1. ÚVODNÍ USTANOVENÍ A VYMEZENÍ POJMŮ

1.1. Tento dokument poskytuje subjektům údajů informace o zásadách, postupech a právech při zpracování jejich osobních údajů společností Living Czech s.r.o. (dále jen „Správce“), v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, obecným nařízením o ochraně osobních údajů (GDPR), a zákonem č. 110/2019 Sb., o zpracování osobních údajů.

1.2. Správce přistupuje k ochraně osobních údajů s nejvyšší odpovědností a zavazuje se zpracovávat osobní údaje v souladu s platnými právními předpisy a osvědčenými bezpečnostními standardy.

1.3. Cílem tohoto dokumentu je transparentně informovat, jaké osobní údaje jsou zpracovávány, za jakým účelem, na jakém právním základě, komu mohou být předány, jak dlouho jsou uchovávány, jak jsou zabezpečeny a jaká práva mají subjekty údajů.

1.4. Kontaktní údaje Správce:

• Správce: Living Czech s.r.o.
• IČO: 29231132
• Sídlo: Chudenická 1059/30, Hostivař, 102 00 Praha
• E-mail: info@visioncall.cz
• Telefon: +420 728 920 818

1.5. Definice pojmů: V tomto dokumentu mají použité pojmy následující význam: „osobní údaje“ jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů); „subjekt údajů“ je každá fyzická osoba, k níž se osobní údaje vztahují; „zpracování“ osobních údajů je jakákoli operace nebo soubor operací s osobními údaji (např. shromažďování, ukládání, používání, předávání nebo likvidace); „Správce“ je ten, kdo určuje účely a prostředky zpracování osobních údajů (v tomto případě společnost Living Czech s.r.o.); „zpracovatel“ je subjekt, který zpracovává osobní údaje pro Správce na základě smlouvy; „příjemce“ je subjekt, kterému jsou osobní údaje zpřístupněny.

2. ZPRACOVÁVANÉ OSOBNÍ ÚDAJE A ZPŮSOB JEJICH ZÍSKÁNÍ

2.1. Rozsah zpracovávaných osobních údajů: Správce zpracovává pouze takové osobní údaje, které jsou nezbytné pro naplnění stanovených účelů zpracování. Konkrétní rozsah údajů se může lišit podle charakteru vztahu se subjektem údajů (např. zda jde o zákazníka využívajícího služby VisionCall, zájemce o financování apod.). Zpracovávané osobní údaje typicky zahrnují následující kategorie:

• Identifikační údaje: jméno a příjmení; datum narození; případně IČO a DIČ (u podnikajících fyzických osob); rodné číslo (jen pokud je nutné pro konkrétní smluvní vztah); podpis.
• Kontaktní údaje: telefonní číslo; e-mailová adresa; adresa trvalého bydliště nebo doručovací adresa.
• Údaje související se smluvním vztahem: číslo bankovního účtu; platební a fakturační údaje; informace o objednaných službách; historie objednávek a plateb.
• Technické údaje: IP adresa; soubory cookies (pokud jsou využívány); záznamy o aktivitě na webových stránkách Správce (např. logy, údaje o využívání on-line služeb).
• Další údaje: údaje z komunikace mezi subjektem údajů a Správcem (např. záznamy telefonních hovorů, e-mailová komunikace); případně finanční údaje potřebné v rámci zprostředkování financování (např. informace o příjmech, výdajích, závazcích a vlastněném majetku, pokud subjekt údajů žádá o zprostředkování úvěru či leasingu).

2.2. Způsob získání osobních údajů: Ve většině případů získává Správce osobní údaje přímo od subjektů údajů – například když subjekt údajů vyplní formulář na webových stránkách VisionCall, učiní poptávku služeb, kontaktuje Správce telefonicky či e-mailem, nebo s ním uzavře smlouvu. V některých případech může Správce získat osobní údaje i od třetích stran – například od svých obchodních partnerů, se kterými subjekt údajů také jednal a udělil souhlas s předáním svých údajů (typicky v situaci, kdy je Správce zprostředkovatelem obchodu či financování na základě spolupráce s jiným subjektem). Vždy, když jsou osobní údaje získány od třetí strany, dbá Správce na to, že takové předání proběhlo v souladu s právními předpisy a že subjekt údajů byl o tomto postupu informován a případně udělil souhlas.

