Ochrana osobních údajů

Směrnice Ahifi s.r.o. k zajištění povinností vyplývajících z nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES a ze Zákona o zpracování osobních údajů č. 110/2019 Sb.

Datum účinnosti: 1.1.2019
Poslední aktualizace: 17.3.2025
Schválil: Ing. Karel Šudák

1. Úvodní ustanovení

1.1 Předmět a účel směrnice:

Tato Směrnice slouží k zajištění povinností vyplývajících z nařízení Evropského parlamentu
a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „obecné nařízení“).

Společnost Ahifi s.r.o. (dále také jen Společnost či Správce) prohlašuje, že posoudila potenciální povinnosti vyplývající ze zákona č. 171/2023 Sb. o ochraně oznamovatelů a že k datu aktualizace této směrnice naplňuje podmínky výjimky z implementace vnitřního oznamovacího systému plynoucí z § 8, odst. 1 písm. a)

1.2 Vymezení pojmů:

Datasety
jsou skupiny dat, které tvoří osobní údaje podobného rozsahu, zpracovávané za stejným účelem se shodným právním titulem.

Legitimní právní titul
je právní titul oprávněného zájmu Správce, který se uplatňuje u takových zpracování osobních údajů, kde převažují legitimní zájmy či práva Správce nad zájmy či právy subjektu údajů, a to při zohlednění přiměřeného očekávání subjektů údajů na základě jeho vztahu se Správcem. Jedná se např. o ochranu majetku Správce, života a zdraví zaměstnanců, osob vstupujících do objektů Správce.

Oprávněná osoba
je každý zaměstnanec Správce, který z důvodu výkonu svého zaměstnání pro Správce přichází do styku s osobními údaji nebo je zpracovává. Oprávněné osoby musejí být poučeny, seznámeny s obsahem tohoto vnitřního předpisu, o poučení
a seznámení je sepsán písemný záznam. Oprávněné osoby je nutné opakovaně poučit, pokud došlo ke změně jejich pracovního zařazení či k jiné změně mající za následek změnu či rozsah pracovních úkonů oprávněné osoby ve vztahu ke zpracování osobních údajů. Přístup k osobním údajům subjektů údajů je striktně omezen pouze na poučené oprávněné osoby.

Odpovědná osoba
je zaměstnanec Správce mající příslušná oprávnění a přístupy k osobním údajů,
která jsou nezbytná pro plnění jeho pracovních povinností.

Osobní údaje
jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat.

Porušení
je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Pověřená osoba
je zaměstnanec Společnosti, jemuž byla svěřena konkrétní práce nebo úkol, který není předmětem jeho hlavní pracovní náplně.

Profilování
jakákoliv forma automatizovaného zpracování osobních údajů hodnotící osobní aspekty vztahující se k fyzické osobě, zejména za účelem analýzy či předvídání aspektů souvisejících s pracovním výkonem subjektu údajů, jeho ekonomickou situací, zdravotním stavem, osobními preferencemi nebo zájmy, spolehlivostí nebo chováním, místem pobytu či pohybu, pokud má pro něj právní účinky nebo se jí podobným způsobem významně dotýká.

Příjemce
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli.

Sdílený disk
je sdílený e-mailový disk a síťové úložiště (Disk Google), jehož správce je společnost Google Ireland, DIČ: IE6388047V, sídlem Gordon House, Barrow Street, Dublin 4, Irsko.

Sdílený server zpracovatele
je sdílený server od společnosti Shean s.r.o.

Složka zaměstnance
je soubor listin o zaměstnanci obsahující zejména: pracovní smlouvu, osobní dotazník, životopis a předávací protokol.

Souhlas
subjektu údajů je jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Správce osobních údajů
Ahifi s.r.o. se sídlem Trnkova 3140/119g, Líšeň, 62800 Brno je subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování odpovídá

Subjekt údajů
je fyzická osoba k níž se vztahují zpracovávané osobní údaje.

Třetí strana
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající Správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů

Zaměstnanecká data
jsou osobní údaje zaměstnanců Společnosti. Konkrétní výčet je uveden v Příloze č.1 této směrnice.

