Pravidla ochrany osobních údajů
Společnost Feschu lighting & design s.r.o., IČ 27405095 se sídlem Jeseniova 1564/67, Praha 3, PSČ 130 00, dále jen společnost si je vědoma významu ochrany osobních údajů pro soukromí osob a přijala proto následující Pravidla ochrany osobních údajů:
Zavazuje se splňovat regulace v této oblasti – Nařízení EU 2016/679 dále jen Nařízení GDPR, Zákon o ochraně osobních údajů 101/2000 v aktuálním znění a reagovat na další legislativu v této oblasti.
Pro jejich náležité plnění má vytvořenu funkci – Pověřenec ochrany osobních údajů.
Společnost získává osobní údaje těchto skupin subjektů údajů přímo od subjektů údajů, nezískává je z jiných zdrojů.
1. Kontaktní údaje
Správcem osobních údajů je Feschu lighting & design s.r.o., Jeseniova 1564/67, Praha 3, 130 00
Kontaktní údaje na osobu odpovědnou za ochranu osobních údajů jsou: petra@feschu.cz, tel.: +420 222 582 260
2. Tabulka zpracování osobních údajů
| Název zpracování | Účel zpracování | Kategorie osobních údajů | Právní titul | Upřesnění právního titulu | Doba uložení | Další příjemci | Zdroj údajů |
| Údaje pro objednávku | Zajištění dodání objednávky | Kontaktní a fakturační údaje | Plnění smlouvy | Po dobu platnosti smlouvy | Nejsou | Subjekt údajů | |
| Právní povinnost | Zákon o DPH | 10 let | |||||
| Zpracování osobního dotazníku | Příprava pracovní smlouvy | Identifikační a kontaktní údaje | Plnění smlouvy | Pracovní smlouva | Po dobu platnosti pracovní smlouvy | Nejsou | Subjekt údajů |
| Oprávněný zájem | Řízení firmy | ||||||
| Souhlas | Do odvolání souhlasu |
3. Vysvětlení k tabulce a zpracováním
Právní tituly – jsou zákonná odůvodnění zpracování a jsou definovány v nařízení GDPR, článcích 6 a 9.
Doba uložení – znamená, po jakou dobu jsme oprávněni nebo povinni vaše údaje zpracovávat a mít je uloženy.
Další příjemci – zde uvádíme, jakým dalším příjemcům údaje předáváme. Pokud je uvedeno „Nejsou“, pak to znamená, že je nikomu nepředáváme.
Zdroj údajů – zde uvádíme, od koho jsme osobní údaje získali. Pokud je uvedeno „Subjekt údajů“, pak to znamená, že jsme je získali přímo od osoby, které se týkají.
Nemáme v úmyslu vaše osobní údaje předávat mimo EU nebo nějaké mezinárodní organizaci.
V případech, kdy je zpracování založeno na právním titulu „Uzavření nebo plnění smlouvy“, potřebujeme vaše osobní údaje pro uzavření smlouvy a její následné plnění, bez nich není možné smlouvu uzavřít.
V případech, kdy je zpracování založeno na právním titulu „Právní povinnost“, potřebujeme vaše osobní údaje zpracovávat na základě zákonných požadavků do dobu stanovenou daným zákonem a po tuto dobu toto zpracování nesmíme omezit ani vymazat.
Vaše osobní údaje budeme zpracovávat pouze za účely uvedenými v tabulce.
4. Popis práv subjektů údajů
Jako subjekt údajů (fyzická osoba, o níž jsou údaje zpracovávány) máte k vašim osobním údajům tato práva:
| Právo | Upřesnění |
| Požadovat výpis | Jedná se o výpis údajů, které o vás vedeme, tzv. právo na přístup.
