Informace pro paciety

Prohlášení o zpracování osobních údajů

Tento dokument je určen našim zákazníkům, obchodním partnerům, zájemcům o zaměstnání, zaměstnancům a široké veřejnosti a obsahuje prohlášení o zpracování osobních údajů poskytované ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR“). Prohlášení naplňuje povinnost poskytovat informace stanovené v článcích 13 a 14 a povinnost informovat subjekty osobních údajů o jejich právech a postupech pro uplatnění jejich práv podle článků 15 až 22 a 34 nařízení GDPR.

Zpracování osobních údajů:

Zaměstnanci

Zaměstnanci během svého působení ve společnosti předávají osobní údaje a rovněž jsou o nich pořizovány údaje mající charakter osobních údajů ve značné rozmanitosti a proměnlivém rozsahu. Typicky se jedná o číslo zaměstnance, jméno, příjmení, rodné příjmení, titul, bydliště trvalé i přechodné (ulice a číslo, PSČ, město), datum narození, rodné číslo, číslo bankovního účtu (IBAN), název zdravotní pojišťovny, doplňkové důchodové spořitelny, číslo OP a další. Dále mohou být zpracovávány údaje rodinných příslušníků nebo členů domácnosti, tedy jména, příjmení a rodná čísla, údaje o příjmech, kopie rodných listů. K tomu se přidávají další komplexní informace při činnosti v IT systémech, jako jsou IP adresy, identifikátory, aktivita a časy operací, volaná telefonní čísla a časy volání, informace o odeslaných SMS a přenesených datech, informace v souvislosti s bezpečností práce, absolvovanými školeními, vydaným certifikáty a povoleními, pojištěním. Rovněž to mohou být údaje související s daňovými povinnostmi jako potvrzení o studiu, hypotečních úvěrech, invaliditě a změněné pracovní schopnosti, starobním důchodu, případně informace od státních orgánů jako nařízené srážky ze mzdy. Při výkonu práce mohou být pořízeny nahrávky hovorů, kamerové záznamy. Zdrojem těchto informací je ve většině případů sám subjekt údajů (personální dotazník, odevzdané výkazy a předané doklady), případně jeho činnost v automatických systémech a zanechaná digitální stopa. Osobní údaje se vyskytují podle své povahy i v obchodní korespondenci se zákazníky, v emailech a chatech, v poznámkách z jednání, jako autorství dokumentů, v radách a odpovědích zákazníkům. Volitelně se může jednat o fotografie, videonahrávky a hlasové nahrávky.

Zpracování osobních údajů provádíme v nezbytně nutném rozsahu z těchto důvodů:

• Plnění pracovní smlouvy a výkon práce
• Splnění právních povinností vyplývajících z pracovně-právního vztahu, zejména oznamovacích povinností vůči orgánům státní správy, soudům a policii a splnění archivační povinnosti
• Oprávněné zájmy při ochraně práv a právem chráněných zájmů, zejména ochrany informačních technologií, majetku i duševního vlastnictví, rozsah zpracovávaných údajů reflektuje pracovní pozici a pravomoci zaměstnance
• Oprávněné zájmy správce při plnění jeho smluv se zákazníky, při řízení firmy a pro efektivní hospodaření, rozsah zpracovávaných údajů reflektuje pracovní pozici a pravomoci zaměstnance
Osobní údaje zpracováváme pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování, podle kterých se doba a rozsah liší:
• Pro plnění pracovní smlouvy a výkon práce po dobu trvání pracovního poměru; u výsledků vaší práce podle doby jejich využitelnosti
o Smluvní a předsmluvní korespondence, emaily a poznámky k plnění smlouvy po dobu trvání smlouvy, maximálně 5 let od vzniku
o V ostatních případech obvykle do 1 roku od vzniku, maximálně 3 měsíce od skončení pracovního poměru
• Pro splnění právních povinností ve vztahu k daňovým povinnostem po dobu 10 let od uplynutí rozhodného období
• Pro splnění právních povinností ve vztahu k důchodovém pojištění po dobu 30 let od uplynutí rozhodného období
• Pro ochranu práv a právem chráněných zájmů správce po dobu 5 let od pořízení údajů, s výjimkou kamerových záznamů, které jsou uchovány maximálně 1 měsíc od pořízení
• Pro oprávněné zájmy správce při plnění smluv po dobu 5 let
• U údajů zpracovávaných na základě souhlasu po dobu jeho platnosti