Zpracovatel osobních údajů
je subjekt, který zpracovává osobní údaje pro správce na základě podepsané smlouvy o zpracování osobních údajů. Zpracovateli osobních údajů jsou: společnost ABRA Software a.s., IČO: 25097653, sídlem Jeremiášova 1422/7b, Stodůlky, 155 00 Praha 5, společnost 22HLAV s.r.o., IČO 64052907 se sídlem Všebořická 82/2, Bukov, 400 01 Ústí nad Labem, společnost LexFortis ACC s.r.o. IČO 07883625 Potoční 1094, Frýdek, 738 01 Frýdek-Místek, Shean s.r.o. IČO 26968479 Bezručova 2297/2, 678 01 Blansko, společnost Walk Solutions s.r.o. IČO: 26414201 Plzeň - Východní Předměstí, Veverkova 298/5, PSČ 30100, BDO Legal s.r.o., advokátní kancelář IČO 08559791 V parku 2316/12, Chodov, 148 00 Praha 4, společnost PPL CZ s.r.o. IČO 25194798 K Borovému 99, Jažlovice, 251 01 Říčany, Česká pošta, s.p. IČO 47114983 Praha 1, Politických vězňů 909/4, PSČ 22599, společnost Zásilkovna s.r.o. IČO 28408306, Českomoravská 2408/1a, Libeň, 190 00 Praha 9, společnost Microsoft Corporation, sídlem Konrad-Zuse-Str.1, 85716 Unterschleißheim, Německo, Roman Dvořáček IČO 74334301, společnost Google Ireland, DIČ: IE6388047V, sídlem Gordon House, Barrow Street, Dublin 4, Irsko (dále též jako „Google Ireland”), společnost O2 Czech Republic a.s. IČO 60193336, Praha 4 - Michle, Za Brumlovkou 266/2, PSČ 14022, IT4YOU s.r.o. IČO 03102289, Sobotkova 447/34, Štýřice, 639 00 Brno, společnost beinspired s.r.o. IČO 05711959 Nové sady 988/2, Staré Brno, 602 00 Brno, společnost Zásilkovna s.r.o., IČO 28408306, Českomoravská 2408/1a, Libeň, 190 00 Praha 9, LiveAgent CZ s.r.o. IČO 07166753 Zoubkova 548/45, Nový Lískovec, 634 00 Brno

1.3 Judikatura:

●   zákon č. 110/2019 Sb., Zákon o zpracování osobních údajů
●   zákon č. 127/2005 Sb., Zákon o elektronických komunikacích
●   zákon č. 171/2023 Sb., Zákon o ochraně oznamovatelů
●   zákon č. 435/2004 Sb., Zákon o zaměstnanosti
●   zákon č. 563/1991 Sb., Zákon o účetnictví
●   zákon č. 582/1991 Sb., Zákon o organizaci a provádění sociálního zabezpečení
●   zákon č. 592/1992 Sb., Zákon o pojistném na veřejné zdravotní pojištění
●   zákon č. 586/1992 Sb., Zákon o daních z příjmů
●   zákon č. 262/2006 Sb., Zákoník práce
●   vyhláška č. 82/2018 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních, náležitostech podání v oblasti kybernetické bezpečnosti a likvidaci dat
●   zákon č. 256/2004 Sb., Zákon o podnikání na kapitálovém trhu
●   zákon č. 253/2008 Sb., Zákon o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu
●   zákon č. 127/2005 Sb., Zákon o elektronických komunikacích
●   zákon č. 89/2012 Sb., Zákon občanský zákoník
●   zákon č. 93/2009 Sb., Zákon o auditorech

1.4. Proces zpracování osobních údajů

Popis jednotlivých činností zpracování osobních údajů s rozpadem na jednotlivé datasety je k dispozici v Příloze č. 1

2. Odpovědné osoby

Veškeří zaměstnanci Společnosti zpracovávající osobní údaje subjektů údajů v rámci své pracovní činnosti.

3. Výkon práv a povinností správce osobních údajů

3.1 Povinnosti odpovědných osob:

A.   Odpovědné osoby uvedené v kapitole 2. jsou povinné zabezpečit zpracovávané osobní údaje.
B.   Odpovědné osoby při ochraně dat uložených v osobních počítačích, včetně přenosných a na serverech, osobní údaje zabezpečují tak, aby bylo zamezeno neoprávněnému nebo nahodilému přístupu, jejich změně, zničení či ztrátě, neoprávněnému přenosu, zpracování, jakož i jinému zneužití těchto osobních údajů.
C.   Odpovědné osoby uvedené v kapitole 2. této směrnice jsou oprávněny nakládat pouze s těmi osobními údaji, které potřebují ke splnění svých pracovních povinností.
D.   Zpracovávat osobní údaje mohou oprávněné osoby pouze za účelem plnění pracovních povinností, a to v souladu s účelem zpracování s legitimním právním titulem.
E.   Odpovědné osoby uvedené v kapitole 2. této směrnice jsou povinné zpracovávané osobní údaje udržovat aktuální a přesné.
F.   Odpovědné osoby jsou povinny sdělovat vedením pověřené osobě veškeré informace, které mají vliv na zabezpečení, aktuálnost a přesnost evidence zpracovávaných osobních údajů.
G.   Odpovědné osoby jsou povinny vést řádně veškeré evidence o zpracování osobních údajů dle rozsahu svých kompetencí a pracovních úkolů.
H.   Odpovědné osoby jsou povinny zpracovávat osobní údaje v souladu se zásadami zpracování uvedenými v kapitole 3.2. Odpovědné osoby zpracovávají osobní údaje výhradně na zařízeních Společnosti. Všechny odpovědné osoby jakkoli zpracovávající osobní údaje podepisují doložku o mlčenlivosti, viz Příloha č. 2.

