Shrnutí
Tato Politika ochrany osobních údajů skupiny CPI (“Politika ochrany osobních údajů”) stanovuje pravidla ochrany osobních údajů ve skupině CPI PROPERTY GROUP a jejích spřízněných společnostech (“společnosti CPIPG”) včetně souvisejících povinností společností CPIPG. Politika ochrany osobních údajů odráží pravidla ochrany osobních údajů vyžadované GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.
Společnosti CPIPG berou ochranu osobních údajů vážně a s osobními údaji při výkonu své podnikatelské činnosti nakládají s dostatečnou opatrností a odpovědností. Porušení zabezpečení osobních údajů může mít vážné právní a ekonomické důsledky pro společnosti CPIPG, jejich zaměstnance a subjekty údajů, a rovněž může poškodit dobrou pověst společností CPIPG. Implementací Politiky ochrany osobních údajů napříč společnostmi CPIPG budou minimalizována rizika porušení zabezpečení osobních údajů i rizika z něj vyplývající.
Rozsah
Tato Politika ochrany osobních údajů je závazná pro společnosti CPIPG a jejich zaměstnance. Týká se veškerého zpracování osobních údajů, na které se vztahuje GDPR a národní legislativa členských států.
1. Postupy a kompetence
Následující odstavce popisují postupy, které společnosti CPIPG dodržují při zpracování osobních údajů. Dále obsahují stručný popis rozdělení kompetencí a klíčových rolí ve společnostech CPIPG v oblasti zpracování osobních údajů.
1.1 Všeobecné povinnosti
Společnosti CPIPG zavedly a budou nadále zavádět vhodná technická a organizační opatření, která zajistí ochranu osobních údajů před jejich zneužitím, ztrátou či poškozením, a budou s údaji zacházet v souladu s GDPR a národní legislativou členských států v oblasti ochrany osobních údajů. Ochrana osobních údajů se vztahuje na zpracování osobních údajů partnerů a zaměstnanců společností CPIPG, jejich rodinných příslušníků, uchazečů o zaměstnání, zákazníků a dalších fyzických osob, jejichž osobní údaje jsou zpracovávány společnostmi CPIPG.
1.2 Základní zásady ochrany osobních údajů
Společnosti CPIPG při zpracování osobních údajů respektují základní zásady stanovené v GDPR. Příslušné základní zásady jsou uvedeny níže:
- Zásada zákonnosti – před zpracováním osobních údajů musí být stanoven alespoň jeden právní základ zpracování
- Zásada účelového omezení – zpracování osobních údajů pouze za předem stanoveným účelem
- Zásada minimalizace údajů – zpracování pouze osobních údajů nutných, relevantních a přiměřených danému legitimnímu účelu
- Zásada korektnosti a transparentnosti – otevřenost a transparentnost zpracování vůči subjektům údajů
- Zásada integrity a důvěrnosti, aplikace principu přístupu pouze k nezbytným informacím – implementace nutných organizačních a technických opatření za účelem zajištění omezení přístupu k osobním údajům, aby nemohlo docházet k jejich neoprávněnému nebo protiprávnímu zpracování
- Zásada přesnosti – zpracování přesných a aktuálních osobních údajů
- Režim kontrolovaného řízení změn – změna současného systému zpracování na nový způsob podléhá zvážení pověřencem pro ochranu osobních údajů („pověřenec“) nebo správcem, a případné následné přípravě posouzení vlivu na ochranu osobních údajů
- Definice rolí osob zúčastněných na ochraně osobních údajů ve společnostech CPIPG
1.3 Právní základy zpracování a účely zpracování osobních údajů
Zpracování osobních údajů je vždy založeno na právních základech zpracování, mezi které patří souhlas se zpracováním osobních údajů, splnění právní povinnosti, splnění smlouvy, oprávněný zájem, veřejný zájem nebo ochrana zájmů subjektu údajů.
1.4 Zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se trestních věcí
Zvláštní kategorie osobních údajů a osobní údaje týkající se trestních věcí jsou obzvláště citlivé, a tudíž se na ně vztahuje vysoký stupeň ochrany. Jakékoli zpracování zvláštních kategorií osobních údajů je konzultováno s pověřencem.