Osobní údaje jsou zpřístupněny podle jejich charakteru pracovníkům firmy nebo jejich partnerům, kteří vedou danou agendu, či jen jednateli společnosti. Mezi příjemce osobních údajů patří správa sociálního a důchodového pojištění, zdravotní pojišťovny, finanční úřady, úřady práce, inspektoráty práce, mobilní operátoři, pojišťovny škod, soudní orgány a policie. Zpracovateli údajů podle pokynů správce pak jsou servisní organizace systémů IT, firmy poskytující školení a testování v oblastech bezpečnosti práce, vzdělávání a odborného školení. Příjemci některých údajů zejména z oblasti bezpečnosti a auditu se mohou stát i zákazníci při zajišťování jejich oprávněných zájmů vyplývajících z ochrany práv a plnění jejich právních povinností ve vztahu ke smlouvám správce. Údaje nejsou předávány do zemí mimo EU. V případě, že bychom našim zákazníkům nebo dodavatelům mimo země EU potřebovali předat kontaktní údaje našich zaměstnanců, budou o tom tito zaměstnanci informování předem, nebo tak budou činit sami v rámci výkonu své práce.

Při tomto zpracování nedochází k automatizovanému rozhodování ani k profilování. V některých případech při tomto zpracování dochází k systematickému monitoringu, a to zejména činností prováděných v IT systémech, přístupu do prostředí klientů a dalších míst, kvůli zabezpečení a ochraně dat.

Aktuální a potenciální klienti a dodavatelé

V rámci poskytování služeb dochází ke zpracování osobních údajů fyzických osob našich klientů, popřípadě dodavatelů.
Zpracování osobních údajů provádíme v nezbytně nutném rozsahu z těchto důvodů:
• Z důvodu plnění smlouvy, zejména pak objednávek, smluv o dílo, smluv o poskytování služeb, který je základním oprávněným zájmem naší firmy.
• Z důvodu jednání o uzavření smlouvy, zejména pak nabídek, odpovědí na dotazy, informování o službách, který je základním oprávněným zájmem naší firmy a vychází vstříc zájmům subjektů
• Oprávněné zájmy při ochraně práv a právem chráněných zájmů, zejména ochrany informačních technologií, majetku i duševního vlastnictví.
Osobní údaje zpracováváme pouze po dobu, která je nezbytná vzhledem k účelům jejich zpracování, podle kterých se doba a rozsah liší.
• Pro oprávněné zájmy správce při plnění smluv s dodavateli
o Běžná předsmluvní obchodní korespondence, emaily a poznámky maximálně 3 roky od vzniku
o Smluvní korespondence a emaily a poznámky k plnění smlouvy po dobu trvání smlouvy, maximálně 5 let od vzniku
o V ostatních případech do 1 roku od vzniku, maximálně 3 měsíce od skončení spolupráce se zákazníkem, jakožto zaměstnavatelem subjektu
o Přihlášky na školení, seznamy vydaných certifikátů, prezenční listiny 2 roky
o Předané vizitky, předené kontaktní údaje, kontaktní údaje z dotazů apod. do 1 roku
• Pro splnění právních povinností ve vztahu k daňovým povinnostem po dobu 10 let od uplynutí rozhodného období
• Pro ochranu práv a právem chráněných zájmů správce po dobu 5 let od pořízení údajů
• U údajů zpracovávaných na základě souhlasu po dobu platnosti souhlasu

Osobní údaje jsou zpřístupněny podle jejich charakteru primárně pracovníkům firmy, kteří vedou danou agendu, primárně jednateli společnosti. Mezi příjemce osobních údajů mohou v některých situacích patřit finanční úřady, úřady práce, soudní orgány a policie. Zpracovateli údajů podle pokynů správce pak jsou servisní organizace systémů IT. Příjemci základních kontaktních údajů pracovníků zákazníka se mohou stát při plnění jednotlivých smluv i naši dodavatelé a u základních kontaktních údajů dodavatelů i naši zákazníci, v tomto případě bychom předem na takovou situaci cizí pracovníky upozornili. Údaje v těchto případech nejsou předávány do zemí mimo EU.

Při tomto zpracování nedochází k automatizovanému rozhodování ani k profilování.