3.2 Zásady zpracování osobních údajů:

3.2.1 Zákonnost, korektnost a transparentnost

A.   Pro každý účel zpracování existuje legitimní právní titul dle písmene a - f:
a.   Subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů, zaměstnanci viz Příloha č. 3
i.   pokud správce zpracovává osobní údaje na základě vyjádřeného souhlasu, může jej subjekt údajů kdykoliv odvolat aniž by tím byla ovlivněna zákonnost zpracování údajů na základě souhlasu uděleného před jeho odvoláním
b.   zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c.   zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d.   zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e.   zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f.   zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

3.2.2 Účelové omezení

● osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný

● účely zpracování pro jednotlivé datasety osobních údajů jsou k nahlédnutí v Příloze č. 1

3.2.3 Minimalizace

● zpracovávané osobní údaje jsou omezené na nezbytný rozsah ve vztahu k účelu zpracování
● zpracovávat osobní údaje, které nejsou nezbytně nutné pro splnění účelu je zakázáno

3.2.4 Přesnost

●   osobní údaje vede oprávněná osoba přesné a dle potřeby aktualizované
●   nepřesné údaje s přihlédnutím k účelu zpracování budou bezodkladně opraveny
●   nemohou-li být nepřesné osobní údaje opraveny, musí být bezodkladně vymazány

3.2.5 Omezení uložení

● uložení osobních údajů ve formě umožňující identifikaci subjektu údajů po dobu delší než je nezbytné pro plnění účelu, kvůli kterému jsou zpracovávány, je zakázáno

3.2.6 Integrita a důvěrnost

● zpracování osobních údajů odpovědnými osobami je povoleno pouze v souladu s touto směrnicí

4. Zpracování osobních údajů společnosti

●   přehledová tabulka zpracovávaných datasetů Společnosti a jejich obsah je
k nahlédnutí v Příloze č. 1 této směrnice
●   o způsobu zpracování veškerých osobních údajů zaměstnance Společností je zaměstnanec informován před podpisem pracovní smlouvy interní směrnicí. Obeznámení a souhlas s touto interní směrnicí potvrdí svým podpisem do protokolu
●   o způsobu zpracování veškerých osobních údajů klienta Společností je klient informován před podpisem smlouvy odsouhlasením těchto zásad na ochranu osobních údajů

4.1 Společnost v roli Správce osobních údajů

4.1.1 Zaměstnanecká data

A.   Dokumenty prokazující existenci pracovněprávního vztahu, oprávněnost pobytu cizince, ukončení pracovněprávního vztahu a mzdové výměry zaměstnanců jsou uchovány v listinné podobě v sídle Správce v uzamčeném archivu a jejich kopie jsou uloženy v elektronické podobě u zpracovatele LexFortis ACC s.r.o. ve složce na cloudovém serveru zpracovatele a v účetním a mzdovém systému AbraFlexi, s omezeným přístupem pro vedení Společnosti a pověřené zaměstnance za účelem plnění zákona č. 435/2004 Sb. s právním titulem dle kapitoly 3.2.1 bodu A) písmena c) po dobu 10 let od ukončení pracovního vztahu.
B.   Složka zaměstnance je uchována v listinné podobě v sídle Správce v uzamčeném prostoru a elektronicky u zpracovatele LexFortis ACC s.r.o. ve složce na cloudovém serveru zpracovatele a v účetním a mzdovém systému AbraFlexi s omezeným přístupem pro vedení Společnosti a pověřené zaměstnance za účelem plnění zákona č. 435/2004 Sb. s právním titulem dle kapitoly 3.2.1 bodu A) písmena b) do ukončení pracovního vztahu a poté jsou odstraněny.
C.   Mzdová dokumentace zpracovávaná za účelem plnění zákona č. 582/1991 Sb., zákon České národní rady o organizaci a provádění sociálního zabezpečení, zákona č. 586/1992 Sb. a zákoníku práce s právním titulem dle kapitoly 3.2.1 bodu A) písmena c) po dobu 10 let, počínaje prvním dnem kalendářního roku následujícího po roce kterého se týkají.
a.   Konkrétní výčet osobních údajů mzdové dokumentace je k nahlédnutí v Příloze č. 1 této směrnice, viz datasety MZDOVÁ DOKUMENTACE 1 - 4.
b.   Mzdová dokumentace zaměstnanců Společnosti je uložena v mzdovém a účetním programu AbraFlexi u zpracovatele LexFortis ACC s.r.o. a dále zálohově na cloudovém úložišti zpracovatele a v listinné podobě v uzamčeném archivu Správce
c.   Ke mzdové dokumentaci je omezen přístup pro vedení Společnosti, případně pověřené zaměstnance.
d.   Uchování po dobu 10 let dle kapitoly 4.1.1 bod C) se neuplatní u dokumentů evidenčních listů, které jsou odstraněny již po 3 letech, počínaje prvním dnem kalendářního roku následujícího po roce kterého se týkají.
e.   Uchování po dobu 10 let dle kapitoly 4.1.1 bod C) se neuplatní u mzdových listů, které jsou uchovány po dobu 45 let, počínaje prvním dnem kalendářního roku následujícího po roce kterého se týkají.
D.   Osobní údaje zaměstnanců uveřejněné na webových stránkách https://www.ahifi.cz/ za účelem prezentace jsou zpracovávány na základě právního titulu dle kapitoly 3.2.1 bodu A) písmena a) do ukončení pracovního poměru nebo do odvolání souhlasu se zpracováním osobních údajů za tímto účelem, kdy k aktualizaci souhlasů dochází minimálně 1x za 12 měsíců.
E.   Jsou-li Společností zpracovávány jiné dokumenty obsahující osobní údaje současných zaměstnanců než uvedené v kapitole 4.1.1 bod A) až D) jsou zpracovávány výhradně za účelem zpracování personální agendy s právním titulem dle kapitoly 3.2.1 bodu
A) písmena b) a to do ukončení pracovního vztahu.
F.   V průběhu výběrového řízení Společnost přijímá životopisy uchazečů o zaměstnání. Ty pověřená osoba eviduje ve svém e-mailu nebo je má k dispozici pod svými přístupovými údaji na cloudovém úložišti Google. Po jejich vyhodnocení jsou z e-mailové schránky odstraněny. Na cloudovém úložišti Microsoft 365 jsou spravovány dle odsouhlasených smluvních podmínek subjektem údajů. Zpracování osobních údajů v rámci výběrových řízení je následovné:
a.   Životopisy uchazečů o zaměstnání jsou v elektronické podobě zpracovávány po omezou dobu v průběhu výběrového řízení s výlučným přístupem pro vedení společnosti a jím pověřené zaměstnance, po ukončení výběrového řízení jsou odstraněny. V listinné podobě skartovány, v elektronické podobě odstraněny z cloudového úložiště. Zpracovatel Microsoft Corporation provádí zálohy disku na denní bázi a maže je po 30 dnech.
b.   Životopisy uchazečů o zaměstnání, kteří byli účastni osobního pohovoru a byli přijati do zaměstnaneckého stavu, se řídí kapitolou 4.1.1 bodem B).

