Interní předpis společnosti k provedení Nařízení o ochraně osobních údajů ve smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 20l6 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice č. 95/46/Es (obecné nařízení o ochraně osobních údajů – dále také jen jako GDPR). S cílem odpovědného přístupu k nakládáni osobními údaji fyzických osob při podnikatelské a provozní činnosti společnosti přijímáme tento vnitřní předpis, který převádí výše uvedené předpisy na podmínky činnosti společností
Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, příjmení, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity či fyzické osoby.
Jde pouze o nové označení citlivého osobního údaje. Jedná se o takový osobní údaj, který sám o sobě může poškodit fyzickou osobu ve společnosti, v zaměstnání, ve škole či může zapříčinit jeho diskriminaci. Takový osobní údaj vypovídá obvykle o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, případně dochází ke zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Subjekt údajů je fyzická osoba, jíž osobní údaje se týkají, a kterou je možné dle osobního údaje identifikovat nebo která je identifikovatelná.
Správcem je fyzická osoba nebo právnická osoba, která určuje účely a prostředky zpracování osobních údajů a za zpracování primárně zodpovídá. Není-li v těchto zásadách nebo podmínkách konkrétní služby uvedeno jinak, platí, že správcem osobních údajů je společnost.
Zpracovatelem je fyzická nebo právnická osoba, která na základě pokynů správce zpracovává pro správce osobní údaje.
Zpracování je jakákoliv operace nebo soubor operací, která je prováděna s ostatními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů jako je shromáždění, zaznamenání, uspořádaní, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledávání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo jejich zničení.
Zpracování osobních údajů se řídí zejména nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 98/46/ES (obecné nařízení o ochraně osobních údajů, dále jen pod anglickou zkratkou GDPR) – Národní předpisy mohou v některých případech, tam kde to GDPR připouští, stanovit odlišná pravidla. Ta upravuje zákon č. 101/200 Sb., o ochraně osobních údajů ve znění pozdějších předpisů.
a) oslovení (volitelné)
b) jméno (a všech osob v rámci smlouvy o dodávce energií a médií)
c) příjemní (a všech osob v rámci smlouvy o dodávce energií a médií)
d) datum narození
e) identifikační daňové číslo
f) e-mailová adresa
g) telefonní číslo nebo čísla, budou-li nám sdělena)
h) číslo faxu (pokud nám bude sděleno)
i) údaje o způsobu úhrady, platby/plateb
j) číslo zákazníka/zákaznického účtu/smluvního vztahu (je-li vyžadováno dle interních předpisů)
k) číslo smlouvy
l) číslo vyúčtování/faktur
m) číslo odběrového místa
n) číslo OTE (vyžaduje-li se podle dodavatelských smluv)
o) technická specifikace odběrového místa (vyžaduje-li se dle dodavatelských smluv)
Nejde-li o případ ad hoc poskytnuté služby, výkonu či práce a uzavírá-li se i na poskytnutí služby smlouva, budeme shromažďovat následující údaje:
a) oslovení (volitelné)
b) jméno (a všech osob v rámci smlouvy o dodávce energií a médií)
c) příjemní (a všech osob v rámci smlouvy o dodávce energií a médií)
d) datum narození
e) identifikační daňové číslo
f) e-mailová adresa
g) telefonní číslo nebo čísla, budou-li nám sdělena)
h) číslo faxu (pokud nám bude sděleno)
i) údaje o způsobu úhrady, platby/plateb
j) číslo zákazníka/zákaznického účtu/smluvního vztahu (je-li vyžadováno dle interních předpisů)
k) číslo smlouvy
l) číslo vyúčtování/faktur
Kromě osobních údajů souvisejících s plněním dodávek energií a dalších médií anebo poskytování služeb zpracovává společnost další typy osobních údajů. Jsou so osobní údaje v rámci osobní a mzdové činnosti společnosti (zejména údaje z evidence pracovních smluv, mzdové a další nároky, sociální zabezpečení a zdravotní pojištění)., dále údaje vyplývající z charakteru činnosti společnosti (zejména předpoklady pro výkon práce, certifikace a zvláštní oprávnění, údaje pro živnostenský či jiný veřejný rejstřík, údaje ve vztahu k ochraně zdraví a bezpečnosti při práci včetně evidence pracovních úrazů, údaje o dosazeném vzdělání a zvláštní kvalifikaci apod.). V rámci oprávněného zájmu rovněž společnost zpracovává údaje potřebné k rozesílání pravidelných informačních e-mailů a to po dobu trvání obchodního vztahu a dvou let od poslední uskutečněné objednávky.