Webové rozhraní

V rámci naší obchodní činnosti a poskytování služeb, provozujeme na síti internet webové stránky. Stránky jsou přístupné anonymně. Při prohlížení stránek můžeme pořizovat nad rámec dříve uvedených osobních údajů ještě tyto údaje: adresa webové stránky, IP adresa, čas přístupu na stránku, adresa webové stránky odkud návštěvník přichází, prohlížeč a operační systém návštěvníka, preferovaný jazyk, přenesené množství dat, výskyt chyb v technickém zpracování, identifikátor session (vztahující se k přihlášení) a cookies.

Cookies jsou malé textové soubory, které se ukládají na vašem pevném disku v závislosti na používaném prohlížeči a které zajišťují přísun určitých informací do systému, který cookie uložil. Většina námi používaných cookies je po skončení relace prohlížeče smazána (tzv. cookies relace). Jiné cookies na vašem koncovém zařízení zůstávají a umožňují nám rozpoznat váš prohlížeč při další návštěvě (trvalé cookies). Jejich užití můžete omezit použití cookies přímo na našich webových stránkách, a to ve členění:

Funkční cookies

Tyto soubory cookie jsou nezbytné pro fungování webových stránek, není tedy možné je zakázat. Obvykle se nastavují v reakci na akci, kterou na webu sami provedete, jako je nastavení zabezpečení, přihlášení a vyplňování formulářů. Svůj prohlížeč můžete nastavit tak, aby blokoval soubory cookie nebo o nich zasílal upozornění. Mějte na paměti, že některé stránky nebudou bez těchto souborů fungovat. Tyto soubory cookie neukládají žádné informace, které lze přiřadit konkrétní osobě. Tyto soubory cookie můžeme nastavit my nebo poskytovatelé třetích stran, jejichž služby na webu využíváme. Tyto soubory cookie neukládají žádné informace, které lze přiřadit konkrétní osobě.

Analytické cookies

Tyto soubory cookie se používají ke zlepšení fungování webových stránek. Umožňují nám rozpoznat a sledovat počet návštěvníků a sledovat, jak návštěvníci web používají. Pomáhají nám zlepšovat způsob, jakým webové stránky fungují, například tím, že uživatelům umožňují snadno najít to, co hledají. Tyto soubory cookie neshromažďují informace, které by vás mohly identifikovat. Pomocí těchto nástrojů analyzujeme a pravidelně zlepšujeme funkčnost našich webových stránek. Získané statistiky můžeme využít ke zlepšení uživatelského komfortu a k tomu, aby byla návštěva webu pro vás jako uživatele zajímavější.

Marketingové cookies

Používají se ke sledování preferencí webu uživatele za účelem cílení reklamy, tj. zobrazování marketingových a reklamních sdělení (i na stránkách třetích stran), které mohou návštěvníka webu zajímat, v souladu s těmito preferencemi. Marketingové cookies využívají nástroje externích společností. Tyto marketingové soubory cookie budou použity pouze s vaším souhlasem.

Zabezpečení kamerového systému

Způsob sledování výstupů z bezpečnostního kamerového systému užívaného na parkovišti a při vstupech do zdravotnického zařízení společnosti GARC Kladno s.r.o. je řízen podle stanoveného Metodického postupu. Osoby pohybující se v prostoru snímaném kamerami jsou o existenci kamerového systému informovány na vstupu do areálu GARC Kladno s.r.o. informační tabulkou. Správce organizace v souladu s ustanoveními nařízení GDPR bere na vědomí povinnost a učinil opatření, kterými zajistil garanci práv subjektu na zákonnou ochranu osobních údajů. Přístup do systému a k záznamům má povolený pouze pověřený informační technik, jednatelé nebo Policie ČR.

Práva subjektu údajů

V souvislosti se zpracováním osobních údajů mají subjekty těchto údajů níže uvedená práva. Pro využití těchto práv může být nutné zjištění totožnosti tak, aby byla jistota, že právo využívá právě ta osoba, která je subjektem údajů. Zjištění totožnosti provádíme jako správce přiměřeně využívanému právu, v některých případech můžeme použít ověření právě pomocí těchto údajů (přihlašovací údaje). Žádost můžete zaslat elektronickou poštou na email společnosti info@garc.cz.