Výpis provedeme ve formátu podle našich možností. Nemáte právo požadovat výpis ve vámi stanoveném formátu. Výjimkou kdy nesmíme výpis provést, jsou případy, týkající se dokumentů, jejichž zveřejněním by byla ohrožena práva a svobody jiných osob. Jedná se o osobní údaje dalších osob, ochranu obchodního tajemství, duševního vlastnictví apod. |
| Požadovat opravu
| Pokud zjistíte, že o vás vedeme nepřesné, zastaralé nebo neúplné údaje, požádejte o jejich opravu nebo doplnění. |
| Požadovat výmaz
| Výmaz musíme provést v případech, kdy bychom měli uložené osobní údaje po stanovené době uložení nebo neměli platný právní titul.
Výmaz nesmíme ze zákona provést v případech, kdy je zpracování prováděno z titulu Plnění smlouvy nebo Právní povinnosti. |
| Požadovat omezení zpracování | Toto se týká zpracování z titulu oprávněného zájmu.
K omezení zpracování dojde v případě podání námitky a omezení bude trvat po dobu posuzování námitky. |
| Podat námitku proti zpracování | Podat námitku lze v případech, kdy je zpracování prováděno z titulu oprávněného zájmu.
Námitka proti zasílání obchodních sdělení bude vždy uznána. V případech uvádění vašeho jména nebo jiného kontaktního údaje v zájmu poskytování služeb je možnost zneužití téměř vyloučena a pro tyto činnosti je to nezbytné. Proto tento náš oprávněný zájem považujeme za převažující a námitky neuznáváme. |
| Odvolat souhlas se zpracováním | To je možné v případech, kdy je zpracování prováděno na základě souhlasu. Pokud jste ke zpracování poskytli souhlas a odvoláte ho, bude zpracování ukončeno. |
| Požadovat výpis v přenositelném formátu
| Výpis v přenositelném formátu můžete požadovat pouze v případech zpracování založených na právních titulech – plnění smlouvy a souhlasu.
Můžete požadovat vypsání pouze těch údajů, které jste nám předali a které vedeme v elektronické podobě a nemáte právo požadovat formát. Předáme vám je ve formátu XLS. |
| Podat námitku proti automatizovanému rozhodování | Neprovádíme žádná zpracování založená na automatizovaném rozhodování. |
| Podat stížnost na dozorový úřad
| V případě, že bychom vám na vaši žádost do 1 měsíce neodpověděli, můžete podat stížnost na Úřad na ochranu osobních údajů. |
5. Způsob výkonu práv
Pokud budete chtít uplatnit některé z těchto práv, můžete si podat žádost tímto způsobem:
Na recepci firmy bude ověřena vaše totožnost podle občanského průkazu nebo pasu a bude s vámi sepsána žádost a sdělen termín vyřízení. Bez ověření totožnosti není možné žádost přijmout.
K datu vyřízení vám zde bude po opětovném ověření totožnosti předáno písemné Vyrozumění o výsledku žádosti a související materiály.
Za požadavek na více než jednu kopii jsme oprávněni účtovat poplatek odpovídající administrativním nákladům.
Úkony spojené s výkonem práv subjektů údajů jsou činěny bezplatně.
Jsou-li však žádosti shledány jako zjevně nedůvodné nebo nepřiměřené, zejména proto, že se opakují, pak můžeme:
- Uložit přiměřený poplatek zohledňující administrativní náklady
- Odmítnout žádosti vyhovět
Chcete-li podat žádost elektronicky:
- Zašlete ji e-mailem na adresu feschu@feschu.cz s platným elektronickým podpisem, bez tohoto potvrzení totožnosti nemůže být uznána
- Nebo zašlete z vaší datové schránky do datové schránky r7q56fm
Uveďte do ní:
- Identifikační údaje – jméno, příjmení, datum narození
- O výkon jakého práva žádáte – viz kapitola Popis práv subjektů údajů
- Upřesnění žádosti – např. v případě opravy správné údaje
- Telefon – pro případná upřesnění a domluvu na dalším postupu
V případě, že vzniknou pochyby o vaší totožnosti, jsme oprávněni vás požádat o poskytnutí dodatečných informací pro potvrzení totožnosti.