4.1.2 Interní data

A.   Účetní doklady, účetní knihy, odpisové plány, inventurní soupisy, účtový rozvrh
a přehledy Společnosti jsou evidovány v účetním programu AbraFlexi u zpracovatele LexFortis ACC s.r.o. za účelem plnění povinností vyplývajících ze zákona č. 563/1991 Sb., zákon o účetnictví, s právním titulem dle kapitoly 3.2.1 bodu A) písmena c) je uchováváno 10 let po roce kterého se týká s omezeným přístupem pro zpracovatele, případné kopie jsou uloženy na síťovém disku v prostorách Společnosti a na sdíleném serveru zpracovatele 22HLAV s.r.o. v souladu se zákonem č. 93/2009 Sb., Zákon o auditorech.
B.   Účetní záznamy, kterými Společnost dokládá vedení účetnictví za účelem plnění povinností vyplývajících ze zákona č. 563/1991 Sb., zákon o účetnictví (§33)
s právním titulem dle kapitoly 3.2.1 bodu A) písmena c) je uchováváno 5 let po roce kterého se týká s omezeným přístupem pro zpracovatele, případné kopie jsou uloženy na sdíleném serveru zpracovatele 22HLAV s.r.o. v souladu se zákonem č. 93/2009 Sb., Zákon o auditorech.
C.   Výroční zpráva a účetní závěrka Společnosti je vedena v souladu se zákonem
č. 563/1991 Sb., zákon o účetnictví, a je uchována 10 let po roce kterého se týká.
a.   Osobní údaje zaměstnanců uvedené ve výroční zprávě Společnosti nad rámec zákona č. 563/1991 Sb. (viz dataset: výroční zpráva v Příloze č. 1 této směrnice) jsou zpracovávány za účelem prezentace Společnosti s právním titulem dle kapitoly 3.2.1 bodu A) písmena a).
b.   Výroční zpráva včetně účetní závěrky a zprávy nezávislého auditora je zveřejněna ve veřejném rejstříku.
D.   Objednávky, komunikace s klienty, smlouvy o poskytování služeb nebo smlouvy o spolupráci jsou evidovány:
a.   Za účelem plnění předmětu smlouvy s právním titulem dle kapitoly 3.2.1 bodu A) písmena b) do ukončení platnosti smlouvy.
b.   Za účelem podkladů pro účetnictví s právním titulem dle kapitoly 3.2.1 bodu A) písmena c) 10 let po roce, kterého se týkají.
c.   Dokumentace v souvislosti s poskytováním služeb a zboží Společnosti zákazníkům je evidována v účetním SW AbraFlexi, licence zpracovatele LexFortis ACC s.r.o., ve skladovém SW Touchstore zpracovatele Walk Solutions s.r.o., na serveru provozovatele e-shopu Ahifi.cz zpracovatele Shean s.r.o. na základě smlouvy o zpracování osobních údajů s omezeným přístupem pro zaměstnance zpracovatele. Zpracovatelé provádějí zálohy dat na denní bázi a mažou je po 30 dnech.
d.   Pracovní dokumenty, a elektronická komunikace s klienty zpracovávané zaměstnanci Společnosti obsahující osobní údaje jsou evidovány chráněném cloudovém úložišti zpracovatele společnosti Google s omezeným přístupem pro zaměstnance zpracovatele. Zpracovatel provádí zálohy disku na denní bázi a maže je po 30 dnech.
e.   Jméno a příjmení odesílatele/příjemce poštovní zásilky a její obsah jsou zpracovávány za účelem evidence pošty s právním titulem dle kapitoly 3.2.1 bodu A) písmena f) 3 roky počínaje prvním dnem kalendářního roku následujícího rok po roce přijetí/odeslání poštovní zásilky a jsou uloženy na cloudovém úložišti Microsoft 365 Společnosti s přístupem pro všechny zaměstnance.

