A) Introduction
We, SYNER, s.r.o, Company ID 48292516, with our registered office at Dr. Milady Horákové 580/7, 460 01 Liberec, entered in the Commercial Register kept by the Regional Court in Ústí nad Labem, Section C, File 5153 (hereinafter also referred to as the “Administrator” or as the “Company”), issue this personal data protection statement, which we have prepared in accordance with applicable legislation, including Regulation (EU) 2016/679 of the European Parliament and of the Council on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (hereinafter referred to as the “Regulation”). Through this statement, we want to inform our business partners, employees and the general public about the methods of handling personal data in our company.
B) Concepts
- Personal data – is any information relating to an identified or identifiable natural person (data subject); an identifiable person means a person who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his or her physical, physiological, mental, economic, cultural or social identity.
- Sensitive data – Special categories of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, trade union membership, health or sex life or sexual orientation of a natural person. Genetic and biometric data processed for the purpose of uniquely identifying a natural person are also considered to be special categories of data.
- Data subject – is any natural person whose personal data the Company processes, including personal data of employees.
- Data controller – is the entity that determines the purposes and means of processing personal data and is responsible for the processing. In this case, the data controller is the Company.
- Data processor – is any natural or legal person, public authority, agency or any other entity processing personal data on behalf of the data controller (processing of data through a subcontractor – e.g. a company that processes payroll on behalf of the data controller).
- Employee responsible for personal data protection – a person designated by the data controller who monitors compliance of the processing of personal data with the Regulation and other applicable legal regulations, provides information and advice to the data controller (including employees involved in the processing of personal data) or data processors. The company is not obliged to appoint a data protection officer within the meaning of Article 37 of the Regulation and has not appointed an officer within the meaning of Article 37 of the Regulation.
- Processing of personal data – is any operation or set of operations which is performed on personal data, such as collection, recording, organisation, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. This includes manual processing of personal data in structured files.
- Automated individual decisions – are decisions which produce legal consequences for the data subject or significantly affect him or her and which are based solely on automated processing of data, the purpose of which is to evaluate certain personal aspects of the data subject, such as his or her performance at work, creditworthiness, reliability, behaviour, etc.
- Recipient – is any natural or legal person, public authority, agency or any other entity to which the data are disclosed, whether or not it is a third party. However, public authorities that may receive the data in the context of an individual request are not considered recipients.
- Third party (person) – is a person or entity other than the data controller. Third parties do not include data subjects or persons or entities that are obliged to collect, process or use personal data in the Czech Republic, another Member State of the European Union or another state that has concluded the Agreement on the European Economic Area.
C) Sources of personal data
The administrator obtains personal data as part of its activities:
- directly from the data subject during negotiations on concluding a transaction or providing a service and during their subsequent implementation,
- from publicly accessible registers, lists and records (commercial register, trade register, real estate cadastre, public telephone directory, etc.) and from other public ones,
- from other entities, if so provided by a special regulation,
- within the framework of the consent granted by the data subject (processing of photographs, use of personal data for the purpose of personnel procedures, etc.),
- or from other entities, if the data subject has given his/her consent.
D) Scope of personal data
The administrator processes personal data of data subjects to the following extent:
- identification data of the data subject, in particular name, surname, title, birth number, date and place of birth, gender, marital status, nationality, permanent residence address, contact addresses and telephone numbers, in the case of a natural person doing business, also their business name, distinguishing addition or other designation, place of business and identification number, portrait, signature,
- contact data of the data subject, in particular email address, telephone number,
- other descriptive data (bank details, education, etc.),
- personal data of persons related to the data subject (identification and contact details of family members such as husband, wife, partner, spouse, descendants),
- information from external sources, in particular from publicly available registers (e.g. commercial register, trade register, real estate cadastre, insolvency register, public telephone directory, etc.).
- sensitive data only to the extent strictly necessary.
E) Purpose of personal data processing and duration of personal data processing
- Realizace smluvního vztahu
- Zpracování osobních údajů nezbytné pro řádné plnění práv a povinností vyplývajících pro Správce ze smluvního vztahu se subjektem údajů (např. příprava uzavření smluvního vztahu, vykonávání obchodů, kontrola plnění smluv apod.).
- Správce zpracovává osobní údaje pro tento účel po dobu trvání smluvního vztahu.
- Oprávněný zájem Správce
- Zpracování osobních údajů je pro tento účel nezbytné (např. ochrana prostor Správce, interní reporting, řešení sporů se subjektem údajů a ochrana a domáhání se práv Správce, správa a vymáhání pohledávek).
- Správce zpracovává osobní údaje pro tento účel po dobu trvání smluvního vztahu a do uplynutí promlčecích lhůt plynoucích z plnění práv a povinností na základě daného smluvního vztahu, resp. po dobu nezbytnou v případě, že není spojeno se smluvním vztahem mezi Správcem a subjektem údajů.
