POLITIKA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

1. Obecná ustanovení

1.1. Tento dokument definuje politiku ISTA Corporation s.r.o. IČ 248 30 933, DIČ CZ 248 30 933, se sídlem Praha 8, Pobřežní 370/4, PSČ 186 00, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 178360, (dále v textu „společnost“, „správce“ nebo „zpracovatel“) týkající se zpracování osobních údajů (dále jen „Politika“).
1.2. Tato Politika je využívána při zpracování osobních údajů v souvislosti s činností správce či zpracovatele v Evropské unii bez ohledu na to, zda ke zpracování dochází v Evropské unii či nikoli.
1.3. Politika je použita při zpracování osobních údajů zpracovávaných kompletně nebo částečně automatizovanými nástroji, ale i pro zpracování osobních údajů jinými neautomatizovanými prostředky, které jsou součástí systému záznamů nebo nedílnou součástí systému záznamů, s výjimkou případů uvedených v Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů ze dne 27. 4. 2016 (dále v textu jen „Nařízení GDPR“).
1.4. Tato Politika je veřejně dostupná a je zveřejněna na webových stránkách „https://tiandeprague.com“.
1.5. Politika je schválena nařízením Ředitele společnosti a je platná až do jejího zrušení nebo do nahrazení jiným obdobným interním dokumentem.
1.6. Místní předpisy a další dokumenty, upravující zpracování osobních údajů, jsou vypracovány s přihlédnutím k ustanovením této Politiky.
1.7. Veškeré otázky neupravené touto Politikou se budou řídit zákony Evropské unie.

2. Základní pojmy používané v Politice

2.1. V tomto dokumentu jsou používány následující pojmy:
- osobní údaje – veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“);
- identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
- subjekt osobních údajů – fyzická osoba, která je přímo nebo nepřímo identifikovaná nebo identifikovatelná za pomoci osobních údajů;
- zpracovatel – fyzická nebo právnická osoba, která zpracovává osobní údaje z pověření správce;
Zpracovatel - ISTA Corporation s.r.o.
Sídlo společnosti: Pobřežní 370/4, Karlín, 186 00 Praha 8
Korespondenční adresa: Pobřežní 370/4, Karlín, 186 00 Praha 8
E-mailová adresa: prague@tiande.eu
- dozorový úřad – označuje samostatný plnomocný státní orgán vytvořený v ČR;
- příjemce – fyzická nebo právnická osoba, mající dle dohod uzavřených se správcem právo získat přístup k osobním údajům bez rozdílu, zda se jedná o třetí osoby či nikoliv;
- zpracování osobních údajů – jakákoliv operace nebo soubor operací, které jsou uskutečňovány s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, včetně takových jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
- automatické zpracování osobních údajů – zpracování osobních údajů za pomoci prostředků počítačové techniky;
- šíření osobních údajů – činnost vedoucí ke zpřístupnění osobních údajů nedefinovanému okruhu osob;
- poskytování osobních údajů – činnost vedoucí ke zpřístupnění osobních údajů určité osobě nebo určitému okruhu osob;
- blokování osobních údajů – dočasné ukončení zpracování osobních údajů (s výjimkou případů, kdy je zpracování nezbytné pro upřesnění osobních údajů)
- zničení osobních údajů – činnost, v důsledku které se stává nemožné obnovit obsah osobních údajů v informačním systému osobních údajů a (nebo) v důsledku kterých jsou zničeny nosiče osobních údajů;
- pseudonymizace osobních údajů – činnost, v důsledku které nemohou být bez použití dodatečných informací osobní údaje přiřazeny konkrétnímu subjektu údajů;
- informační systém osobních údajů – soubor osobních údajů obsažených v databázích, technologií a technických prostředků zajišťujících jejich zpracování;
- přeshraniční zpracování osobních údajů – předání osobních údajů na území jiného státu orgánu tohoto státu, zahraniční fyzické či právnické osobě.