4.1.3 Partnerská data

A.   Dodavatelsko odběratelské vztahy jsou evidovány v SW AbraFlexi a SW Touchstore a na cloudovém úložišti Google s právním titulem dle kapitoly 3.2.1 bodu A) písmena b) až f)
B.   Smluvní, projektová dokumentace či objednávky, obsahující osobní údaje uvedené ve mzdových listech, likvidačních listech, objednávkových listech, dodacích listech, výpisech z bankovního účtu, prezenčních listinách, smlouvách je zpracovávána za účelem s právním titulem dle kapitoly 3.2.1 bodu A) písmena b). Dále osobní údaje jako IP adresa v internetovém prostředí webů Společnosti je zpracovávána s právním titulem dle kapitoly 3.2.1 bodu A) písmena f)
a.   Dokumentace je ukládána v elektronické podobě v SW AbraFlexi, data jsou ukládána na cloudovém úložišti zpracovatele Google s omezeným přístupem dvojího ověření pro vedení Společnosti a jím pověřené osoby.
b.   Archivace dokumentace včetně přiložených dokumentů obsahujících osobní údaje se řídí smluvními podmínkami. U objednávek obvykle 3 kalendářní roky následující po roce poslední transakce, u smluv do vypršení trvání kontraktu. Zpracovatel provádí zálohy disku na denní bázi a maže je po 30 dnech.
c.    O předání osobních údajů třetí straně (obchodnímu partnerovi, spolupracující právnické osobě) jsou subjekty údajů informovány:
i.   zaměstnanci přečtením této směrnice
ii.   při podání přihlášky k akci či při podpisu prezenční listiny
iii.   vyplněním, potvrzením a odesláním údajů na webu Správce
C.   Jsou-li součástí dokumentace i fotografie z akcí, tak se jejich pořízení, zveřejnění i předání třetí straně řídí právním titulem dle kapitoly 3.2.1 bodu A) písmena a)

4.1.4 Klientská data

A.   Zdroje osobních údajů
a.   Webové stránky: https://www.ahifi.cz/
i.    v důsledku automatického zpracování při návštěvě webu, viz Příloha č. 4
ii.   webové formuláře (například objednávky zboží)
b.   Telefonické / audiovizuální rozhovory či e-mailová nebo jakákoliv jiná písemná komunikace. Telefonické hovory jsou nahrávány pomocí služby O2 Záznam hovorů zpracovatele O2 Czech republic a.s., e-mailová komunikace je zprostředkována zpracovatelem společností Google a zpracovatelem společností LiveAgent CZ s.r.o.
c.   Jiné veřejné nebo soukromé právnické osoby s právní subjektivitou nebo bez právní subjektivity (např. smluvní zpracovatelé osobních údajů, orgány při výkonu jejich zákonných povinností, včetně kontroly a šetření, např. Česká obchodní inspekce)
d.   Ekonomické zdroje, např.: postoupení pohledávek, akvizice, fúze, nabytí majetku
e.   Třetí strany
i.    v případě předání osobních údajů Třetí stranou bere Společnost na vědomí následující:
1.   subjekt údajů předem vyslovil souhlas s použitím svých osobních údajů a Třetí strana tak byla oprávněna s nimi za tímto účelem nakládat (předání a zpřístupnění osobních údajů)
2.   v případě zpracování osobních údajů předaných Třetí stranou, je tato strana povinna poskytnout subjektu údajů nezbytné informace o zpracování osobních údajů i za situace, že je předala

