Zpracování osobních údajů

 

Výňatek týkající se zpracování dat klientů

Čl. 1

Základní ustanovení

Řád zpracování osobních údajů popisuje způsob získání osobních údajů, jejich zdroje, činnosti s osobními údaji prováděné, jejich rozsah, zabezpečení a způsob uložení, archivace a další úkony s osobními údaji činěné.

Řád vychází ze skutečnosti, že veškeré osobní údaje, jež společnost zpracovává, pochází z Evropské unie, jsou zpracovány a ukládány pouze na území Evropské unie a jsou předávány pouze v rámci Evropské unie.

Veškeré osobní údaje zpracovávané společností jsou zpracovány a případně předávány pouze ze zákona nebo za účelem plnění smlouvy.

Společnost je dle směrnice GDPR správcem a zpracovatelem osobních údajů, její identifikace je následovná:

Lázeňská cestovní s.r.o.

Holičky 48, 379 01 Třeboň

IČ 28136705

Zapsaná v OR KS České Budějovice, odd. C, vložka 19451

Jednající jednatelem Ing. et Bc. Zdeňkem Chaloupkou

Pověřená osoba:

Ing. et Bc. Zdeněk Chaloupka

Čl. 2.

Postavení a působnost společnosti

Tento řád popisuje výše uvedené činnosti s ohledem na GDPR. GDPR je označení pro nařízení Evropského parlamentu a Rady č. 2016/679, obecné nařízení o ochraně osobních údajů. Zmíněná zkratka vychází z anglického názvu nařízení – General Data Protection Regulation. Protože se jedná o nařízení, představuje na rozdíl od směrnice Evropské unie přímo účinný právní předpis, tj. k jeho účinnosti jej není třeba implementovat českou právní úpravou. Před nařízením byla účinná národní právní úprava, kterou v České republice představuje zákon č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů. Protože byl tento zákon přijat dříve než nařízení, může dojít k situaci, kdy bude tento zákon v rozporu s nařízením, v takovém případě má nařízení aplikační přednost. Předpokládá se budoucí novelizace nebo nahrazení zmíněného zákona, tak, aby byla česká právní úprava v souladu s nařízením GDPR a aby jej neduplikovala. Nařízení zpřesňuje ochranu osobních údajů a posiluje právo fyzické osoby na kontrolu zpracování osobních údajů.  GDPR se týká všech osobních údajů. Takové údaje mohou být zachycené v listinné podobě, ale i v elektronické podobě, zejména v různých informačních systémech. Co vše jsou osobní údaje zpracovávané společností dle GDPR znázorňuje tabulka č. 1, jež je přílohou řádu.

Čl. 3

Zásady zpracování údajů

Zpracování osobních údajů podle obecného nařízení se řídí zásadami, jež jsou uvedeny v příloze č. 2 tohoto řádu a z předpisu GDPR přímo vycházejí.  Kromě skutečnosti, že je třeba úpravu GDPR a jednotlivá práva a povinnosti vnímat ve světle těchto zásad, platí, že samotné zásady představují významné základní povinnosti, které musí každý správce osobních údajů nejen dodržovat, ale rovněž musí být schopen jejich dodržování doložit. K prokazování slouží tento řád a další dokumentace vytvořená společností v souladu s nařízením.

Čl. 4

Zákonné důvody

Společnost zpracovává osobní údaje výhradně ze zákonných důvodů, jež jsou specifikovány v příloze č. 3 tohoto řádu. V případě zpracování osobních údajů klienta se zákonnými důvody myslí zejména splnění smluvních a předsmluvních závazků, v případě zpracování osobních údajů zaměstnanců pak především splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci.

Čl. 8

Definice zpracování

GDPR se týká všech firem a institucí, ale i jednotlivců a online služeb, které zpracovávají data, respektive osobní údaje. Definice zpracování je velice široká a zahrnuje jakékoliv operace s osobními údaji. Příklady zpracování osobních údajů jsou uvedeny v příloze č. 8.

 

Osobní údaje klientů

Čl. 13

Osobní údaje klientů

Osobní údaje klienta jsou získávány pouze v případě, kdy klient vstoupí do kontaktu se společností za účelem vytvoření objednávky (smlouvy) prostřednictví těchto způsobů komunikace:

 

1. Vyplněním objednávkového formuláře

V případě vyplnění objednávkového formuláře klient zadává osobní údaje v rozsahu potřebném k uzavření smlouvy, data jsou uložena na zabezpečených serverech v kopii emailové pošty a v aplikaci pro správu klientských dat. Přístup do emailu i aplikace probíhá šifrovaně přes protokol https.