Práva subjektů údajů v oblasti transparentnosti a způsob jejich splnění v textu:
| Práva subjektů údajů | Způsob plnění |
| Čl. 13.1. a) získat údaje o totožnosti a kontaktní údaje správce | Uvedeno v bodě 1 |
| Čl. 13.1. b) získat kontaktní údaje případného pověřence pro ochranu osobních údajů | Uvedeno v bodě 1 |
| Čl. 13.1 c) získat informace o účelech a právních základech zpracování | V tabulce 2 |
| d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f); | V tabulce 2 – upřesnění právního titulu |
| e) případné příjemce nebo kategorie příjemců osobních údajů; | V tabulce 2 – Další příjemce |
| f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny. | Uvedeno v bodě 3 Vysvětlení k tabulce a zpracováním
|
| 2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby; | V tabulce 2 – Doba uložení |
| b) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů; | Uvedeno v bodě 4 Popis práv subjektu údajů |
| c) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
| Uvedeno v bodě 4 Popis práv subjektu údajů |
| d) existence práva podat stížnost u dozorového úřadu;
| Uvedeno v bodě 4 Popis práv subjektu údajů |
| e) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
| Uvedeno v bodě 3 Vysvětlení k tabulce a zpracováním |
| f) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
| Uvedeno v bodě 4 Popis práv subjektu údajů |
| 3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
| Uvedeno v bodě 3 Vysvětlení k tabulce a zpracováním |
| Článek 15 Právo subjektu údajů na přístup k osobním údajům
1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím: a) účely zpracování; b) kategorie dotčených osobních údajů; | V tabulce 2 |
| c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; | V tabulce 2 |
| d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby; | V tabulce 2 |
| e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování; | Uvedeno v bodě 4 Popis práv subjektu údajů |
| f) právo podat stížnost u dozorového úřadu; | Uvedeno v bodě 4 Popis práv subjektu údajů |
| g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
| Uvedeno v bodě 3 Vysvětlení k tabulce a zpracováním |
| h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
| Uvedeno v bodě 4 Popis práv subjektu údajů |
| 2. Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46, které se vztahují na předání.
| Uvedeno v bodě 3 Vysvětlení k tabulce a zpracováním |
| 3. Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.
| Uvedeno v bodě 5 Způsob výkonu práv
|
| 4. Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.
| Výjimkou, kdy není možné vypsat veškeré údaje, jsou případy, kdyby tyto materiály obsahovali informace o jiných osobách a tím by byla dotčena jejich práva a svobody. |
Text článků, které se týkají výše uvedeného textu.
Oddíl 1 Transparentnost a postupy
Článek 12 Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů
1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 a učinil veškerá sdělení podle článků 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti.
Informace poskytne písemně nebo jinými prostředky, včetně ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
2. Správce usnadňuje výkon práv subjektu údajů podle článků 15 až 22. V případech uvedených v čl. 11 odst. 2 správce neodmítne vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle článků 15 až 22, ledaže doloží, že nemůže zjistit totožnost subjektu údajů.
3. Správce poskytne subjektu údajů na žádost podle článků 15 až 22 informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.
4. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.
5. Informace podle článků 13 a 14 a veškerá sdělení a veškeré úkony podle článků 15 až 22 a 34 se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď: a) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo b) odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.
6. Aniž je dotčen článek 11, pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle článků 15 až 21, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.
7. Informace, které mají být subjektům údajů poskytnuty podle článků 13 a 14, mohou být doplněny standardizovanými ikonami s cílem poskytnout snadno viditelným, srozumitelným a jasným způsobem přehled o zamýšleném zpracování. Pokud jsou ikony prezentovány v elektronické formě, musí být strojově čitelné.