B.   Produkty prodávané na e-shopu:
a.   E-shop je dostupný na webové stránce Společnosti https://www.ahifi.cz/ jeho činnost se řídí obchodními podmínkami dle zákona č. 89/2012 Zákon občanský zákoník
b.   Data s právním titulem dle kapitoly 3.2.1 bodu A písmene a) až c) jsou na straně Správce zpracovávány prostřednictvím zpracovatele LexFortis ACC s.r.o v SW AbraFlexi, prostřednictvím zpracovatele Walk Solutions s.r.o. v SW Touchstore a dále u poskytovatele e-shopu Shean s.r.o. a doručovatele PPL CZ, s.r.o., Česká pošta s.p. a Zásilkovna s.r.o.
c.   Správce uchovává osobní údaje po dobu nezbytnou k výkonu práv a povinností vyplývajících ze smluvního vztahu mezi subjektem údajů a správcem a k uplatňování nároků z těchto smluvních vztahů po dobu 3 kalendářních let po roce ukončení smluvního vztahu a v případě udělení souhlasu, nejdéle do jeho odvolání.
i.   zákazníkům e-shopu je Správce oprávněn zasílat pravidelné informace související s poskytnutou službou/produktem formou newsletterů na základě právního titulu dle kapitoly 3.2.1. bodu A písmene f). Zákazník, subjekt údajů, je oprávněn toto zasílání informací odmítnout a Správce toto právo musí umožnit jednoduchou, uživatelsky přívětivou formou

4.1.5 Podmínky zpřístupnění

Ke zpřístupnění osobních údajů je Správce oprávněn na základě zákonného účelu viz kapitola 3.2.1 bod A) písmeno b) až f) v případě předání:
A.   samotnému subjektu údajů a jím zmocněným osobám
B.   smluvním zpracovatelům osobních údajů
C.   institucím v souvislosti s uzavřením obchodu (banky, úřady)
D.   obchodním partnerům / investorům / nabyvatelům práv
E.   státním institucím na základě naplnění legislativních povinností vycházejících z judikatury, viz kapitola 1.3.

4.1.6 Weby Třetích stran

Správce osobních údajů nenese žádnou odpovědnost za obsah a provoz webových stránek třetích stran, na které se subjekt údajů může dostat prostřednictvím webových stránek Správce (například Google, Heureka.cz). Subjekt údajů bere na vědomí, že proklikem na externí web mohou být zpracovávána data typu IP adresa, čas přístupu či druh prohlížeče uživatele (subjektu údajů) Třetí stranou.

4.1.7 Kamerový systém

Správce provozuje kamerový systém na základě zákonného účelu viz kapitola 3.2.1 bod A) písmeno f). Za účelem potvrzení legitimity provozu kamerového systému byl proveden test proporcionality. Na základě provedeného posouzení oprávněnosti zpracování Osobních údajů Subjektů údajů bylo identifikováno, že zájmy Ahifi s.r.o. převažují nad zájmy a právy Subjektů údajů, a to vzhledem k tomu, že nedochází k intruzivnímu zpracování, které by představovalo riziko pro práva a svobody Subjektů údajů. Správce ohledně provozu kamerového systému splňuje informační povinnost prostřednictvím Přílohy č. 5.

