Zásady zpracování osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ VE SPOLEČNOSTI HUDEBNÍ KRÁM, S. R. O. 

 

1. ZÁKLADNÍ VYMEZENÍ

1.1. Dokument Zásady zpracování osobních údajů ve společnosti Hudební krám, s. r. o. /dále jen Dokument/ obsahuje komplexní metodiku zpracování osobních údajů ve společnosti Hudební krám, s. r. o., která je v souladu s Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) /dále jen Nařízení/.

1.2. Osobními údaji se v tomto dokumentu rozumí veškeré údaje, definované Nařízením v kapitole I článku 4, odstavci 1.

1.3. Správcem i zpracovatelem osobních údajů se v tomto dokumentu rozumí společnost Hudební krám, s. r. o. se sídlem Horácké náměstí 1473/11, 621 00 Brno, zapsaná u Krajského soudu v Brně, spis. značka: C 36262 /dále jen Společnost/.

1.4. Subjektem osobních údajů se rozumí libovolná fyzická osoba, která poskytla dobrovolně Společnosti své osobní údaje, ať již z důvodů daných zákonem, nebo po odsouhlasení poskytnutí.

1.5. Automatickým zpracováním osobních údajů se rozumí zpracování osobních údajů bez možného zásahu či kontroly zaměstnance Společnosti.

1.6. Manuálním zpracováním osobních údajů se rozumí takové zpracování osobních údajů subjektu, kdy do kontaktu s údaji přichází lidská bytost – zaměstnanec Společnosti, která má možnost kontroly osobních údajů subjektu nebo možnost zásahu do nich.

1.7. Fyzickou podobou osobních údajů se rozumí osobní údaje zapsané, vytisknuté či jinak zaznamenané na neelektronické médium.

1.8. Elektronickou podobou osobních údajů se rozumí osobní údaje uložené jak na off-line elektronických médiích (tj. bez připojení k síti internet), tak i údaje v online režimu uložení (tj. data v datových úložištích, na serverech aj.).

 

2. PRINCIPY ZPRACOVÁNÍ ÚDAJŮ ULOŽENÝCH VE FYZICKÉ PODOBĚ

2.1. Ve fyzické podobě Společnost bude požadovat pouze osobní údaje nezbytné k naplnění smluvního vztahu nebo k dodržení zákonných nařízení. Při získávání osobních údajů se Společnost drží obecných pravidel, formulovaných v kapitole II. článku 5 Nařízení.

2.2. Veškeré dokumenty, obsahující osobní údaje, jsou uloženy v zamykatelné skříni umístěné v provozovně Společnosti, k níž mají přístup pouze oprávněné osoby, které přístup využívají pouze v odůvodněných případech.

   2.2.1. Seznam těchto osob s jejich pracovním zařazením, důvodem nabytí oprávnění, datem nabytí oprávnění a potvrzením tohoto oprávnění jejich vlastnoručním podpisem je Přílohou 1 tohoto Dokumentu. Tato příloha musí být spolu s originálem tohoto Dokumentu, podepsaným jednatelem Společnosti, uložena v zamykatelné skříni, neboť obsahuje osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

   2.2.2. V odůvodněných případech, kdy je nutné vydat takto zabezpečené osobní údaje neoprávněné osobě, oprávněná osoba má právo posoudit důvodnost požadavku neoprávněné osoby a teprve poté vydat osobní údaje, či naopak odmítnout jejich vydání.

      2.2.2.1. Odůvodněným případem se zde rozumí například potřeba osobních údajů pro naplnění smluvního vztahu, zákonných požadavků či případ kontroly oprávněným úřadem.

   2.2.3. Oprávněné osoby jsou povinny neméně jednou v kalendářním roce provést kontrolu všech shromážděných dokumentů, obsahujících osobní údaje, a dokumenty s osobními údaji, u nichž již není důvod k další archivaci, skartovat.

      2.2.3.1. O skartaci těchto dokumentů jsou povinny udělat oprávněné osoby záznam do Přílohy 2 tohoto Dokumentu, ve kterém ve stručnosti uvedou typ dokumentu a důvody skartace. Tato příloha musí být spolu s originálem tohoto Dokumentu, podepsaným jednatelem Společnosti, uložena v zamykatelné skříni, neboť obsahuje osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

2.3. Jakýkoliv únik osobních údajů jsou všechny oprávněné osoby povinny hlásit jednatelovi společnosti, který jej následně nahlásí příslušnému úřadu.

2.4. Dokumenty ve fyzické podobě obsahující osobní údaje nebude správce dávat třetím stranám ke zpracování, s výjimkou nutného předání v rámci zpracování údajů pro správce daně.

   2.4.1. Externí pracovník, připravující podklady pro správce daně, se poté řídí bodem 5.2.2. (a body podřazenými) tohoto Dokumentu.