1.5 Předávání osobních údajů
Společnosti CPIPG mohou osobní data zpřístupnit třetím stranám (včetně předávání osobních údajů v rámci skupiny) pouze za určitých podmínek. Osobní údaje mohou být zpřístupněny třetí straně v postavení zpracovatele na základě smlouvy o zpracování osobních údajů. Osobní údaje mohou být rovněž zpřístupněny jiné třetí straně v postavení správce nebo společného správce na základě příslušných smluvních ujednání.
V případě požadavků na opravu nebo výmaz osobních údajů nebo omezení zpracování, informují společnosti CPIPG za určitých podmínek příslušné třetí strany, jimž byly osobní údaje zpřístupněny, s výjimkou situací, kdy takové informování není proveditelné nebo vyžaduje nepřiměřené úsilí. Společnosti CPIPG informují subjekt údajů o třetích stranách, jimž byly dotčené osobní údaje zpřístupněny, pouze na žádost subjektu údajů.
Za určitých podmínek mohou společnosti CPIPG osobní údaje předávat také do třetích zemí mimo EHP nebo Evropskou unii nebo mezinárodním organizacím. Při posuzování zákonných podmínek, za nichž je možné předání osobních údajů do třetích zemí nebo mezinárodním organizacím, se společnosti CPIPG radí s pověřencem.
1.6 Práva subjektů údajů
Společnosti CPIPG podnikají všechny kroky nutné k tomu, aby subjekty údajů mohly vykonávat svá práva stanovená GDPR. Ve vztahu ke zpracování osobních údajů patří mezi práva subjektů údajů právo na přístup k osobním údajům, právo na opravu, omezení zpracování, přenositelnost nebo výmaz osobních údajů, právo vznést námitku proti zpracování osobních údajů a právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů.
Subjekty údajů mohou uplatnění svých práv požadovat prostřednictvím písemné nebo ústní žádosti. Za účelem zajištění dostatečné ochrany osobních údajů zpracovávaných společnostmi CPIPG a s cílem předcházet zneužití osobních údajů přijaly společnosti CPIPG níže uvedená pravidla pro ověření totožnosti subjektů údajů.
Písemné žádosti
Pro písemnou žádost o uplatnění určitého práva subjekt údajů vyplní formulář žádosti, který tvoří přílohu této Politiky ochrany osobních údajů, ke stažení je zde. Podpis subjektu údajů na formuláři musí být úředně ověřený. V závislosti na místním právu může být podpis ověřen např. v notářské kanceláři, na poště, v advokátní kanceláři, na konzulátu či na obecním / krajském úřadě. Podpis musí být úředně ověřen v zemi, ve které je žádost dané společnosti CPIPG podána osobně na adrese sídla příslušné společnosti CPIPG, nebo ze které byla žádost odeslána poštou prostřednictvím poskytovatele poštovních služeb nebo ověřenými elektronickými prostředky (např. datové schránky v České republice). Zejména v případě, že subjekt údajů odešle žádost poštou prostřednictvím poskytovatele poštovních služeb ze zemí mimo Evropský hospodářský prostor nebo Evropskou Unii, může být příslušnou společností CPIPG kontaktován za účelem dalšího ověření jeho totožnosti.
Ústní žádosti
Uplatnění určitého práva mohou subjekty údajů požadovat také osobně na adrese sídla příslušné společnosti CPIPG. Vaše totožnost bude ověřena pověřeným zaměstnancem (např. na recepci) na základě předložení jednoho z následujících dokumentů: občanského průkazu, cestovního pasu nebo dalšího dokumentu s fotografií dostatečně způsobilou k tomu, aby umožnila Vaši jasnou identifikaci.
Výkonem práv subjektů údajů nesmí být dotčena práva třetích osob. V případě, že žádosti subjektů údajů budou zjevně neopodstatněné nebo nepřiměřené, zejména z důvodu jejich opakující se povahy, mohou společnosti CPIPG pro zodpovězení žádosti požadovat přiměřený poplatek nepřekračující nezbytné náklady na poskytnutí informací uvedených výše nebo na zajištění uplatnění práv subjektů údajů.