3. Základní práva a povinnosti subjektů osobních údajů

3.1. Subjekty osobních údajů mají právo:
- mít přístup k osobním údajům zdarma, s výjimkou případů stanovených právními předpisy ČR a Evropské unie;
- vyžadovat opravu, blokování a vymazání údajů (právo být zapomenut);
- omezit zpracování údajů;
- na přenositelnost údajů;
- vznést námitku proti zpracováním osobních údajů, včetně profilování;
- nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování údajů, s výjimkou situací, kdy je zpracování nezbytné pro uzavření či plnění dohody;
- podat stížnost pro činnost nebo nečinnost správce či zpracovatele kontrolnímu orgánu určenému pro ochranu práv subjektů osobních údajů nebo u příslušného soudu;
- chránit svá práva a oprávněné zájmy, včetně náhrady škody a (nebo) náhradu za morální újmu u příslušného soudu;
- získat informace týkající se zpracování osobních údajů, které se subjektu týkají, včetně: informace o účelu a postupu zpracování, plánované lhůty, po které budou osobní údaje uloženy, kontaktních údajů správce, příjemců nebo kategorií příjemců, kterým budou osobní údaje zpřístupněny, zejména příjemců ze třetích zemí nebo mezinárodních organizací, existence nebo neexistence rozhodnutí Evropské komise o dostatečnosti opatření, vhodných zárukách a prostředcích, za pomoci kterých je možné kopie osobních údajů získat, nebo informace, kde lze kopie osobních údajů získat, práva podat stížnost u dozorového úřadu, skutečnosti, že dochází k automatizovanému rozhodování, veškerých dostupných údajů o zdroji osobních údajů (pokud nejsou získány přímo od subjektu údajů), a dalších informací dle právní úpravy ČR a Evropské unie.
3.2. Subjekty osobních údajů jsou povinny:
- sdělovat přesné informace o sobě a poskytovat doklady, které obsahují osobní údaje, které jsou vyžadovány právní úpravou ČR a Evropské unie a místními požadavky správce v rozsahu nezbytném pro účely zpracování;
- informovat zpracovatele o upřesnění (aktualizaci, změně) svých osobních údajů;
- plnit další povinnosti stanovené právními předpisy ČR a Evropské unie.
3.3. Ve všech ostatních případech, které nejsou předmětem této Politiky, se postup pro realizaci práv subjektů ve vztahu k osobním údajům, jakož i podmínky pro omezení těchto práv, řídí Nařízením GDPR.