 

3. PRINCIPY ZPRACOVÁNÍ DOKUMENTŮ V ELEKTRONICKÉ PODOBĚ

3.1. V elektronické podobě Společnost bude získávat a uchovávat osobní údaje nezbytné k naplnění smluvního vztahu nebo k dodržení zákonných nařízení, dále pak údaje pro snazší komunikaci se subjekty osobních údajů, případně pro provozování věrnostního či slevového programu. Údaje pro snazší komunikaci se subjekty osobních údajů, případně pro provozování věrnostního či slevového programu jsou získávány výhradně při souhlasu subjektu osobních údajů. Při získávání osobních údajů se Společnost drží obecných pravidel, formulovaných v kapitole II. článku 5 Nařízení.

   3.1.1. Vzor souhlasu subjektu osobních údajů pro zpracování osobních údajů pro snazší komunikaci se subjekty osobních údajů, případně pro provozování věrnostního či slevového programu je Přílohou 3 tohoto Dokumentu.

3.2. Osobní údaje jsou získávány buď přes webové rozhraní (viz kapitolu 4), nebo získáním pomocí osobní komunikace a posléze zapsáním přes elektronický přístroj do elektronické podoby.

3.3. Veškeré osobní údaje jsou zabezpečeny a přístup k nim mají pouze zaměstnanci Společnosti. Každý ze zaměstnanců má přístup k osobním údajům subjektů pouze přes své unikátní uživatelské jméno a heslo.

    3.3.1. Seznam oprávněných osob pro nakládání s osobními údaji v elektronické podobě s jejich pracovním zařazením, důvodem nabytí oprávnění, datem nabytí oprávnění a potvrzením tohoto oprávnění jejich vlastnoručním podpisem je Přílohou 4 tohoto Dokumentu. Tato příloha musí být spolu s originálem tohoto Dokumentu, podepsaným jednatelem Společnosti, uložena v zamykatelné skříni, neboť obsahuje osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

3.4. Osoba pověřená jednatelem ke kontrole dokumentů obsahujících osobní údaje v elektronické podobě je povinna nejméně jednou ročně udělat kontrolu všech uchovávaných osobních údajů a nalezené osobní údaje, u kterých již není důvod pro další uložení, smazat.

3.5. Jakýkoliv únik osobních údajů jsou všechny oprávněné osoby povinny hlásit jednatelovi společnosti, který jej následně nahlásí příslušnému úřadu.

3.6. Dokumenty v elektronické podobě obsahující osobní údaje nebude správce dávat třetím stranám ke zpracování, s výjimkou nutného předání v rámci zpracování údajů pro správce daně a s výjimkou nutného zobrazení osobních údajů při údržbě elektronických prostředků externím pracovníkem.

   3.6.1. Externí pracovník, připravující podklady pro správce daně, se poté řídí bodem 5.2.2. (a body podřazenými) tohoto Dokumentu.

   3.6.2. Externí pracovník, provádějící údržbu elektronických prostředků, se poté řídí bodem 5.2.3. (a body podřazenými) tohoto Dokumentu

 

4. ZÍSKÁVÁNÍ A UCHOVÁNÍ ÚDAJŮ Z WEBOVÉHO ROZHRANÍ NERDI.CZ

4.1. Při jakémkoliv nákupu zboží na tomto webovém rozhraní, provozovaném Společností, je nutné ze zákonných důvodů a oprávněného zájmu Společnosti ve smyslu článku 6 odstavce 1. bodu b) Nařízení evidovat následující osobní údaje subjektů osobních údajů: Jméno, příjmení, fakturační a doručovací adresa, e-mailová adresa, případně telefonní číslo.

   4.1.1. Zpracování těchto údajů se řídí kapitolou 3 tohoto dokumentu.

   4.1.2. Tyto údaje nebudou používány k jinému zpracování, než je pouze evidence daná zákonem.

   4.1.3. Po uplynutí zákonných lhůt jsou data takto získaná vymazána.

   4.1.4. Subjekt osobních údajů je informován při každém nákupu o rozsahu a způsobu zpracování osobních údajů a o svých možnostech kontroly nad tímto zpracováním.

      4.1.4.1. Vzor informování subjektu osobních údajů o způsobu a rozsahu zpracování osobních údajů je Přílohou 5 tohoto Dokumentu.

 

5. PŘEDÁVÁNÍ DOKUMENTŮ OBSAHUJÍCÍCH OSOBNÍ ÚDAJE K DALŠÍMU ZPRACOVÁNÍ TŘETÍ STRANOU

5.1. Společnost nebude předávat osobní údaje k dalšímu zpracování třetí stranou.

5.2. Výjimkou z odst. 5.1. je:

   5.2.1. Předávání osobních údajů subjektu osobních údajů doručovací společnosti, kterou subjekt osobních údajů zvolil při tvorbě objednávky na webovém rozhraní nerdi.cz.

      5.2.1.1. Toto předání osobních údajů je nutné pro naplnění kupní smlouvy, uzavřené mezi Společností a subjektem osobních údajů. Není tedy potřeba souhlasu, neboť se na toto zpracování vztahuje čl. 6 odst. 1. b) Nařízení.