Společnosti CPIPG zajišťují dostatečnou komunikaci a spolupráci tak, aby byly všechny přijaté žádosti zpracovány v přiměřené době. Společnosti CPIPG úzce spolupracují na tom, aby danému subjektu údajů poskytly odpověď v předepsané lhůtě.
1.7 Role a povinnosti
Společnosti CPIPG a jejich statutární orgány jsou odpovědné za zajištění souladu s GDPR a příslušnou národní legislativou členských států v oblasti ochrany osobních údajů.
1.8 Pověřenec pro ochranu osobních údajů a zástupce v EU
Společnosti CPIPG se sídlem v EU uvedené v příloze jmenovaly pověřence s funkční a organizační odpovědností za soulad s právními předpisy a interními předpisy společností CPIPG v oblasti ochrany osobních údajů.
Pověřence je možné kontaktovat e-mailem dpo@cpipg.com nebo poštou na adrese Vladislavova 1390/17, 110 00 Praha 1, Česká republika.
Společnosti CPIPG se sídlem mimo EU uvedené v příloze jmenovaly v souladu s čl. 27 GDPR zástupce s odpovědností za soulad s právními předpisy v oblasti ochrany osobních údajů. Zástupcem byla jmenována společnost Vilanel, a.s., se sídlem Vladislavova 1390/17, Praha 1, Česká republika, zapsaná u Městského soudu v Praze, sp. zn. B 13297, IČ: 28211367. Zástupce je možné kontaktovat na e-mailové adrese: representative@vilanel.cz nebo poštou na výše uvedené adrese. Více informací o zástupci naleznete zde.
1.9 Povinnosti vlastníků údajů a všech zaměstnanců
Všichni vlastníci údajů v rámci společností CPIPG a všichni zaměstnanci mají povinnost osobní údaje zpracovávat v souladu s interními předpisy společností CPIPG, GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.
1.10 Ohlašování případů porušení zabezpečení osobních údajů
Společnosti CPIPG oznamují domnělé porušení zabezpečení osobních údajů příslušnému pověřenci/zástupci EU okamžitě, v každém případě nejpozději do 24 hodin. Pokud porušení zabezpečení osobních údajů splňuje požadavky na ohlášení příslušnému dozorovému úřadu a/nebo subjektům údajů, pověřenec/zástupce EU tuto povinnost splní do 72 hodin od porušení zabezpečení osobních údajů.
1.11 Výmaz osobních údajů
Společnosti CPIPG zpracovávají osobní údaje pouze po nezbytnou dobu. Za následujících okolností se osobní údaje vymazávají nebo anonymizují:
- Zánik účelu zpracování osobních údajů, aniž by pro dané osobní údaje existoval jiný účel zpracování
- Osobní údaje již nejsou potřeba pro účely, pro které byly zpracovávány, odvolání souhlasu subjektu údajů, aniž by pro dané osobní údaje existoval jiný právní základ zpracování
- Námitka subjektu údajů proti zpracování, aniž by existovaly jiné převažující oprávněné důvody
- Protiprávní zpracování osobních údajů
Společnosti CPIPG při výmazu a anonymizaci kladou důraz na dodržování nezbytných bezpečnostních opatření.
1.12 Správa dokumentů
Společnosti CPIPG nakládají s dokumenty v souladu s GDPR. Pravidla pro přijímání, evidování, oběh, ukládání a vyřazení (skartaci) dokumentů ve společnostech CPIPG jsou zakotvena v platných skartačních řádech společností CPIPG.
Po ukončení archivační doby jsou dokumenty vyřazeny v souladu s nastaveným skartačním řízením, a to s prokazatelným záznamem (schválení vlastníkem dokumentů; schválení příslušného státního oblastního archivu; potvrzení o skartaci).
1.13 Zveřejňování osobních údajů ve veřejných médiích a na intranetu
Společnosti CPIPG mohou osobní údaje zveřejnit na intranetu, internetu nebo v jakémkoli jiném médiu pouze se souhlasem dotčeného subjektu údajů, pokud v konkrétním případě neexistuje jiný právní základ zpracování.