4. Základní práva a povinnosti správce

4.1. S přihlédnutím k současnému stavu rozvoje technologií, nákladům na realizaci, jakož i povaze, rozsahu, objemu, kontextu a účelu zpracování, ale i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, vznikajícím při zpracování osobních údajů, je správce povinen:
- zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s touto Politikou. Jako opatření mohou být přijímány pseudonymizace, minimalizace údajů, a těsné propojení potřebné ochrany, provádění zásad ochrany údajů a zpracování údajů v souladu s touto Politikou. Tato opatření mohou být podle potřeby revidována a aktualizována. Seznam těchto opatření je uveden v bodě 11.5 této Politiky;
- zavést vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné;
- podporovat uplatňování práv subjektu osobních údajů dle bodu 3.1. této Politiky, s výjimkou případů, kdy správce prokáže, že není schopen identifikovat tento subjekt osobních údajů;
- poskytnout informace o přijatých opatřeních na žádost subjektu údajů (zákonného zástupce subjektu osobních údajů) bez zbytečného odkladu a v každém případě do jednoho měsíce po obdržení takové žádosti, s výjimkou situací upravených v Nařízení GDPR;
- uchovávat záznamy o zpracování údajů, za které nese odpovědnost. Tento záznam musí obsahovat všechny následující informace:
a) jméno a údaje správce a případně správce, který jedná společně s ním (společný správce), zástupce správcem;
b) účel zpracování;
c) popis kategorií subjektů osobních údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou zveřejněny osobní údaje, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
e) předání osobních údajů do třetí země nebo mezinárodní organizaci, je-li to aplikováno, včetně informace o této třetí zemi nebo mezinárodní organizaci, a v případě osobních údajů nezbytných pro plnění dohody mezi subjektem osobních údajů a správcem, nebo nezbytných pro plnění předsmluvních opatření, uskutečňovaných na žádost subjektu osobních údajů, doklady o řádné ochraně těchto osobních údajů;
f) pokud možno, harmonogram lhůt pro výmaz různých kategorií osobních údajů;
g) obecný popis technických a organizačních bezpečnostních opatření stanovených Nařízením GDPR.
Doklady a záznamy, uvedené v tomto bodě, jsou uchovávány písemně, v to počítaje i elektronickou formu, a jsou k dispozici na žádost dozorových úřadů;
- bez zbytečného odkladu, pokud možno nejpozději 72 hodin poté, co zjistí, že došlo k úniku osobních údajů, oznámit takový únik osobních údajů příslušnému dozorovému úřadu, s výjimkou případů, kdy je nepravděpodobné, že by tento únik osobních údajů mohl ohrozit práva a svobody jednotlivců. Není-li únik oznámen dozorovému úřadu do 72 hodin, musí být v oznámení uvedeny příčiny zpoždění. Správce je povinen dokumentovat veškeré úniky osobních údajů, které obsahují skutečnosti o úniku osobních údajů, jejich důsledcích a opatřeních přijatých k odstranění následků. Taková dokumentace musí umožňovat dozorovému úřadu prověřit plnění tohoto bodu;
4.2. Správce má právo:
- svěřit zpracování osobních údajů jiné fyzické nebo právnické osobě se souhlasem subjektů osobních údajů na základě uzavřené smlouvy.
4.3. V případě, že dva nebo více správců společně určují účel a způsoby zpracování, jedná se o společné správce. Rozdělení jejich příslušných funkčních odpovědností za plnění povinností vyplývajících z této Politiky se provádí otevřeným (transparentním) způsobem. Taková dohoda musí jasně stanovit příslušné role a vztahy společných správců, jednajících v součinnosti ve vztahu k subjektům osobních údajů. Základní podmínky dohody by měly být přístupné subjektům osobních údajů. Bez ohledu na podmínky takové dohody může subjekt osobních údajů uplatňovat svá práva stanovená v této Politice vůči každému ze správců, jakož i proti každému ze správců.
4.4. Správce má další práva a povinnosti, v této Politice neuvedené, v souladu s právní úpravou ČR a Evropské unie.

