STAVSI, s.r.o., a ochrana osobních údajů (GDPR)

A.Interní prováděcí předpis GDPR č.1/2018

Ve smyslu čl. 30 nařízení EU č 2016/679

Správce osobních údajů:

STAVSI, s.r.o.

Boudova 590, 155 31 Praha 5-Lipence

IČO: 60198664

Příjemce a zpracovatel osobních údajů:

Hynek Siedek

jednatel STAVSI, s.r.o.

mobil: 602 234 107

e-mail: info@stavsi.cz

Zpracování účetní agendy z pověření správce:

Ing. Iva Siedková

IČO 44288867

Datum aktualizace:

25.05.2018

Odpovědná osoba:

Hynek Siedek

jednatel STAVSI, s.r.o.

mobil: 602 234 107

e-mail: info@stavsi.cz

Způsob přijímání osobních údajů:

  1. E-mailem od subjektu údajů,

  2. Telefonicky od subjektu údajů,

  3. Písemně od subjektu údajů,

  4. Podklady pro zpracování účetnictví průběžně osobně.

B. Metodika zpracovávání osobních údajů ve společnosti STAVSI, s.r.o.

Metodika řešení problematiky ochrany osobních údajů klientů (odběratelů stavebního materiálu a s tím spojených služeb) a pracovníků subdodavatelských firem (pracovníci určení pro spolupráci při řešení dodávek materiálu a služeb pro klienty STAVSI, s.r.o.) ve společnosti STAVSI, s.r.o., vychází z metodiky zveřejněné na webu MV ČR.

Rozsah ochrany osobních údajů ve společnosti STAVSI, s.r.o., odpovídá přiměřeně požadavkům zejména následujících předpisů:

  1. Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“);

  2. Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů;

  3. Zákona č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů, ve znění pozdějších předpisů.

Rozsah ochrany osobních údajů podle požadavků GDPR, nabývá účinnost 25. 05. 2018.

GDPR stanovuje sedm základních zásad pro práci s osobními údaji identifikovaných nebo identifikovatelných žijících osob:

  1. zásada zákonnosti, korektnosti a transparentnosti,

  2. zásada účelového omezení,

  3. zásada minimalizace údajů,

  4. zásada přesnosti,

  5. zásada omezení uložení,

  6. zásada integrity a důvěrnosti,

  7. zásada odpovědnosti.

Ve společnosti STAVSI, s.r.o., přistupujeme k výše uvedeným zásadám následovně:

Add a) zásada zákonnosti, korektnosti a transparentnosti

Od klientů – fyzických osob – a od pracovníků subdodavatelských firem zpracováváme pouze ty osobní údaje, které od nich získáme z jejich vlastní vůle nebo na základě jejich pracovní náplně. Tyto osobní údaje zpracováváme centralizovaně pouze v prostorách naší společnosti v jejím sídle. Osobní údaje jsou fyzicky a elektronicky chráněny proti zneužití neoprávněnými osobami. Z webu společnosti www.stavsi.cz žádné osobní údaje naše společnost nezpracovává a nevyužívá žádná cookies. Na našem webu jsou uvedeny pouze takové osobní údaje a fotografie, které jsme získaly přímo od dotčených osob.

Osobní údaje dětí mladších 16let nezpracováváme.

Add b) zásada účelového omezení

Osobní údaje klientů zpracováváme za účelem uzavření obchodního případu – smluvního vztahu – na nákup a dodání stavebního materiálu STAVSI a na dodání služeb s tím souvisejících.

Jedná se zejména o zpracovávání údajů:

  • při plnění zákonných povinností (zákon o účetnictví, zákon o dani z přidané hodnoty, zákon o dani z příjmů právnických osob, apod.),

  • za účelem uzavření a plnění obchodního případu, tedy i v období, kdy je obchodní případ otevřený, ale vždy z iniciativy klienta,

  • v rámci oprávněného zájmu společnosti STAVSI, s.r.o., dodávat klientům kvalitní služby a stavební materiál.

Jedná se zejména o tyto základní dílčí účely – činnosti:

  • poskytování stavebního materiálu STAVSI a s ním spojených služeb – informace zejména o výhodách u konkrétní stavby klienta, kladečský plán, půdorys a pohledy na stavbu klienta, cenová nabídka apod. (uzavření a plnění obchodního případu)

  • vyúčtování a fakturace za materiál a služby (uzavření a plnění obchodního případu)

  • plnění zákonných daňových povinností (plnění zákonných povinností)

  • účely stanovené zvláštními zákony pro potřeby trestního řízení a pro naplnění povinnosti součinnosti s Policií České republiky a dalšími státními orgány (plnění zákonných povinností)

  • instalace kamerových a monitorovacích systémů v prostorách naší společnosti pro účely prevence vzniku škod (oprávněný zájem)

  • vymáhání pohledávek za klientem a ostatní klientské spory (oprávněný zájem)

  • procesy spojené s identifikací klienta (uzavření a plnění obchodního případu)

  • zajištění důkazů pro případ nutnosti obhajoby práv společnosti STAVSI, s.r.o., (oprávněný zájem)

  • evidence dlužníků (oprávněný zájem).