4.1.8 Práva subjektu údajů

A.   Právo na přístup znamená právo získat potvrzení Správce osobních údajů
o skutečnosti, zda jsou osobní údaje zpracovávány či nikoli, a pokud ano, jedná se
o právo na přístup k osobním údajům a informacím o zpracování;
B.   Právo na opravu znamená právo na opravu nepřesných osobních údajů a/nebo doplnění neúplných osobních údajů, a to bez zbytečného odkladu, mimo jiné poskytnutím doplňujícího prohlášení;
C.   Právo na vymazání / právo být zapomenut znamená právo na vymazání osobních údajů bez zbytečného prodlení, kde osobní údaje již není nutné uchovávat ve vztahu k účelům, pro které byly shromažďovány nebo jinak zpracovávat, případně pro zpracování neexistuje žádný jiný právní důvod; nebo subjekt údajů vznese námitku proti zpracování a neexistují žádné převažující oprávněné zájmy pro další zpracování; nebo musí být osobní údaje vymazány po splnění právní povinnosti, která se na Správce osobních údajů vztahuje. Výše uvedené důvody se nepoužijí, pokud je zpracování osobních údajů nezbytné: pro výkon práva na svobodu projevu
a informací; nebo splnění právní povinnosti, která vyžaduje zpracování osobních údajů ze zákona, kterému Správce osobních údajů podléhá, nebo plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, která byla Správci osobních údajů svěřena; nebo z důvodů veřejného zájmu v oblasti veřejného zdraví; nebo pro účely archivace ve veřejném zájmu, pro účely vědeckého nebo historického výzkumu nebo pro statistické účely, pokud je pravděpodobné, že právo na výmaz/právo být zapomenut znemožní nebo vážně zhorší dosažení cílů tohoto zpracování osobních údajů; nebo za účelem stanovení, výkonu nebo obhajoby právních nároků;
D.   Právo na omezení zpracování osobních údajů znamená omezení zpracování, pokud subjekt údajů rozporuje přesnost svých osobních údajů, a to po dobu, která Správci osobních údajů umožní přesnost osobních údajů subjektu údajů řádně ověřit ; nebo je zpracování protiprávní a subjekt údajů souhlasí s výmazem svých osobních údajů
a požadujete místo toho omezení jejich použití; nebo Správce údajů již pro účely zpracování osobních údajů nepotřebuje, ale subjekt údajů je potřebujete pro určení, výkon nebo obhajobu právních nároků; nebo subjekt údajů vznesl námitku proti zpracování osobních údajů, dokud nebude ověřeno, zda oprávněné zájmy Správce osobních údajů převažují nad zájmy subjektu údajů;
E.   Právo na přenositelnost údajů znamená právo získat osobní údaje, které subjekt údajů poskytl Správci osobních údajů, ve strukturovaném, běžně používaném
a strojově čitelném formátu a právo na předání těchto osobních údajů jinému Správci osobních údajů, pokud je to technicky proveditelné a pokud je zpracování založeno na souhlasu nebo na plnění smlouvy a zpracování je prováděno automatizovanými prostředky;
F.   Právo vznést námitku znamená právo kdykoli vznést námitku z důvodů týkajících se konkrétní situace subjektu údajů proti zpracování jeho osobních údajů, které je založeno na plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým jsme pověřeni, nebo proti Zpracování založeném na oprávněných zájmech, včetně profilování založeného na těchto zájmech, které vedou k ukončení Zpracování vašich Osobních údajů, pokud neprokážeme závažné oprávněné zájmy pro Zpracování, které převažují nad vašimi zájmy, právy a svobodami, nebo pro určení, výkon nebo obhajobu právních nároků;
G.   Právo kdykoli odvolat svůj souhlas aniž by byla ovlivněna zákonnost zpracování na základě poskytnutého souhlasu před jeho odvoláním, pokud právním základem zpracování Správce osobních údajů je výslovný souhlas subjektu údajů;
H.   Právo podat stížnost u Úřadu pro ochranu osobních údajů na adresu Pplk. Sochora 27, 170 00, Praha 7, emailem: posta@uoou.cz nebo datovou schránkou ID: qkbaa2n;
I.   Právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro subjekt údajů právní účinky nebo se subjektu údajů obdobně významně dotýká, s výjimkou případu, kdy je takové zpracování nezbytné pro uzavření nebo plnění smlouvy mezi Správcem osobních údajů nebo je povoleno zákonem, kterému Správce osobních údajů podléhá, a který rovněž stanoví vhodná opatření k ochraně práv subjektu údajů a svobod
a oprávněných zájmů, nebo je založen na výslovném souhlasu. S výjimkou práva podat stížnost na Úřad pro ochranu osobních údajů, jak je uvedeno výše, lze tato práva uplatnit zasláním žádosti e-mailem: dotazy@ahifi.cz, nebo na korespondenční adresu Ahifi, s.r.o., Trnkova 3140/119g, Brno, 628 00. Správce osobních údajů je povinen do jednoho měsíce od data přijetí žádosti informovat subjekt údajů o konkrétních krocích, které podnikne na základě obdržení žádosti. Tuto lhůtu lze v případě potřeby prodloužit až o dva měsíce. V takovém případě Správce osobních údajů bude o každém prodloužení informovat subjekt údajů do jednoho měsíce od data přijetí žádosti včetně důvodů zpoždění vyřízení žádosti.

5. Zabezpečení zpravovaných dat

Se řídí v souladu s vyhláškou č. 82/2018 Sb. články 33 a 34 nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

5.1 Bezpečnost systémů:

5.1.1 Mobilní telefon

A.   Telefonní kontakty ukládané do mobilního telefonu jsou zpracovávány oprávněnými osobami za účelem komunikace se zaměstnanci a partnery, s právním titulem dle kapitoly 3.2.1. bodu A) písmene a) až f) do ukončení zaměstnaneckého či partnerského vztahu nebo do odvolání souhlasu.
B.   Mobilním telefonem je ve smyslu této směrnice mobilní zařízení užívané pro plnění pracovních povinností.
C.   Zaměstnanci jsou povinni:
a.   telefon zabezpečit a chránit proti přístupu neoprávněných osob,
b.   mít uzamčený heslem, grafickým zámkem pro odemknutí obrazovky,
či biometrickým zámkem jako otisk prstu či scan obličeje.
c.   nastavit viditelnost příchozích oznámení až po odemknutí obrazovky telefonu,
d.   mít nainstalován antivirus a zařízení pravidelně aktualizovat
D.   Zaměstnancům je zakázáno:
a.   Fotit, nahrávat a jiným způsobem zaznamenávat osobní údaje fyzických osob,
s výjimkou ukládání telefonních kontaktů běžným způsobem.
b.   Zasílat osobní údaje fyzických osob prostřednictvím SMS/MMS s výjimkou zasílání telefonních kontaktů prostřednictvím SMS nebo mobilní vizitky.