5. Právní status zpracovatele

5.1. V případě, že zpracování je prováděno jménem správce, měl by správce používat pouze zpracovatele, kteří poskytují příslušné záruky uplatňování vhodných technických a organizačních opatření takovým způsobem, že zpracování splňuje požadavky této Politiky a zajišťuje ochranu práv subjektů osobních údajů.
5.2. Zpracovatel nebo jakákoli jiná osoba jednající jménem správce nebo zpracovatele, která má přístup k osobním údajům, smí zpracovávat tyto údaje pouze na základě příkazu správce, pokud to nevyžaduje právní úprava ČR nebo Evropské unie.
5.3. Zpracování údajů zpracovatelem musí být upraveno smlouvou nebo jiným právním aktem v souladu s právními předpisy ČR nebo Evropské unie, který je pro zpracovatele ve vztahu ke správci závazný, a který vymezuje předmět a lhůty, během nichž jsou údaje zpracovávány, povahu a účel zpracování, druhy osobních údajů a kategorie osobních údajů, jakož i povinnosti a práva správce. Požadavky na obsah takové dohody nebo jiného právního aktu jsou stanoveny v souladu s Nařízením GDPR. Smlouva nebo jiný právní akt specifikovaný v tomto ustanovení musí mít písemnou formu, v to počítaje i elektronickou formu.
5.4. Zpracovatel nesmí zapojovat jiného zpracovatele bez předchozího písemného zvláštního nebo obecného souhlasu správce. V případě obecného souhlasu je zpracovatel povinen informovat správce o jakýchkoli předpokládaných změnách týkajících se dalšího zapojení nebo výměny ostatních zpracovatelů, aby poskytl správci příležitost vyjádřit námitky proti takovým změnám.
5.5. V případech, kdy zpracovatel při zpracování údajů zapojuje dalšího zpracovatele z pověření správce, stejné povinnosti vyplývající ze smlouvy nebo jiného právního aktu mezi správcem a zpracovatelem, týkající se ochrany osobních údajů, plynou i pro dalšího zpracovatele, a to na základě smlouvy nebo jiného právního aktu dle právních předpisů Evropské unie nebo ČR, včetně povinnosti zajistit dodržování vhodných technických a organizačních opatření tak, aby zpracování osobních údajů odpovídalo požadavkům Nařízení GDPR. V případě, že jiný zpracovatel neplní své povinnosti týkající se ochrany údajů, je původní zpracovatel plně odpovědný správci za závazky tohoto dalšího zpracovatele.
5.6. Zpracovatel zpracovávající osobní údaje v závislosti na účelu zpracování uvedeném v bodě 6 této Politiky má právo:
- přijímat dokumenty obsahující osobní údaje.
5.7. Zpracovatel zpracovávající osobní údaje v závislosti na účelu zpracování uvedeném v bodě 6 této Politiky má povinnost:
- zpracovávat osobní údaje obdržené v souladu s postupy stanovenými zákonem;
- poskytnout subjektu osobních údajů (zákonnému zástupci subjektu osobních údajů) možnost volného přístupu ke zpracovávaným osobním údajům o jeho osobě;
- přijímat opatření se souhlasem správce k upřesnění, výmazu osobních údajů subjektu osobních údajů v souvislosti s jeho zákonnými a oprávněnými požadavky (či požadavky jeho zákonného zástupce);
- neprodleně informovat správce, pokud podle něj instrukce porušují Nařízení GDPR nebo jiná ustanovení na ochranu údajů Evropské unie nebo ČR;
- zajistit, aby se osoby oprávněné ke zpracovávání osobních údajů zavázaly k diskrétnosti;
- napomáhat správci vhodnými technickými a organizačními opatřeními v rozsahu, v jakém je to možné, plnit povinnosti správce, odpovídat na žádosti o uplatnění práv subjektu údajů, po dokončení poskytování služeb souvisejících se zpracováním podle uvážení správce vymazat nebo vrátit veškeré osobní údaje správci, a také odstranit existující kopie, kromě případů, ve kterých právní úprava Evropské unie nebo ČR vyžaduje jejich uchovávání;
- zpřístupnit správci veškeré informace nezbytné k potvrzení plnění svých povinností, jakož i umožnit a přispět k provedení auditů, včetně inspekcí, prováděných správcem nebo jiným auditorem, kterého správce pověřil;
- vést záznamy o všech kategoriích zpracovávaných údajů, prováděných jménem správce, obsahující:
(a) název a údaje zpracovatele a případně zpracovatele, který jedná s ním (společný zpracovatel), pokud existuje, zástupce zpracovatel;
(b) účel zpracování;
(c) popis kategorií subjektů osobních údajů a kategorií osobních údajů;
(d) kategorie příjemců, kterým byly nebo budou zveřejněny osobní údaje, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
(e) předání osobních údajů do třetí země nebo mezinárodní organizaci, je-li to aplikováno, včetně informace o této třetí zemi nebo mezinárodní organizaci, a v případě osobních údajů nezbytných pro plnění dohody mezi subjektem osobních údajů a správcem, nebo nezbytných pro plnění předsmluvních opatření, uskutečňovaných na žádost subjektu osobních údajů, doklady o řádné ochraně těchto osobních údajů;
(f) pokud možno, harmonogram lhůt pro výmaz různých kategorií osobních údajů;
(g) obecný popis technických a organizačních bezpečnostních opatření stanovených Nařízením GDPR.
Doklady a záznamy, uvedené v tomto bodě, jsou uchovávány písemně, v to počítaje i elektronickou formu, a jsou k dispozici na žádost dozorových úřadů;
5.8. Zpracovatel má další práva a povinnosti neuvedené v této Politice, v souladu s právními předpisy ČR a Evropské unie.