Add c) zásada minimalizace údajů

Vzhledem k výše uvedeným účelům zpracovává společnost STAVSI, s.r.o., u klientů – fyzických osob – následující osobní údaje (maximálně):

  • jméno a příjmení, případně titul,

  • adresa fakturační (komunikační),

  • adresa dodací,

  • kontaktní telefonní číslo,

  • kontaktní e-mail,

  • bankovní spojení,

  • identifikační údaje zástupce klienta (v případě, že jej klient určí).

U pracovníků subdodavatelských firem (pracovníci určení pro spolupráci při řešení dodávek materiálu a služeb pro klienty STAVSI, s.r.o.) následující osobní údaje (maximálně):

  • jméno a příjmení, případně titul,

  • název firmy,

  • adresa sídla firmy,

  • IČO, DIČ,

  • kontaktní telefonní číslo,

  • kontaktní e-mail.

Společnost STAVSI, s.r.o., včetně našeho webu nikoho nesleduje a nedělá marketingové kampaně.

Ke zpracování se k nám dostanou pouze ty osobní údaje, které nám klienti i pracovníci subdodavatelů sdělí.

Jakmile nás klient kontaktuje – ať už přes kontaktní formulář na našem webu, telefonicky, e-mailem, písemně čí osobně – a sdělí nám na sebe kontaktní osobní údaje, vzniká pro společnost STAVSI, s.r.o., otevřený obchodní případ, a tím vzniká oprávněný zájem naší společnosti na zpracovávání takových údajů.

Na základě smluvního vztahu s webhostingovou společností Active24, provozujeme přes jejich služby web a zajišťují pro nás správu e-mailů. Naše společnost přímo nezpracovává informace z cookies. Cookies z našeho webu zpracovává Google Analytics.

Add d) zásada přesnosti

Osobní údaje zpracováváme přesně tak, jak je od klientů a pracovníků subdodavatelů získáme. Nijak je neagregujeme, neupravujeme ani svévolně neměníme.

Add e) zásada omezení uložení

Rozsah zpracovávaných údajů závisí na účelu zpracování. Pro účely uzavření a plnění obchodního případu, oprávněného zájmu společnosti STAVSI, s.r.o., nebo pro plnění zákonných povinností je možné zpracovávat osobní údaje přímo bez souhlasu.

Pro jiné účely (zejména marketingové, apod.) společnost STAVSI, s.r.o., osobní údaje nezpracovává.

Poskytnutí osobních údajů nutných pro uzavření a plnění obchodního případu, pro plnění zákonných povinností společnosti STAVSI, s.r.o., a pro ochranu oprávněných zájmů společnosti STAVSI, s.r.o., je povinné. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné stavební materiál a služby s dodáním spojené poskytovat. Ke zpracování osobních údajů pro tyto účely přistupuje společnost STAVSI, s.r.o.,  až po souhlasu klienta. Pokud klient nesouhlasí se zpracováním osobních údajů z důvodu plnění obchodního případu a plnění zákonných povinností, nelze obchodní případ uzavřít a plnit.

Osobní údaje v rozsahu nutném pro naplnění účelu uzavření a plnění obchodního případu a pro plnění zákonných povinností společnosti STAVSI, s.r.o., jsou zpracovávány po dobu nutnou k dosažení a naplnění uvedených účelů.

V případě plnění zákonných povinností společnosti STAVSI, s.r.o., je to po dobu přímo stanovenou právními předpisy. Například faktury vystavené společností STAVSI, s.r.o., jsou v souladu s § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty archivovány po dobu 10 let od jejich vystavení.

U klientů společnosti STAVSI, s.r.o., je naše společnost oprávněna v případě, že mají splněny veškeré své závazky vůči ní, zpracovávat v databázi klientů jejich osobní údaje po zbytek kalendářního roku a celých dalších 5 let ode dne ukončení plnění uzavřeného obchodního případu.