2. Vyplněním kontaktního formuláře

V případě vyplnění kontaktního formuláře klient zadává osobní údaje v rozsahu potřebném k zahájení kroků k uzavření smlouvy, data jsou uložena na zabezpečených serverech v kopii emailové pošty a v aplikaci pro správu klientských dat. Přístup do emailu i aplikace probíhá šifrovaně přes protokol https.  V případě postupu pro dokončení objednávky jsou nadále výše a níže uvedenými způsoby doplněny osobní údaje, které odpovídají objednávkovému formuláři.

3. Zasláním emailu

V ojedinělých případech zaslání osobních údajů emailem klient zadává osobní údaje v rozsahu dle vlastního uvážení, data jsou uložena na zabezpečených serverech v kopii emailové pošty. Přístup do emailu probíhá šifrovaně přes protokol https.  V případě postupu pro dokončení objednávky je klient požádán o standardizované vyplnění objednávkového formuláře a dále postupováno do odst.1.

4. Telefonicky

Kontaktuje-li klient společnost telefonicky, je obdobně jako v případě emailového předání osobních údajů odkázán na vyplnění objednávkového formuláře dále je postupováno do odst.1.

Čl. 14

Lhůty uchování osobních údajů klientů

Minimální lhůta pro uložení osobních údajů klienta činí 48 měsíců od data konce poslední objednávky. Výše uvedená lhůta vychází z 36 měsíční lhůty promlčení a 12 měsíční lhůty nárokování škody u pojišťovny. Obvyklá lhůta archivace klientských dat ve společnosti činí 10 let, po něž mohou klienti nárokovat slevu na druhou a další objednávky.

 

Čl. 17

Zabezpečení tištěných údajů

Společnost neuchovává osobní údaje klientů v tištěné podobě za žádným účelem, veškeré tištěné dokumenty s osobními údaji klientů (objednávky atp.) mohou příslušní pracovníci pořizovat pouze pro pomocné účely při zajišťování smlouvy. V takovém případě jsou povinni zabezpečit tištěné osobní údaje tak, aby k nim neměla přístup žádná neoprávněná osoba a po použití je neprodleně skartovat ve skartovačce. Jediným průběžně tištěným a ukládaným dokumentem obsahujícím osobní údaje klientů jsou faktury. Povinnost tisknout a ukládat faktury je daná zákonem, dokumenty jsou uloženy v kanceláři jednatele, který je uzamykána a zabezpečena elektronickým zabezpečovacím zařízením.

 

Čl. 18

Zabezpečení údajů uchovávaných v elektronické podobě.

Společnost uchovává osobní údaje klientů vyjma výše uvedeného pouze v elektronické podobě, tento způsob zpracování osobní údajů je primární a naprosto převažující; používá se dvěma způsoby:

 

1. Zpracování údajů v aplikaci

Aplikace je určena výhradně pro zpracování osobních údajů klientů a jejich objednávek a pro administraci plnění smluvním povinností společnosti vůči klientům. Aplikace je hostována na vzdáleném serveru u profesionálního poskytovatele hostingových služeb. Server je poskytovatelem hostingu zabezpečen jak po stránce fyzické, tak po stránce SW a chráněn oproti napadení  z vnějšku, tak i antivirově. Přístup do aplikace je povolen pouze registrovaným uživatelům přes zabezpečený a šifrovaný protokol https na základě uživatelského jména a hesla, přičemž heslo musí být měněno nejpozději po 90 dnech a má nastaveny parametry (délka + skladba znaků). Přístup v aplikaci je nastaven tak, že každý oprávněný uživatel (pracovník) vidí pouze osobní údaje klientů, které zpracovává. K údajům ostatních klientů musí využít cílené vyhledávání. O všech aktivitách pracovníků je veden v systému záznam (log).

2. Zpracování údajů na webech

Webové prostředí není určeno pro zpracování osobních údajů klinetů, nicméně na servery poskytovatele hostingu webových stránek jsou ukládány kopie objednávkových a kontaktních formulářů klientů v programovacícm prostředí Joomla. Weby je hostovány na vzdáleném serveru u profesionálního poskytovatele hostingových služeb. Server je poskytovatelem hostingu zabezpečen jak po stránce fyzické, tak po stránce SW a chráněn oproti napadení  z vnějšku, tak i antivirově. Přístup do aplikace je povolen pouze registrovaným uživatelům (technický správce webu) přes zabezpečený a šifrovaný protokol https na základě uživatelského jména a hesla, přičemž heslo musí být měněno nejpozději po 90 dnech a má nastaveny parametry (délka + skladba znaků).