6. Účel získávání osobních údajů

6. Účel získávání osobních údajů
6.1. Zpracování osobních údajů v souladu s touto Politikou je prováděno pro následující účely:
- zajištění souladu s právními předpisy ČR a Evropské unie;
- výkon soudních úkonů, úkonů jiných orgánů nebo úředníků podléhajících výkonu v souladu s právními předpisy ČR a Evropské unie;
- poskytování služeb subjektu osobních údajů, plnění objednávek, poskytnutí možnosti využití služeb, provádění reklamních kampaní, poskytování cílené reklamy a služeb;
- provádění statistických studií a analýz statistických údajů;
- umožňování účasti v pobídkových akcích, soutěžích a podobných akcích;
- vedení osobních záznamů a záležitostí pracovníků;
- poskytování dovolené zaměstnancům a vysílání zaměstnanců na služební cesty;
- organizace a realizace odměňování zaměstnanců;
- žádosti o zahraniční pasy a víza, jakož i zdravotního pojištění pro cestující do zahraničí;
- organizace individuální (personalizované) registrace zaměstnanců v systému povinného důchodového pojištění;
- vyplnění a předkládání různých požadovaných výkazů výkonným orgánům a jiným oprávněným organizacím;
- příprava, uzavírání, provádění a ukončování občanskoprávních smluv.

7. Právní základ zpracování osobních údajů

7.1. Právním základem pro zpracování osobních údajů je soubor normativních právních aktů, dle kterých a v souladu s nimiž zpracovatel uskutečňuje zpracování osobních údajů, včetně:
- právních předpisů ČR;
- Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů ze dne 27. 4. 2016;
- dalších právních předpisů Evropské unie.
7.2. Zejména v souladu s účely definovanými v článku 6 této Politiky jsou důvody zákonného zpracování osobních údajů subjektů, bez ohledu na způsob získání těchto údajů, následující:
- subjekt souhlasil se zpracováním vlastních osobních údajů pro jeden nebo více konkrétních účelů;
- zpracování je nezbytné pro plnění smlouvy, ve které je subjekt osobních údajů jednou ze stran, nebo na jeho žádost pro přijetí opatření před uzavřením smlouvy.

8. Objem a kategorie zpracovávaných osobních údajů, kategorie subjektů osobních údajů

8.1. V závislosti na účelu stanoveném v článku 6 této Politiky mohou být zpracovávány osobní údaje následujících kategorií subjektů:
8.1.1. Uživatelé stránek „https://tiande.eu“, kteří se registrovali či provedli nákup zboží:
- příjmení, jméno, jméno po otci;
- rok a místo narození;
- kontaktní informace.
8.1.2. Žadatelé o pracovní pozici v organizaci správce:
- příjmení, jméno, jméno po otci;
- pohlaví;
- věk;
- vzdělávání, kvalifikace, pracovní zkušenosti a informace o dalším vzdělávání.
8.1.3. Zaměstnanci správce:
- příjmení, jméno, jméno po otci;
- pohlaví;
- věk;
- vzhled (fotografie);
- údaje o dokladu totožnosti;
- trvalý pobyt a kontaktní adresa;
- identifikační číslo osoby (IČO);
- rodné číslo;
- vzdělání, kvalifikace, pracovní zkušenosti a informace o dalším vzdělávání;
- rodinný stav vč. případných dětí, rodinné vazby;
- informace o pracovní činnosti, včetně pobídek, odměn a / nebo disciplinárních pokut;
- údaje o registraci manželství;
- vojenské záznamy;
- informace o zdravotním postižení;
- informace o srážkách na výživné;
- informace o příjmech z předchozího pracoviště;
- další osobní údaje poskytované zaměstnanci v souladu s požadavky pracovněprávních předpisů ČR a Evropské unie.
8.2. Zpracování biometrických osobních údajů (informace charakterizující fyziologické a biologické charakteristiky osoby, na jejichž základě je možné určit její totožnost) je prováděno v souladu se zákony ČR a Evropské unie.
8.3. Zpracovatel nezpracovává osobní údaje zvláštních kategorií týkajících se rasy, národnosti, politických názorů, náboženských nebo filozofických přesvědčení, zdravotního stavu, intimního života či údajů z trestního rejstříku.