V případě otevřeného obchodního případu s potenciálním klientem, je společnost STAVSI, s.r.o., oprávněna zpracovávat poskytnuté osobní údaje po zbytek kalendářního roku a celé další 2 roky ode dne získání osobních údajů od klienta v rámci a rozsahu poptávky klienta poskytnuté naší společnosti.  V případě, že klient oznámí společnosti STAVSI, s.r.o., že již nechce pokračovat v jednání o uzavření a plnění obchodního případu, ukončí společnost zpracovávání jeho osobních údajů nejpozději do 30 kalendářních dnů od obdržení takového oznámení.

Osobní údaje pracovníků subdodavatelských firem společnost STAVSI, s.r.o., zpracovává po zbytek kalendářního roku a celý další 1 rok ode dne ukončení spolupráce s konkrétní firmou. V případě, že pracovník subdodavatelské firmy oznámí společnosti STAVSI, s.r.o., že již nechce a nebude dále spolupracovat, ukončí naše společnost zpracovávání jeho osobních údajů nejpozději do 30 kalendářních dnů od obdržení takového oznámení.

Poté jsou osobní údaje vymazány či anonymizovány.

Add f) zásada integrity a důvěrnosti

Osobní údaje klientů a pracovníků subdodavatelských firem jsou zpracovávány centralizovaně v jediné databázi v elektronické formě. K elektronické databázi je pořízena jedna záložní kopie na běžném nosiči dat.

Obsah databáze je průběžně aktualizován.

Účetnictví společnosti STAVSI, s.r.o., je vedené jednak v elektronické formě, jednak v jednom paré v listinné formě.

Přístup k osobním údajům mají pouze proškolené oprávněné osoby správce osobních údajů, jako je jednatel společnosti STAVSI, s.r.o., případně jím pověřená osoba s prokazatelným zavázáním k povinnostem ohledně zpracování osobních údajů. Taková osoba je povinna zachovávat mlčenlivost o osobních údajích i o bezpečnostních opatřeních k jejich zabezpečení, nesmí si dělat kopie databází.

Účetnictví pro společnost STAVSI, s.r.o., zpracovává ing. Iva Siedková, IČO 44288867.

Add g) zásada odpovědnosti

Databáze jsou přístupné v pouze v prostorách společnosti v jejím sídle a jsou chráněny víceúrovňovou fyzickou blokací přístupu nepovolaných osob (zámky, alarmy, kamery). Elektronická databáze je chráněna přístupovým heslem.

K databázi není povolen vzdálený přístup a její ochrana je pravidelně aktualizována.

C. Práva subjektů údajů v souvislosti se zpracováváním osobních údajů

V souladu s požadavky GDPR má subjekt údajů (fyzická osoba) od 25. 5. 2018 v případě, že bude pro společnost  STAVSI, s.r.o., identifikovatelnou fyzickou osobou a prokáže naší společnosti svoji totožnost, následující práva:

1.Právo na přístup k osobním údajům

V souladu s čl. 15 GDPR má subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od naší společnosti:

  • potvrzení, zda zpracovává jeho osobní údaje,

  • informace o účelech zpracování, kategoriích dotčených osobních údajů, příjemcích, kterým osobní údaje byly nebo budou zpřístupněny, plánované době zpracování, o existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování, právu podat stížnost u dozorového úřadu, o veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,

  • v případě, že nebudou nepříznivě dotčena práva a svobody jiných osob i kopii osobních údajů.

V případě opakované žádosti bude společnost  STAVSI, s.r.o., za kopii osobních údajů účtovat poplatek 500Kč. Právo na potvrzení o zpracovávání osobních údajů a na informace bude možné uplatnit písemně na adresu sídla společnosti  STAVSI, s.r.o. Právo na zaslání kopie osobních údajů bude třeba uplatnit písemně na adresu sídla společnosti  STAVSI, s.r.o., za podmínky doložení oprávněnosti uvedené žádosti.

2. Právo na opravu nepřesných údajů

V souladu s čl. 16 GDPR má subjekt údajů právo na opravu nepřesných osobních údajů, které o něm bude společnost  STAVSI, s.r.o., zpracovávat. Klient společnosti  STAVSI, s.r.o., má rovněž povinnost oznamovat změny svých osobních údajů a doložit, že k takové změně došlo. Zároveň je povinen poskytnout naší společnosti součinnost, bude-li zjištěno, že osobní údaje, které o něm naše společnost zpracovává, nejsou přesné. Opravu provede společnost  STAVSI, s.r.o., bez zbytečného odkladu, vždy však s ohledem na dané technické možnosti. Žádost o opravu osobních údajů je třeba podat písemně na adresu sídla společnosti  STAVSI, s.r.o., za podmínky doložení oprávněnosti uvedené žádosti.