 

3. Zpracování údajů v emailu

Při reálném plnění smluv dochází ke zpracování osobních údajů klientů v nezanedbatelném rozsahu také v elektronické poště.

Zpracování osobních údajů klientů v elektronické poště je dvojího charakteru.

• Bezpečnostní archiv komunikace mezi aplikací a smluvními stranami: na zabezpečený email, na který má přístup pouze jednatel společnosti, je odesílána kopie veškeré komunikace vedené z aplikace jak ke klientům, tak k poskytovatelům služeb z titulu plnění smlouvy.
• Komunikace mezi pracovníkem a smluvními stranami v pracovním emailu pracovníka: na email pracovníka, který zajišťuje klientovi plnění smlouvy, je odesílána kopie vybrané komunikace vedené z aplikace jak ke klientům, tak k poskytovatelům služeb z titulu plnění smlouvy. Rozsah komunikace není větší než je uvedeno

Všechny emailové schránky ve kterých probíhá zpracování osobních údajů klienta, jsou výhradně pracovními emaily a nejsou používány pro osobní účely pracovníků. Do emailů má přístup pouze oprávněný pracovník na základě uživatelského jména a hesla, přičemž heslo musí být měněno nejpozději po 90 dnech a má nastaveny parametry (délka + skladba znaků). Kopie hesla je uložena u jednatele společnosti.

4. Fyzické zabezpečení elektronických dat

Pracovníci společnosti jsou povinni vynaložit veškerou péči potřebnou k tomu, aby nedošlo ke zneužití osobních údajů klientů zpracovávaných společností. Veškeré údaje v elektronické podobě jsou zálohovány na serverech poskytovatele hostingu a zaměstnanci nejsou oprávněni pořizovat datové zálohy ani tam kde je to technicky možné (není možné v případě aplikace). Technické nosiče elektronických osobních údajů (počítače, notebooky a případně jiná obdobná zařízení) jsou zaměstnanci povinni v případě odchodu vypínat, v případě přenositelnosti používat pouze v kanceláři společnosti, jejím sídle nebo jiném místě určeném pro výkon práce (doma atp.). Pracovníci společnosti jsou povinni si podle pokynů měnit pravidelně (nejpozději po 90 dnech) hesla do aplikace i emailu, nesmí odkládat nosiče dat na veřejných místech, kde hrozí jejich ztráta a k připojení ke svým účtům (v aplikaci či v emailu) používat nezabezpečené a otevřené připojení (typicky wifi veřejné sítě). Pracovníci nejsou oprávněni pořizovat z aplikace hromadné výpisy a podobné sestavy.

5. Antivirová ochrana

Společnost používá na všech svých zařízeních pouze legálně pořízený SW, k němuž má vedenu licenci. Veškeré nosiče dat jsou opatřeny zabezpečením uživatelským jménem a heslem a vybaveny antivirovým SW.

 

Čl. 21

Oprávněný zájem společnosti

Společnost využívá osobní údaje pouze ze zákonných důvodů (viz příloha č. 3), kterým se myslí zejména plnění smlouvy. Dále může společnost využívat osobních dat klientů z titulu oprávněného zájmu, kterým se myslí především zasílání obchodních nabídek společnosti. V případě, že klient nemá o zasílání nabídek zájem, společnost mu musí umožnit vyjádřit nesouhlas.

 

tabulka č. 1

Seznam osobních údajů podle GDPR zpracovaných pro uzavření smlouvy

•	Jméno a příjmení
•	Trvalé bydliště a datum narození
•	Kontaktní údaje (telefon, e-mail)

 

příloha č. 2

Zásady zpracování osobních údajů podle GDPR

•	zpracování osobních údajů korektně a zákonným a transparentním způsobem
•	shromažďování osobních údajů pro určité, výslovně vyjádřené a legitimní účely
•	přiměřenost a minimalizace zpracovávaných osobních údajů na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány
•	uchovávané osobní údaje musejí být přesné a v případě potřeby musejí být aktualizovány
•	osobní údaje by měly být uloženy ve formě umožňující identifikaci subjektu údajů jen po dobu nezbytnou pro dané účely, pro které jsou zpracovávány
•	nutnost zabezpečení osobních údajů, včetně jejich ochrany před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením

 

příloha č. 3

Zákonné důvody zpracování osobních údajů podle GDPR

•	souhlas se zpracováním osobních údajů
•	splnění smluvních či předsmluvních závazků
•	splnění právní povinnosti správce
•	ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
•	splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci
•	nezbytnost pro účely oprávněných zájmů správce či třetí strany