8. Komisi je svěřena pravomoc přijímat akty v přenesené pravomoci v souladu s článkem 92 za účelem určení informací, které mají být sděleny pomocí ikon, a postupů pro poskytování standardizovaných ikon.
Oddíl 2 Informace a přístup k osobním údajům
Článek 13 Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů
1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:
a) totožnost a kontaktní údaje správce a jeho případného zástupce;
b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; 4.5.2016 L 119/40 Úřední věstník Evropské unie CS
d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
e) případné příjemce nebo kategorie příjemců osobních údajů;
f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
c) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
d) existence práva podat stížnost u dozorového úřadu;
e) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
f) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2. 4.Odstavce 1, 2 a 3 se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.
Článek 14 Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů
Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:
a) Totožnost a kontaktní údaje správce a případně jeho zástupce;
b) Případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c) Účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d) Kategorie dotčených osobních údajů;
e) Případné příjemce nebo kategorie příjemců osobních údajů; 4.5.2016 L 119/41 Úřední věstník Evropské unie CS
f) Případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém pododstavci, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
2. Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:
a) Doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b) Oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
c) Existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
d) Pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a), existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
e) Existence práva podat stížnost u dozorového úřadu;
f) Zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;
g) Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Správce poskytne informace uvedené v odstavcích 1 a 2:
a) V přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;
b) Nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo
c) Nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
4. Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2. 5.Odstavce 1 a 4 se nepoužijí, pokud a do té míry, v níž:
a) Subjekt údajů již uvedené informace má;
b) Se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1, nebo pokud je pravděpodobné, že uplatnění povinnosti uvedené v odstavci 1 tohoto článku by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;
c) Je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo
d) Osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.
Článek 15 Právo subjektu údajů na přístup k osobním údajům
1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
a) Účely zpracování;
b) Kategorie dotčených osobních údajů;
c) Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
d) Plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
e) Existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;
f) Právo podat stížnost u dozorového úřadu;
g) Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
h) Skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
2. Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách podle článku 46, které se vztahují na předání.
3. Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.
4. Právem získat kopii uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.
Oddíl 3 Oprava a výmaz
Článek 16 Právo na opravu
Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
Článek 17
Právo na výmaz („právo být zapomenut“)
- Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů: a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; 4.5.2016 L 119/43 Úřední věstník Evropské unie CS b) subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování; c) subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje; f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.
2. Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
3. Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:
a) pro výkon práva na svobodu projevu a informace;
b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
c) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3;
d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
e) pro určení, výkon nebo obhajobu právních nároků.
Článek 18 Právo na omezení zpracování
- Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
d) subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu. 4.5.2016 L 119/44 Úřední věstník Evropské unie CS
3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.
Článek 19 Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.
Článek 20 Právo na přenositelnost údajů
- Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že: a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a b) zpracování se provádí automatizovaně.
2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.
3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek 17. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.
Oddíl 4 Právo vznést námitku a automatizované individuální rozhodování
Článek 21 Právo vznést námitku
- Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
3. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány. 4.5.2016 L 119/45 Úřední věstník Evropské unie CS
4. Subjekt údajů je na právo uvedené v odstavcích 1 a 2 výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.
5. V souvislosti s využíváním služeb informační společnosti, a aniž je dotčena směrnice 2002/58/ES, může subjekt údajů uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.
6. Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.
Článek 22 Automatizované individuální rozhodování, včetně profilování
- Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
2. Odstavec 1 se nepoužije, pokud je rozhodnutí:
a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;
b) povoleno právem Unie nebo členského státu, které se na správce vztahuje a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo
c) založeno na výslovném souhlasu subjektu údajů.
3. V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.
4. Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. 9 odst. 1, pokud se neuplatní čl. 9 odst. 2 písm. a) nebo g) a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.
Článek 34 Oznamování případů porušení zabezpečení osobních údajů subjektu údajů
1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
2. V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 33 odst. 3 písm. b), c) a d).
3. Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:
a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;
c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
4. Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.
