu, cestovního pasu nebo dalšího dokumentu s fotografií dostatečně způsobilou k tomu, aby umožnila Vaši jasnou identifikaci.

Výkonem práv subjektů údajů nesmí být dotčena práva třetích osob. V případě, že žádosti subjektů údajů budou zjevně neopodstatněné nebo nepřiměřené, zejména z důvodu jejich opakující se povahy, může společnost TMM pro zodpovězení žádosti požadovat přiměřený poplatek nepřekračující nezbytné náklady na poskytnutí informací uvedených výše nebo na zajištění uplatnění práv subjektů údajů.

Společnost TMM zajišťuje dostatečnou komunikaci a spolupráci tak, aby byly všechny přijaté žádosti zpracovány v přiměřené době a aby danému subjektu údajů poskytla odpověď v předepsané lhůtě.

 

1.7  Role a povinnosti

Společnost TMM a její statutární orgány je odpovědná za zajištění souladu s GDPR a příslušnou národní legislativou členských států v oblasti ochrany osobních údajů.

 

1.8  Pověřenec pro ochranu osobních údajů

Společnost TMM jmenovala pověřence s funkční a organizační odpovědností za soulad s právními předpisy a interními předpisy společnosti TMM v oblasti ochrany osobních údajů.

Pověřence je možné kontaktovat e-mailem: dpo@cpipg.com nebo poštou na adrese Vladislavova 1390/17, 110 00 Praha 1, Česká republika.

 

1.9  Povinnosti vlastníků údajů a všech zaměstnanců

Všichni vlastníci údajů v rámci společnosti TMM a všichni zaměstnanci mají povinnost osobní údaje zpracovávat v souladu s interními předpisy společnosti TMM, GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.

 

1.10  Ohlašování případů porušení zabezpečení osobních údajů

Společnost TMM oznamuje domnělé porušení zabezpečení osobních údajů příslušnému pověřenci okamžitě, v každém případě nejpozději do 24 hodin. Pokud porušení zabezpečení osobních údajů splňuje požadavky na ohlášení příslušnému dozorovému úřadu a/nebo subjektům údajů, pověřenec tuto povinnost splní do 72 hodin od porušení zabezpečení osobních údajů.

 

1.11  Výmaz osobních údajů

Společnost TMM zpracovává osobní údaje pouze po nezbytnou dobu. Za následujících okolností se osobní údaje vymazávají nebo anonymizují:

  • zánik účelu zpracování osobních údajů, aniž by pro dané osobní údaje existoval jiný účel zpracování,
  • osobní údaje již nejsou potřeba pro účely, pro které byly zpracovávány,
  • odvolání souhlasu subjektu údajů, aniž by pro dané osobní údaje existoval jiný právní základ zpracování,
  • námitka subjektu údajů proti zpracování, aniž by existovaly jiné převažující oprávněné důvody,
  • protiprávní zpracování osobních údajů.

Společnost TMM při výmazu a anonymizaci klade důraz na dodržování nezbytných bezpečnostních opatření.

 

1.12  Správa dokumentů

Společnost TMM nakládá s dokumenty v souladu s GDPR. Pravidla pro přijímání, evidování, oběh, ukládání a vyřazení (skartaci) dokumentů ve společnosti TMM jsou zakotvena v platných skartačních řádech společnosti TMM.

Po ukončení archivační doby jsou dokumenty vyřazeny v souladu s nastaveným skartačním řízením, a to s prokazatelným záznamem (schválení vlastníkem dokumentů; schválení příslušného státního oblastního archivu; potvrzení o skartaci).

 

1.13  Zveřejňování osobních údajů ve veřejných médiích a na intranetu

Společnost TMM může osobní údaje zveřejnit na intranetu, internetu nebo v jakémkoli jiném médiu pouze se souhlasem dotčeného subjektu údajů, pokud v konkrétním případě neexistuje jiný právní základ zpracování.

 

1.14  Informace o zpracování osobních údajů

Pokud společnost TMM získává osobní údaje týkající se subjektů údajů přímo od těchto subjektů údajů, jsou těmto subjektům informace o zpracování jejich osobních údajů poskytnuty v okamžiku získání osobních údajů. Pokud osobní údaje nejsou získány přímo od subjektů údajů, jsou jim informace o zpracování poskytnuty následně, většinou při první komunikaci s daným subjektem.

 

2.  Základní termíny a zkratky

Subjekt údajů

Identifikovaná nebo identifikovatelná fyzická osoba, jejíž osobní údaje se zpracovávají; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Správce údajů

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Zpracovatel

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Osobní údaje

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě.  

Zvláštní kategorie osobních údajů

Osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Národní legislativa členských států v oblasti ochrany osobních údajů

Legislativa v oblasti ochrany osobních údajů přijatá členskými státy v souladu s GDPR.  

GDPR

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Zpracování osobních údajů

Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Pověřenec

Pověřenec pro ochranu osobních údajů (DPO).

Anonymizované informace

Informace, které se netýkají identifikované či identifikovatelné fyzické osoby, včetně osobních údajů anonymizovaných tak, že subjekt údajů není nebo již přestal být identifikovatelným.

Třetí strana

Jakákoli právnická nebo fyzická osoba, která není zaměstnancem společnosti, s výjimkou subjektů údajů.

Souhlas

Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

 

Příloha - žádost o uplatnění práva subjektu údajů podle GDPR