1.14 Informace o zpracování osobních údajů
Pokud společnosti CPIPG získávají osobní údaje týkající se subjektů údajů přímo od těchto subjektů údajů, jsou těmto subjektům informace o zpracování jejich osobních údajů poskytnuty v okamžiku získání osobních údajů. Pokud osobní údaje nejsou získány přímo od subjektů údajů, jsou jim informace o zpracování poskytnuty následně, většinou při první komunikaci s daným subjektem.
Informace o vybraných zpracováních osobních údajů, v případech, kdy není možné informace o zpracování poskytnout subjektům údajů při jejich získání, jsou dostupná zde: Informace o vybraných zpracováních osobních údajů.
2. Základní termíny/zkratky
Subjekt údajů
Identifikovaná nebo identifikovatelná fyzická osoba, jejíž osobní údaje se zpracovávají; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Správce údajů
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
Zpracovatel
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Osobní údaje
Veškeré informace o identifikované nebo identifikovatelné fyzické osobě.
Zvláštní kategorie osobních údajů
Osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Národní legislativa členských států v oblasti ochrany osobních údajů
Legislativa v oblasti ochrany osobních údajů přijatá členskými státy v souladu s GDPR.
GDPR
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Zpracování osobních údajů
Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Pověřenec
Pověřenec pro ochranu osobních údajů (DPO).
Zástupce v EU
Fyzická nebo právnická osoba usazená v EU, jmenovaná písemně správcem nebo zpracovatelem podle článku 27 GDPR, zastupuje správce nebo zpracovatele při plnění příslušných povinností podle GDPR.
Anonymizované informace
Informace, které se netýkají identifikované či identifikovatelné fyzické osoby, včetně osobních údajů anonymizovaných tak, že subjekt údajů není nebo již přestal být identifikovatelným.
Třetí strana
Jakákoli právnická nebo fyzická osoba, která není zaměstnancem společnosti, s výjimkou subjektů údajů.
Souhlas
Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Příloha č. 1 – Seznam společností CPIPG, které jmenovaly pověřence
Seznam společností CPIPG, které jmenovaly pověřence
Příloha č. 2 – Seznam společností CPIPG se sídlem mimo EU, které jmenovaly zástupce v EU
Seznam společností CPIPG se sídlem mimo EU, které jmenovaly zástupce v EU
Příloha č. 3 – Vzor žádosti
Žádost o uplatnění práva subjektu údajů podle GDPR (Obecné nařízení o ochraně osobních údajů)
Poučení pro žadatele
- Prosím vyplňte čitelně.
- Nesprávné, nečitelné nebo neúplné údaje mohou způsobit zamítnutí nebo chybné vyřízení žádosti.
- Není možné vyhovět žádosti, pokud není možné subjekt údajů jednoznačně identifikovat a jeho totožnost ověřit jedním z následujících způsobů:
- úředně ověřeným podpisem žádosti při zaslání poštou v listinné podobě
- prokázáním se platným dokladem totožnosti (občanským průkazem, cestovním pasem, povolením k pobytu) při osobním podání žádosti
- zasláním žádosti elektronicky datovou schránkou fyzické osoby, která je subjektem údajů
- Žádost je možné zaslat poštou na adresu sídla společnosti, které je žádost adresována, nebo podat osobně na příslušné adrese sídla v běžných pracovních hodinách.
- Vaši žádost označte vždy jako "GDPR žádost" (na obálce u adresy; u datové schránky v popisu); neuvedení může způsobit prodloužení vyřízení žádosti.
- Pokud je subjekt údajů zastupován, je vyžadován doklad potvrzující, že je zákonný zástupce / zmocněnec oprávněn jednat jménem subjektu údajů.
- Email na žádosti je nepovinný a slouží ke zpřesnění dohledání subjektu údajů, nemusíte jej tedy uvádět.
Máte-li pochybnost či dotaz ke způsobu podání žádosti, můžete nás kontaktovat emailem na adrese dpo@cpipg.com (DPO) / representative@vilanel.cz (zástupce v EU). Upozorňujeme, že přijímání žádosti prostřednictvím elektronické pošty - e-mailu není garantovaným způsobem komunikace a eho bezpečnost, původ ani spolehlivé doručení nelze zajistit.