Právo na přístup k osobním údajům

Právo na potvrzení

SÚ má právo získat od nás potvrzení, zda osobní údaje, které se jej týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

a. účely zpracování
b. kategorie dotčených osobních údajů
c. příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích
d. plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby
e. existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování
f. právo podat stížnost u dozorového úřadu;
g. veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů
h. skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů
i. pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, máte jako subjekt údajů právo být informován o vhodných zárukách, které se vztahují na předání

Právo na kopii
SÚ má právo na kopii zpracovávaných osobních údajů. Kopii jsme schopni předat osobně, nebo odeslat zásilkou určenou do vlastních rukou, v tomto případě budeme požadovat úhradu poštovného. Pokud to bude možné, bude k dispozici kopie k předání elektronickou formou. V případě opakované žádosti o kopii předáme jen data, která jsme ještě nepředali, a která zpracováváme nově, nebo informaci, že žádné nové údaje nezpracováváme. Tím není omezena možnost vydat úplnou kopii údajů znovu za úhradu.

Právo na opravu nepřesných údajů
Pokud SÚ zjistí, že údaje, které o něm zpracováváme, jsou nepřesné, mylné, nepravdivé nebo neúplné, má právo na jejich opravu. Je naším zájmem udržovat informace co nejpřesnější! Na druhou stranu v některých archivních evidencích záměrně jsou udržovány údaje tak, jak byly platné v době jejich vzniku (např. bydliště ve smlouvě apod.).
V případě, že je žádosti o opravu vyhověno, oznámíme to případným původním příjemcům, leda by se to ukázalo jako nemožné nebo vyžadující nepřiměřené úsilí a pokud to SÚ bude požadovat, sdělíme, kdo byli tito příjemci.

Právo na výmaz
SÚ má právo, abychom jakožto správce bez zbytečného odkladu vymazali osobní údaje, které se jej týkají, a my jako správce máme povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

a. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
b. subjekt údajů odvolá souhlas, na jehož základě byly údaje podle zpracovány, a neexistuje žádný další právní důvod pro zpracování
c. subjekt údajů vznese námitky proti zpracování na základě oprávněných zájmů a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování pro účely přímého marketingu
d. osobní údaje byly zpracovány protiprávně
e. osobní údaje musí být vymazány ke splnění právní povinnosti stanovené

Právo na omezení zpracování
SÚ má právo nás požádat o omezení zpracování souběžně

a. s uplatněním práva na opravu, než bude vaše žádost vyřízena
b. v případě protiprávního zpracování místo jejich výmazu
c. v případě, že potřebuje údaje pro určení, výkon nebo obhajobu právních nároků
d. vznesl námitku proti jejich zpracování z důvodu oprávněného zájmu, do doby ověření, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů

Právo na přenositelnost OÚ
Pokud nám SÚ, k určitým údajům poskytl souhlas nebo zpracováváme data na základě smlouvy mezi námi, a přitom zpracováváme data automatizovaně, můžete nás SÚ požádat o jejich předání ve strukturovaném formátu.

Právo vznést námitku proti oprávněnému zájmu
Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se jej týkají, pokud jsou zpracovávány na základě námi deklarovaného oprávněného zájmu správce. Údaje přestaneme jako správce zpracovávat, pokud neprokážeme závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami SÚ, nebo pokud je nezpracováváme pro určení, výkon nebo obhajobu právních nároků.

Právo vznést námitku proti přímému marketingu
Pokud SÚ vznese námitku proti zpracování osobních údajů za účelem přímého marketingu, přestaneme údaje za tímto účelem zpracovávat a vyřadíme je z veškerého dalšího přímého marketingu.

Právo nebýt předmětem rozhodnutí založeného na automatizovaném rozhodnutí včetně profilování
Vzhledem k tomu, že jako správce údajů nevydáváme rozhodnutí, která by pro SÚ měla právní účinky, výhradně na základě automatizovaného zpracování nebo profilování, je uplatnění tohoto práva jen hypotetické.

Právo odvolat souhlas
Pokud nám k nějakému zpracování udělí SÚ souhlas, může tento souhlas odvolat, nejlépe obdobným způsobem, jakým byl souhlas udělen: pokud na webu, pak na webu, pokud emailem, pak emailem ze stejné adresy, pokud telefonicky, pak telefonicky ze stejného telefonního čísla. Vždy může souhlas odvolat písemně, nebo nás požádat o přehled udělených souhlasů se zpracováním. Souhlas se zpracováním cookies může také snadno odvolat jejich smazáním nebo jejich zablokováním ve webovém prohlížeči.