5.1.2 E - mail

A.   Všechny přílohy elektronické pošty musí být zkontrolovány na přítomnost virů.
B.   Potenciálně nebezpečné přílohy musí být blokovány.
C.   Užívat elektronickou poštu způsobem ohrožujícím subjekt údajů je zakázáno.
D.   Zasílat osobní údaje fyzických osob s výjimkou kontaktních údajů běžně uváděných na vizitkách prostřednictvím e-mailu je zakázáno.
E.   Bod D) se neuplatní, je-li e-mail šifrován nebo jsou-li osobní údaje zasílány v příloze e-mailu zabezpečené heslem.

5.1.3 Počítač a notebook

Zaměstnanci Společnosti využívají pro výkon své práce počítač nebo notebook Společnosti.

A.   Zaměstnanci jsou povinni počítač nebo notebook Společnosti zabezpečit a chránit proti přístupu neoprávněných osob.
B.   Počítač nebo notebook Společnosti je třeba mít uzamčený heslem pro přístup do aktivního uživatelského účtu a to zabezpečeným spořičem obrazovky.
C.   Heslo pro přihlášení k účtu zaměstnance musí být minimálně 8 znaků dlouhé
a obsahovat velká i malá písmena, číslice nebo znaky a musí být obměňováno alespoň jednou za 3 měsíce.
D.   Na počítači nebo notebooku Společnosti je povinné mít nainstalován antivirus a zařízení pravidelně aktualizovat.
E.   Připojovaná paměťová média musí být zkontrolována antivirem.
F.   Zasílat osobní údaje fyzických osob prostřednictvím internetových úložišť je zakázáno.

5.1.4 Sdílený disk

A. Zaměstnanci Společnosti využívají pro ukládání a sdílení dat sdílené cloudové úložiště od společnosti Google. Sdílený disk je řádně zabezpečen, jak z pohledu uložených dat, tak z pohledu komunikace s diskem - ukládání a stahování dat.

5.2 Datová a fyzická bezpečnost

5.2.1 Datová a bezpečnostní opatření

A.   Při nástupu do zaměstnání jsou zaměstnanci Společnosti předány klíče, případně přístupové údaje, od jeho pracoviště.
a.   Zaměstnanec, který jako poslední opouští své pracoviště, jej zkontroluje, zabezpečí a zamkne (Zavře a zkontroluje okna, zhasne světla a zamkne).
b.   Zaměstnanec, který jako poslední opouští objekt pracoviště, před odchodem zkontroluje, jestli jsou zhasnutá světla a zamkne hlavní vchodové dveře do budovy.
B.   Zaměstnanci jsou povinni dodržovat zásadu čistého stolu, tedy v jejich nepřítomnosti nesmí zůstat na pracovišti volně přístupné dokumenty, přenosná média nebo softwarově neuzamčená zařízení (počítač, notebook, mobilní telefon).

5.2.2 Oznámení bezpečnostních incidentů

A. Zaměstnanci Společnosti jsou povinni hlásit bezpečnostní incidenty vedení Společnosti, respektive pověřené osobě v souladu s interními předpisy Společnosti. Pověřenou osobou je jednatel smluvního zpracovatele - IT4you s.r.o., pan Zdeněk Cupák
B. Pověřená osoba následně postupuje v souladu s vyhláškou č. 82/2018 Sb. a v souladu s články 33 a 34 nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

5.3 Kontrola plnění směrnice

A.   Pověřená osoba zajistí školení všech zaměstnanců Společnosti, na které se tato směrnice vztahuje a to alespoň jedenkrát v průběhu jednoho kalendářního roku.
B.   Obsahem školení uvedeného v kapitole 5.3 bodu A) jsou zejména práva a povinnosti osob odpovědných za zpracování osobních údajů, Společnost v roli Správce osobních údajů a bezpečné užívání technologií a systémů Společnosti.
C.   Pověřená osoba aktualizuje tuto směrnici v průběhu roku tak, aby byla
v souladu s povinnostmi vyplývajícími pro Společnosti z obecného nařízení.

5.4 Závěrečná ustanovení

A.   Odstranění dokumentů s osobními údaji dle této směrnice, zejména smazání či skartace, obsahujících zaměstnanecká či partnerská data se neuplatní v případě,
že bude otevřené soudní nebo jiné řízení, ve kterém by dokumenty byly použity jako průkazní materiál. V tomto případě jsou dokumenty archivovány za účelem možnosti doložení průkazných materiálů s právním titulem dle kapitoly 3.2.1 bodu A) písmena f) do skončení řízení a poté odstraněny.
B.   Porušení povinností odpovědných osob vyplývajících z této směrnice se považuje za závažné porušení povinností vyplývajících z právních předpisů vztahujících se
k zaměstnancem vykonávané práci a může být důvodem výpovědi z pracovního poměru.
C.   Způsobí-li odpovědná osoba zaměstnavateli škodu z důvodu porušení povinností vyplývajících z této směrnice, je zaměstnanec povinen zaměstnavateli nahradit škodu, jež svým zaviněním způsobil.
D.   Rozsah a způsob náhrady škody se řídí zákonem č. 262/2006 Sb.

Přihlásit přes email