9. Postup a obecné podmínky zpracování osobních údajů

9.1. Zpracování osobních údajů se provádí se souhlasem subjektu osobních údajů, pokud právní předpisy ČR a Evropské unie nestanoví jinak.
9.2. Zpracování osobních údajů lze provádět pomocí počítačové techniky (automatizované zpracování) nebo s přímou účastí osoby bez použití počítačové techniky (neautomatizované zpracování).
9.3. Zpracování osobních údajů je povoleno pouze těm zaměstnancům správce, kteří mají zpracování osobních údajů v popisu činnosti práce. Tito zaměstnanci mají právo obdržet pouze ty osobní údaje, které nezbytně potřebují k plnění svých pracovních povinností.
9.4. Zpracování osobních údajů je prováděno způsobem:
- získávání informací obsahujících osobní údaje v ústní, písemné a elektronické podobě přímo od subjektů osobních údajů;
- poskytnutí originálů požadovaných dokumentů přímo subjekty osobních údajů;
- získávání ověřených kopií dokumentů obsahujících osobní údaje nebo kopírování originálních dokumentů;
- získávání osobních údajů při zasílání dotazů státním orgánům, orgánům místní samosprávy, obchodním a neziskovým organizacím, fyzickým osobám, v případech a v souladu s postupem stanoveným právními předpisy ČR a Evropské unie;
- získávání osobních údajů z veřejných zdrojů;
- záznamů (registrací) osobních údajů v časopisech, knihách, rejstřících a jiných záznamech;
- použití jiných prostředků a metod získávání osobních údajů.
9.5. Lhůty trvání zpracování osobních dat trvají do odvolání souhlasu subjektu osobních údajů, a také po dobu nutnou pro účely, pro které jsou osobní údaje zpracovávány. Po dosažení účelu zpracování osobních údajů, jakož i v případě odvolání souhlasu subjektu osobních údajů se zpracováním svých osobních údajů, podléhají osobní údaje výmazu, pokud není ve smlouvě mezi správcem a subjektem osobních údajů, jakož i právními předpisy ČR a Evropské unie, stanoveno jinak.
9.6. Předávání osobních údajů třetím stranám (včetně přeshraničního předávání) je možná s písemným souhlasem subjektu osobních údajů, s výjimkou případů, kdy je to nezbytné z důvodu zabránění ohrožení života a zdraví subjektů osobních údajů, jakož i v dalších případech stanovených právními předpisy ČR a Evropské unie. Při předávání osobních údajů třetím osobám v souladu s uzavřenými dohodami jsou dodržovány povinnosti stanovené právními předpisy ČR a Evropské unie v oblasti osobních údajů. Předávání osobních údajů pověřeným státním orgánům a orgánům místní samosprávy probíhá v souladu s požadavky právní úpravy ČR a Evropské unie v oblasti osobních údajů. Jakékoliv předání osobních údajů, které byly zpracovány nebo jsou určeny ke zpracování poté, co budou předány třetí straně nebo mezinárodní organizaci, by mělo být uskutečněno pouze v případě, pokud to právní úprava ČR a Evropské unie povoluje, a za předpokladu splnění zákonných požadavků správcem i zpracovatelem. Všechna ustanovení Nařízení GDPR, která upravují takové předávání osobních údajů, musejí být použita takovým způsobem, aby byla zajištěna úroveň ochrany zaručená Nařízením GDPR.
9.7. Pro získání doplňujících informací o pravidlech zpracování osobních údajů v souladu s touto Politikou je možné se obracet na e-mailovou adresu: prague@tiande.eu