Právo obrátit se na dozorový orgán
Pokud není SÚ spokojen s tím, jak postupujeme při zpracování osobních údajů nebo jak naplňujeme práva v této souvislosti, může se se stížnostmi obracet na Úřadu pro ochranu osobní údajů.

Dozorový orgán:
Úřad pro ochranu osobních údajů
https://www.uoou.cz
Pplk. Sochora 27
170 00 Praha 7

Způsoby zpracování osobních údajů

Řízení rizik v oblasti zabezpečení informací
Společnost má zaveden formalizovaný program řízení podnikových rizik, jehož prostřednictvím lze identifikovat, analyzovat a hodnotit rizika a realizovat akční plány na zmírnění zjištěných rizik. Součástí řízení rizik zabezpečení informací ve společnosti je správa ohrožení zabezpečení, která zajišťuje, že nesprávné nastavení procesů, neaktualizované systémy nebo aplikace a jakékoli nedostatky budou efektivně odstraněny, sledovány a kontrolovány.

Organizace zabezpečení informací
Společnost pro zabezpečení informací vychází ze známých oborových norem a standardů upravujících kontrolní mechanismy zabezpečení informací, jako je například ISO 27002. Zaměstnanci jsou povinni chránit informace společnosti a veškeré údaje o partnerech nebo zákaznících. Dodavatelé společnosti a třetí osoby mají rovněž povinnost chránit informace společnosti a veškeré údaje o partnerech nebo zákaznících (což zahrnuje uplatňování konkrétních opatření na ochranu osobních údajů). Standard pro řízení přístupu třetích osob zavádí opatření, která minimalizují potenciální rizika spojená s přístupem třetích osob k informačním aktivům společnosti prostřednictvím systémů společnosti. Smlouvy s třetími osobami zahrnují povinnost oznamování porušení předpisů a právo k provedení auditu. Smlouvy s třetími osobami zahrnují požadavky na vlastnictví dat a vrácení nebo odstranění dat bezpečným způsobem po skončení platnosti smlouvy.

Zabezpečení v oblasti lidských zdrojů
V souladu s místními pracovněprávními předpisy jsou prováděny prověrky zaměstnanců a dodavatelů. Zaměstnanci, dodavatelé a třetí osoby mají v rámci pracovních podmínek povinnost zachovávání důvěrnosti. Zaměstnanci jsou povinni dodržovat zásady a standardy zabezpečení. Existují postupy pro zrušení jejich přístupu k sítím/aplikacím/systémům při ukončení spolupráce. Rovněž existují postupy zajišťující odebrání přístupu zaměstnancům k aplikacím/systémům při změně jejich pracovní pozice či odpovědnosti.

Správa řízení přístupu
Všem uživatelům je udělován přístup prostřednictvím jedinečného uživatelského účtu a povinných ověřovacích mechanismů. Oprávnění k uživatelským účtům a přístupová práva k datům jsou udělována v nezbytně nutném rozsahu na základě rolí, požadavků pracovních pozic. Uživatelská hesla musí splňovat určité požadavky na složitost tak, aby byla v souladu se zásadami pro hesla používaná pro zabezpečení informací.

Ochrana dat
Při interním i externím přenosu dat jsou využívány mechanismy na ochranu přenášených dat. U každého uživatelského zařízení a systému/úložiště služeb jsou využívány mechanismy na ochranu uložených dat, jako je šifrování celého disku, šifrování dat aplikací. Přístup k datům je standardně omezen a bude ověřen a povolen pouze prostřednictvím uživatelských účtů s řádně udělenými oprávněními.


SPOLUPRÁCE S DALŠÍMI STRANAMI PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Disponujeme seznamem společností, které provádí zpracování osobních údajů pro naši společnost, která je jejich správcem, zpracovatelem. Vedle tohoto předání jsou plněny povinnosti o informovanosti vůči státním úřadům. Seznam v případě potřeby předložíme v aktuálním znění.
Pověřenec pro ochranu osobních údajů: Ivan Fibír, MBA
mobil: (+420) 724 706 863, e-mail: ivan.fibir@whitecell.cz