3. Právo na výmaz

V souladu s čl. 17 GDPR má subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud společnost STAVSI, s.r.o., neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Společnost má nastaveny mechanismy pro zajištění anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro nějž byly zpracovávány. Pokud se subjekt údajů domnívá, že nedošlo k výmazu jeho osobních údajů, může se obrátit písemně na adresu sídla společnosti  STAVSI, s.r.o.

4. Právo na omezení zpracování

V souladu s čl. 18 GDPR má subjekt údajů do doby vyřešení zaslaného podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování, a to písemně na adresu sídla společnosti  STAVSI, s.r.o .

5. Právo na oznámení opravy, výmazu nebo omezení zpracování

V souladu s čl. 19 GDPR má subjekt údajů právo na oznámení ze strany společnosti  STAVSI, s.r.o., v případě opravy, výmazu nebo omezení zpracování osobních údajů. Dojde-li k opravě nebo výmazu osobních údajů, bude společnost  STAVSI, s.r.o., informovat jednotlivé příjemce, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.

6. Právo na přenositelnost osobních údajů

V souladu s čl. 20 GDPR má subjekt údajů právo na přenositelnost údajů, které se ho týkají a které poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat společnosti STAVSI, s.r.o., o předání těchto údajů jinému správci.

V případě, že by výkonem tohoto práva mohlo dojít k nepříznivému dotčení práv a svobod třetích osob, nebude možné žádosti subjektu vyhovět. Žádost je třeba poslat písemně na adresu sídla společnosti  STAVSI, s.r.o., po doložení oprávněnosti požadavku.

7. Právo vznést námitku proti zpracování osobních údajů

V souladu s čl. 21 GDPR má subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu společnosti  STAVSI, s.r.o.

V případě, že společnosti STAVSI, s.r.o., neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, společnost  STAVSI, s.r.o., zpracování na základě námitky ukončí bez zbytečného odkladu. Námitku je třeba poslat písemně na adresu sídla společnosti  STAVSI, s.r.o.

8. Právo na odvolání souhlasu se zpracováním osobních údajů

Souhlas se zpracováním osobních údajů pro obchodní účely účinný od 25.05.2018, je možné kdykoliv po tomto datu odvolat. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle, a to písemně na adresu sídla společnosti  STAVSI, s.r.o.

9. Právo podat stížnost

Subjekt údajů má právo podat stížnost u Úřadu pro ochranu osobních údajů, pokud se domnívá, že došlo při zpracování jeho osobních údajů k porušení předpisů na ochranu osobních údajů.

Zpracoval

Hynek Siedek                                                                                                                 25.05.2018

Technická a organizační interní opatření

Fyzické zabezpečení

Prostory společnosti STAVSI, s.r.o., v sídle společnosti jsou proti fyzickému napadení uložených osobních údajů zabezpečeny vstupními bezpečnostními dveřmi, dále uzamykatelnými interiérovými dveřmi a obsah vybraných skříní je chráněný uzamčením. Prostory jsou chráněny víceúrovňovým elektronickým bezpečnostním systémem. V prostorách s osobními údaji je nainstalována kamera. Celý objekt sídla je chráněn vnějším kamerovým systémem. PC s osobními údaji je připojen do internetové sítě přes firewall a komunikace i soubory jsou hlídané sw produktem ESET INTERNET SECURITY. Mimo pracovní dobu je PC odpojen od wifi signálu. PC není zapojen v síti. Vstup do PC je hlídán heslem. Heslo je pravidelně obměňováno v intervalu cca 60 kalendářních dnů.

Systémové zabezpečení

Osobní údaje jsou zpracovávány v databázi xls. Každý klient nebo pracovník subdodavatele má osobní údaje vedené v jednom řádku databáze. Dokumenty potřebné pro konkrétní obchodní případ jsou s databází svázané pomocí pseudoanymizace prostřednictvím čísla agendy, které je stejné v databázi osobních údajů a v dokumentech, vtahujících se ke konkrétnímu řádku databáze osobních údajů. Záloha databáze osobních údajů se aktualizuje podle potřeby a je uložena mimo dosah nepovolaných osob. Účetní agenda v elektronické podobě i v listinné podobě je uložena v zabezpečených a zajištěných prostorách s osobními údaji. Podle potřeby jsou osobní údaje aktualizovány a případně vymazávány a anonymizovány. O změnách jsou subjekty údajů informovány emailem nebo telefonicky.

Hodnocení rizik zpracování osobních údajů:

GDPR

Personální zabezpečení

Vstup do prostor společnosti STAVSI, s r.o., a přístup k osobním údajům mají pouze oprávněné a poučené osoby. Jedná se o jednatele společnosti a zpracovatele účetní agendy.

Zpracoval            Hynek Siedek                                                                                             25.05.2018