Tento typ osobních údajů jsou oprávněni shromažďovat, evidovat a dále s nimi pracovat pouze pověření pracovníci či externí společnosti, které vykonávají působnost společnosti v konkrétním úseku činnosti. Takoví pracovníci plně odpovídají za to, že svou činnost budou striktně vykonávat podle uvedeného Nařízení a dalších souvisejících předpisů. Dále odpovídají a to, že takové jimi zpracovávané osobní údaje fyzických osob nezpřístupní neoprávněným osobám a ani je nepoužijí k jinému účelu, než je plnění smluv a zákonných požadavků.
Vzhledem ke skutečnosti, že společnost zpracovává zásadně osobní údaje jen na základě dvou zákonných podkladů a těmi jsou plnění smluvního vztahu na základě uzavřené smlouvy (zpravidla o dodávkách energií anebo o poskytnutí služby) a činnosti na základě právních předpisů zpravidla personální, mzdová, sociální, zdravotní a daňová agenda). Osobní údaje ve vztahu k plnění uzavřených smluv jsou uchovávány jak materializované tak dematerializované podobě ve formě nosičů dat a uloženy v rámci podnikové počítačové sítě s přístupem pro vybrané a oprávněné zaměstnance. Pokud je zapotřebí osobní údaje dále zpracovávat pro účely vyúčtování poskytovaných plnění a služeb a plnění zákonných povinností (zejména na úseku daní a poplatků), lze takové údaje poskytnout smluvním partnerům společnosti vykonávajícím pro společnost zákonem požadované úkony a zpracování. Takoví smluvní partneři mají v tom případě postavení správce osobních údajů a jsou zavázán ke stejnému způsobu ochrany dat a jejich zpracování jako společnost sama. Pokud společnost využívá datové úložiště mimo svou základní počítačovou a komunikační síť, je poskytovatel takového úložiště vázán smluvním vztahem ke společnosti a plní zásadně povinnosti správce údajů ve stejném rozsahu.
Subjekt údajů je společností informován o procesu nakládání s jeho osobními údaji, a to buď podle povahy případu přímo ve smluvní dokumentaci anebo cestou samostatných podobných písemných souhlasů s účelem a rozsahem zpracování. Společnost shromažďuje a ukládá jen takové osobní údaje, které jsou nezbytné pro výkon její dodavatelské činnosti, jak je níže uvedenu v článku 2.
Každý subjekt osobních údajů je oprávněn zajistit rozsah osobních údajů, jež společnost zpracovává. Dále je subjekt údajů oprávněn kdykoliv odvolat svůj výslovný souhlas ke zpracováním osobním údajů. V takovém případě je titulem pro zpracování osobních údajů smluvní vztah po dobu, kdy trvá, a po jeho skončení jen pro účely stanovené dalšími zákony a právními předpisy. V případě, že by nesouhlas se zpracováním osobních údajů anebo jeho odvolání bránilo v činnosti dodavateli, bylo by nutné smluvní vztah skončit, pokud by nadále neexistoval žádný zákonný důvod pro zpracování osobních údajů.
Subjekt údajů má právo na přenositelnost osobních údajů, které o něm společnost vede. Přenositelnost se realizuje za technických a organizačních podmínek správce údajů v přiměřené době, případně za náhradu souvisejících nákladů. Pomine-li potřeba osobní údaje nadále zpracovávat z důvodu ukončení smluvního vztahu anebo zániku evidence zákonného důvodu, učiní společnost všechna potřebná opatření, aby osobní údaje nebyly nadále přístupné, s výjimkou, kdy jsou potřebné pro vypořádání i skončeného smluvního vztahu anebo podle zvláštních předpisů (daňová a celní evidence, účetní doklady a podobně). Další zpracování takových údajů, které již nevyžadují identifikaci, je možné pro účetní a statistické účely správce údajů.
Tento předpis zpracovává na konkrétní podmínky společnosti obsah výše uvedeného Nařízení, které je nadále základním parametrem úpravy režimu osobních údajů. Správce údaje je oprávněn, ale i povinen aktualizovat tento předpis podle dalšího vývoje na úseku získávání, zpracování a uchovávání osobních údajů. Všichni pracovníci správce údajů , kteří jakýmkoli způsobem dostávají do souvislosti se zpracováním osobních údajů jsou povinni striktně se řídit uvedenou platnou právní úpravou a v co možná největší míře dbát na smysl této právní úpravy.