- Splnění povinností stanovených právními předpisy
- Zpracování osobních údajů je pro tento účel nezbytné z toho důvodu, že jejich zpracování ukládá zákon nebo jiný obecně závazný právní předpis (např. plnění oznamovací povinnosti vůči orgánům veřejné moci, plnění povinností týkajících se výkonu rozhodnutí, plnění archivačních povinností, plnění povinností vyplývající z předpisů upravujících pojistné, daně a účetnictví, povinnosti vyplývající z předpisů upravujících zaměstnanost apod.).
- Správce zpracovává osobní údaje pro tento účel v rozsahu stanoveném příslušným právním předpisem.
- Zpracovávání na základě uděleného souhlasu
- Správce zpracovává dále osobní údaje v rozsahu a způsobem, k němuž mu subjekt údajů udělil svůj souhlas.
- Správce zpracovává osobní údaje pro tento účel po dobu trvání souhlasu.
F) Způsob zpracování osobních údajů
Správce zpracovává osobní údaje subjektu údajů automatizovanými prostředky a manuálně za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal Správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, která mají zabránit neoprávněného nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektu údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.
G) Informování o poskytování osobních údajů třetích osobám – příjemci osobních údajů
- Správce předává osobní údaje subjektů orgánům státního dohledu, a dalším osobám, kterým je povinen zpřístupnit osobní údaje na základě právních předpisů – jedná se zejména o orgány státní správy, soudy, orgány činné v trestním řízení, exekutory, notáře, insolvenční správce apod.
- Správce zpracovává osobní údaje prostřednictvím vlastních zaměstnanců jako správce osobních údajů nebo prostřednictvím svých zpracovatelů, na základě uzavřené smlouvy v souladu s Nařízením, za současného zajištění technických, organizačních a personálních opatření zajišťujících vysokou úroveň ochrany a zabezpečení osobních údajů Subjektů.
H) Práva Subjektů údajů
- Právo přístupu k osobním údajům
Subjekt je oprávněn požádat Správce o přístup ke svým osobním údajům, zejména o informaci o zpracování svých osobních údajů obsahující vždy alespoň sdělení o účelu zpracování osobních údajů, rozsahu a obsahu osobních údajů (např. seznamem), případně kategoriích osobních údajů, které jsou předmětem zpracování, včetně veškerých dostupných informací o jejich zdroji, povaze automatizovaného zpracování v souvislosti s jeho využitím pro rozhodování, jestliže jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů subjektu údajů a příjemci, případně kategoriích příjemců osobních údajů.
- Právo na opravu osobních údajů
Subjekt údajů je oprávněn vznést námitku proti nesprávnému zpracování osobních údajů a je oprávněn požádat o opravu nebo doplnění těchto osobních údajů. Správce je v takovém případě povinen bez zbytečného odkladu informovat příjemce o žádosti subjektu údajů.
- Právo na omezení zpracování
- Právo na omezení zpracování má Subjekt údajů tehdy, jestliže:
- popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby bylo možné přesnost osobních údajů ověřit,
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
- jestliže Správce nepotřebuje osobní údaje subjektu údajů pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
- jestliže subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody Správce pro zpracování převažují nad zájmy, právy a svobodami subjektu údajů.
- Omezení zpracování znamená, že osobní údaje subjektu údajů, u nichž bylo zpracování omezeno, jsou označeny a po dobu trvání omezení mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu. Subjekt údajů, který dosáhl omezení zpracování, bude Správcem předem upozorněn na to, že bude omezení zpracování zrušeno.
- Právo na výmaz osobních údajů
Právo na výmaz osobních údajů se vztahuje jen na osobní údaje, pro jejichž zpracování byl dán souhlas subjektu údajů a neexistuje jiný právní základ zpracování osobních údajů.
- Právo na přenositelnost osobních údajů
Subjekt údajů může požádat, aby Správce osobní údaje subjektu údajů poskytl za účelem jejich předání jinému správci osobních údajů. Toto právo však náleží pouze ohledně těch údajů, které zpracovává Správce automatizovaně na základě souhlasu subjektu údajů nebo smlouvy se subjektem údajů.
- Právo vznést námitku
- Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoliv námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
- Subjekt údajů má dále z důvodů týkajících se jeho konkrétní situace právo kdykoliv vznést námitku proti zpracování osobních údajů, které se ho týkají, pokud ke zpracování dochází z důvodu splnění úkolu prováděného ve veřejném zájmu nebo z důvodu oprávněných zájmů Správce či třetí strany.
- Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
- Právo podat stížnost u dozorového úřadu
V případě, že se subjekt údajů domnívá, že zpracováním osobních údajů dochází k porušení právních předpisů o ochraně osobních údajů, má právo podat stížnost u dozorového úřadu. V České republice je dozorovým úřadem Úřad na ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uooz.cz
- Dotazy
V případě dotazů, směřujících k ochraně osobních údajů, můžete kontaktovat našeho zaměstnance odpovědného za ochranu osobních údajů, a to na adrese: gdpr@syner.cz
Odvolání souhlasu se zpracováním údajů (PDF soubor ke stažení)