10. Postup poskytování informací a zodpovídání otázek týkajících se zpracování osobních údajů subjektů

10.1. Informace o zpracování osobních údajů subjektu se poskytují subjektu osobních údajů nebo jeho zástupci po obdržení žádosti subjektu nebo jeho zástupce správcem nebo zpracovatelem.
10.2. Žádost musí obsahovat údaje umožňující správci identifikovat subjekt osobních údajů: údaje průkazu totožnosti subjektu údajů nebo jeho zástupce, informace potvrzující vztah subjektu osobních údajů ke správci (číslo smlouvy, datum uzavření smlouvy, podmíněné slovní označení a (nebo) další informace), nebo informace jiným způsobem potvrzující skutečnost zpracování osobních údajů, podpis (včetně elektronického) subjektu osobních údajů nebo jeho zástupce. Žádost může být zaslána ve formě elektronického dokumentu podepsaného elektronickým podpisem v souladu s právními předpisy ČR nebo Evropské unie.
10.3. Nejpozději do jednoho měsíce od obdržení žádosti subjektu osobních údajů, týkající se vlastních práv uvedených v bodě 3 této Politiky, správcem, s výjimkou lhůt, které stanoví Nařízení GDPR, je správce povinen poskytnout relevantní informace o opatřeních přijatých v souvislosti s požadavkem, a také přijmout přiměřená opatření a informovat třetí osoby, jimž byly předány osobní údaje tohoto subjektu.
10.4. Informace poskytnuté správcem a jiné zprávy týkající se zpracování osobních údajů, jsou poskytovány ve stručné, otevřené, srozumitelné a snadno přístupné formě jasným a srozumitelným jazykem. Informace jsou poskytovány písemně nebo jinými prostředky, v to počítaje i elektronickou formu. Pokud subjekt údajů podává žádost elektronicky, informace bude poskytnuta podle možností elektronicky, pokud subjekt údajů nevyžaduje jiný způsob získání informací. Na žádost subjektu osobních údajů lze informace poskytnout ústně, pokud je identifikace subjektu údajů potvrzena jinými prostředky.
10.5. V případě, že správce nepřijal opatření na žádost subjektu údajů, musí správce neprodleně a nejpozději v průběhu 30 dnů od obdržení této žádosti informovat subjekt údajů o příčinách nepřijetí opatření, stejně tak jako o možnosti podat stížnost dozorovému úřadu a o možnosti soudních opravných prostředků. V případě, že žádosti subjektu údajů zjevně nejsou opodstatněné nebo jsou přílišné, zejména z důvodu jejich opakujícího se charakteru, může správce buď:
(a) účtovat přiměřený poplatek s přihlédnutím k administrativním nákladům na poskytování informací nebo k provedení požadované akce; nebo
(b) odmítnout konat v souvislosti s touto žádostí.
Právo subjektu osobních údajů na přístup k jeho osobním údajům, může být omezeno v souladu s právními předpisy ČR a Evropské unie, včetně případů, kdy přístup k osobním údajům subjektu porušuje práva a oprávněné zájmy třetích stran.
10.6. V případě přijetí žádosti subjektu osobních údajů o výmaz osobních údajů je správce povinen bez zbytečného odkladu vymazat osobní údaje a zajistit zastavení jejich zpracovávání (pokud je zpracování osobních údajů prováděno jinou osobou), existuje-li jeden z následujících důvodů: odvolání souhlasu subjektu osobních údajů se zpracováním osobních údajů, uchovávání osobních údajů není za účelem zpracování osobních údajů více nezbytné, údaje byly zpracovávány nelegálně nebo musí být odstraněny v souladu se zákony ČR a Evropské unie, vymaže osobní údaje nebo zajistí jejich výmaz (pokud zpracování osobních údajů zajišťuje jiná osoba jednající jménem správce) do lhůty nepřesahující jeden měsíc ode dne obdržení uvedeného odstoupení, pokud právní předpisy ČR a Evropské unie nestanoví jinak.
10.7. Žádosti a další zprávy týkající se zpracování osobních údajů je možné zasílat na e- mailovou adresu: prague@tiande.eu otevřenou formou, avšak s dodržováním požadavků na takové žádosti uvedených v článku 10.2. této Politiky.