      5.2.1.2. Zodpovědnost za takto předané údaje dopravní společnosti se přenáší na subjektem zvolenou dopravní společnost. Ta je zodpovědná za případný únik osobních údajů při přepravě zboží k subjektu osobních údajů.

      5.2.1.3. Při předání osobních údajů vybrané dopravní společnosti udělá zaměstnanec Společnosti záznam v elektronické formě, ze kterého bude vyplývat, kdy k předání došlo a který ze zaměstnanců tato data předal.

   5.2.2. Předávání dokumentů obsahujících osobní údaje ke zpracování externím pracovníkem pro přípravu podkladů pro správce daně.

      5.2.2.1. Externí pracovník, připravující podklady pro správce daně, nebude využívat osobní údaje subjektu osobních údajů nad rámec nutného zpracování pro potřeby přípravy podkladů pro správce daně.

      5.2.2.2. Externí pracovník podepisuje Prohlášení externího pracovníka o ochraně zpracovávaných osobních údajů, které je Přílohou 6 tohoto Dokumentu. Tato příloha musí být spolu s originálem tohoto Dokumentu, podepsaným jednatelem Společnosti, uložena v zamykatelné skříni, neboť obsahuje osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

      5.2.2.3. Po ukončení pracovněprávního vztahu mezi Společností a externím pracovníkem nadále platí Prohlášení externího pracovníka o ochraně zpracovávaných osobních údajů, a to, dokud nepominou veškeré zákonné důvody.

         5.2.2.3.1. Po uplynutí všech zákonných důvodů oprávněná osoba skartuje Prohlášení externího pracovníka o ochraně zpracovávaných osobních údajů, přičemž o této události učiní záznam do Přílohy 2 tohoto dokumentu.

   5.2.3. Možný přístup externího pracovníka k osobním údajům subjektů osobních údajů při údržbě webového rozhraní nerdi.cz nebo při údržbě jiného elektronického přístroje, uchovávajícího osobní údaje.

      5.2.3.1. Externí pracovník podepisuje Prohlášení externího pracovníka o ochraně zpracovávaných osobních údajů, které je Přílohou 7 tohoto Dokumentu. Tato příloha musí být spolu s originálem tohoto Dokumentu, podepsaným jednatelem Společnosti, uložena v zamykatelné skříni, neboť obsahuje osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

      5.2.3.2. Po ukončení pracovněprávního vztahu mezi Společností a externím pracovníkem nadále platí Prohlášení externího pracovníka o ochraně zpracovávaných osobních údajů, a to, dokud nepominou veškeré zákonné důvody.

         5.2.3.2.1. Po uplynutí všech zákonných důvodů oprávněná osoba skartuje Prohlášení externího pracovníka o ochraně zpracovávaných osobních údajů, přičemž o této události učiní záznam do Přílohy 2 tohoto dokumentu.

   5.2.4. Předávání osobních údajů ke zpracování kontrolními subjekty České republiky, které prokáží zákonnou důvodnost takovéto kontroly.

      5.2.4.1. O takovémto přístupu k osobním údajům jsou oprávnění zaměstnanci povinni udělat záznam do příslušných příloh tohoto Dokumentu.

 

6. ZÁVĚREČNÁ USTANOVENÍ

6.1. Společnost tento Dokument zveřejní v úplném znění v elektronické podobně na webovém rozhraní nerdi.cz, s výjimkou těch příloh Dokumentu, které obsahují osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

6.2. Tištěná podoba tohoto dokumentu musí být podepsána jednatelem Společnosti a uložena v zamykatelné skříni spolu se všemi přílohami.

   6.2.1. V případě nejasností se za platnou bere vždy tato fyzická verze Dokumentu.

6.3. Všichni současní zaměstnanci Společnosti musí být s tímto Dokumentem prokazatelně seznámeni před datem účinnosti Nařízení.

   6.3.1. Seznámení s tímto dokumentem potvrzují stávající zaměstnanci Společnosti podpisem Prohlášení o seznámení se s Zásadami zpracování osobních údajů ve společnosti Hudební krám, s. r. o., které je přílohou 8 tohoto Dokumentu. Tato příloha musí být spolu s originálem tohoto Dokumentu, podepsaným jednatelem Společnosti, uložena v zamykatelné skříni, neboť obsahuje osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

6.4. Seznámení nových zaměstnanců s tímto Dokumentem musí prokazatelně proběhnout nejpozději v den začátku pracovněprávního vztahu mezi nimi a Společností.

   6.4.1. Seznámení se s tímto dokumentem potvrzují zaměstnanci Společnosti podpisem dodatku u uzavírané smlouvy o vzniku pracovněprávního vztahu. Tato smlouva, včetně dodatku, musí být uložena v zamykatelné skříni, neboť obsahuje osobní údaje ve smyslu bodu 1.2 tohoto Dokumentu.

6.5. Tento dokument nabývá účinnosti dne 25. 5. 2018.