11. Požadavky na ochranu osobních údajů

11.1 Bezpečnost osobních údajů je při jejich zpracování dodržována v souladu s právní úpravou ČR a Evropské unie.
11.2. Správce provádí nezbytná organizační a technická opatření k ochraně osobních údajů před náhodným nebo neoprávněným přístupem, zničením, úpravou, blokováním přístupu a dalšími neoprávněnými činnostmi.
11.3. Od okamžiku, kdy tato Politika nabude účinnosti, bude správce zavádět a aplikovat bezpečnostní opatření uvedená v tomto bodě. Správce může tyto bezpečnostní opatření aktualizovat nebo měnit, pokud takové aktualizace a úpravy celkově nepovedou ke zhoršení bezpečnosti zpracování osobních údajů.
11.4. Přesto správce nemůže zaručit, že bezpečnostní opatření přijatá pro ochranu dat a informací poskytnutých automatizovaným způsobem, zabrání nebo vyloučí jakékoliv riziko neoprávněného přístupu nebo ztráty dat v případě, že únik osobních údajů byl způsoben vinou činnosti jejich vlastníka. Je účelné, aby byl počítač subjektu osobních údajů vybaven odpovídajícím softwarem pro ochranu dat při jejich předávání, příjem síťových dat (jako jsou aktualizované antivirové systémy), a aby poskytovatel internetových služeb přijal příslušná opatření k zajištění bezpečnosti přenosu síťových dat (například firewall a filtrování nevyžádané pošty).
11.5. Ochranná opatření, která provádí správce při zpracování osobních údajů, zahrnují: - přijímání místních zákonů a jiných vnitřních dokumentů v oblasti zpracování a ochrany osobních údajů;
- zajištění bezpečnosti zpracovatelů, dílčích zpracovatelů před zahájením zpracovávání, jakož i v procesu zpracování zcela nebo zčásti prováděného automatizovaným způsobem, prostřednictvím auditu jejich bezpečnosti a důvěrnosti v závislosti na úrovni potřebné při zpracování;
- jmenování osob odpovědných za zajištění bezpečnosti osobních údajů;
- provádění metodické práce a zajištění proškolení zaměstnanců zabývajících se zpracováním osobních údajů;
- kontrola vytvoření nezbytných podmínek pro práci s materiálními nosiči a informačními systémy, v nichž jsou zpracovávány osobní údaje, jakož i podmínek jejich uchování a ukládání zpracovatelem, zajištění bezpečnosti osobních údajů a vyloučení neoprávněného přístupu k nim;
- oddělení osobních údajů zpracovávaných bez použití automatizovaných nástrojů od jiných informací;
- zajištění odděleného skladování materiálních nosičů osobních údajů obsahujících osobní údaje různých kategorií nebo obsahující osobní údaje zpracovávané pro různé účely;
- zákaz přenosu osobních údajů prostřednictvím otevřených komunikačních kanálů, počítačových sítí a internetu bez použití opatření k zajištění bezpečnosti osobních údajů;
- zajištění ochrany dokumentů obsahujících osobní údaje na papírových a jiných materiálních nosičích při jejich předávání třetím stranám prostřednictvím poštovních služeb;
- vnitřní kontrola všech subjektů zapojených do zpracování osobních údajů a jejich dodržování právních předpisů ČR a Evropské unie a místních dokumentů správce při zpracování osobních údajů, včetně této Politiky.

12. Odpovědnost za porušení postupu při zpracování osobních údajů subjektů

12.1. Každý správce podílející se na zpracování osobních údajů je odpovědný za škody způsobené zpracováním údajů, které vznikly porušením zákonů ČR a Evropské unie. Zpracovatel nese odpovědnost za škodu způsobenou zpracováním údajů pouze v případě, že nesplnil povinnosti vyplývající z této Politiky, které jsou výslovně určeny zpracovatelům, nebo pokud jednal mimo meze nebo v rozporu se zákonnými nařízeními správce.
12.2. Obecné podmínky pro uložení správních pokut a jejich výše jsou stanoveny v souladu s právními předpisy ČR a Evropské unie.