2.3. Mechanismy informování a souhlasu: Správce zajišťuje, aby subjekty údajů byly při sběru osobních údajů jasně informovány o jejich zpracování. Na webových stránkách Správce jsou implementovány mechanismy, které uživatele upozorní na zásady zpracování údajů, například formou zaškrtávacích polí nebo prohlášení typu: „Potvrzuji, že jsem byl(a) informován(a) o zpracování osobních údajů v souvislosti s touto poptávkou.“ V případě, že subjekt údajů projeví zájem o specifickou službu (např. zprostředkování financování), je od něj vyžádán souhlas se zpracováním osobních údajů pro tento účel, např. formou prohlášení: „Mám zájem o nabídku financování a souhlasím se zpracováním osobních údajů pro tento účel.“

3. ÚČELY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A PRÁVNÍ ZÁKLADY

3.1. Správce zpracovává osobní údaje pro jasně vymezené účely a vždy na základě odpovídajícího právního titulu podle GDPR. Mezi hlavní účely zpracování patří zejména:
a) Plnění smlouvy a zákonných povinností: Osobní údaje jsou zpracovávány za účelem uzavření a plnění smlouvy mezi Správcem a subjektem údajů a plnění souvisejících právních povinností. To zahrnuje například poskytování objednaných služeb VisionCall (např. generování obchodních příležitostí – leadů, zajištění služeb call centra či jiné marketingové služby), komunikaci se zákazníkem ohledně realizace služby, vyřizování objednávek a poptávek, uzavření smluv, fakturaci a vedení účetnictví, řešení případných reklamací, stížností a uplatňování práv z uzavřených smluv.
Právní základ: Zpracování je nezbytné pro splnění smlouvy (čl. 6 odst. 1 písm. b) GDPR) a pro splnění právních povinností, které se na Správce vztahují (čl. 6 odst. 1 písm. c) GDPR, například povinnost uchovávat účetní doklady, plnit povinnosti podle zákonů v oblasti ochrany spotřebitele apod.).

1. b) Přímý marketing a obchodní komunikace: Správce může využívat kontaktní údaje subjektů údajů k zasílání obchodních sdělení týkajících se vlastních služeb a produktů, popřípadě služeb a produktů jeho partnerů, a k další formě přímého marketingu (telefonické nabídky, SMS, newslettery), pokud k tomu má příslušný právní základ.

Pokud již existuje obdobný smluvní vztah mezi Správcem a subjektem údajů (například subjekt údajů v minulosti využil služeb Správce), může Správce oslovit subjekt údajů s marketingovou nabídkou na základě svého oprávněného zájmu. V ostatních případech si Správce vyžádá předem svobodný a informovaný souhlas subjektu údajů se zasíláním obchodních sdělení.

Subjekt údajů má vždy právo marketingová sdělení odmítnout a kdykoliv vznést námitku (v případě oprávněného zájmu) nebo odvolat svůj souhlas.

Právní základ: Oprávněný zájem Správce na přímém marketingu (čl. 6 odst. 1 písm. f) GDPR) v případě stávajících zákazníků, nebo souhlas subjektu údajů (čl. 6 odst. 1 písm. a) GDPR) v případě, že nejde o zákazníka a Správce mu zasílá obchodní sdělení či jiné marketingové nabídky na základě souhlasu.

1. c) Analytické a statistické účely (cookies): Správce sleduje a analyzuje návštěvnost a používání svých webových stránek a online služeb za účelem zlepšování kvality služeb, optimalizace nabídky a přizpůsobení obsahu potřebám uživatelů. K tomu využívá zejména nástroje pro webovou analýzu a marketingové nástroje, které mohou zahrnovat ukládání souborů cookies nebo obdobných technologií na zařízení uživatelů. Tyto údaje o chování uživatelů na webu (např. které stránky byly navštíveny, jak dlouho se uživatel zdržel, na co klikl) jsou zpracovávány v aggregované či pseudonymizované podobě pro statistické účely a k vyhodnocení efektivity webu a marketingových kampaní.
   Právní základ: Oprávněný zájem Správce na analyzování a vylepšování svých služeb (čl. 6 odst. 1 písm. f) GDPR). V případě použití cookies a obdobných sledovacích technologií, které nejsou nezbytně nutné pro provoz webu, Správce respektuje požadavky § 89 zákona č. 127/2005 Sb., o elektronických komunikacích, a získává souhlas uživatele se zpracováním cookies pro analytické či marketingové účely. Uživatel může udělený souhlas s cookies kdykoliv odvolat nebo upravit nastavení svého prohlížeče (podrobnosti viz bod 4 níže).
2. d) Zprostředkování financování a nabídka partnerských služeb: Pokud subjekt údajů projeví zájem o služby související s financováním (např. zajištění úvěru, leasingu či jiné finanční služby) nebo o jiné služby nabízené v rámci spolupráce partnerů Správce (např. nabídky produktů v oblasti fotovoltaiky, tepelných čerpadel apod., jelikož VisionCall se zaměřuje také na generování obchodních příležitostí v těchto oblastech), může Správce zpracovávat osobní údaje také za účelem zprostředkování takové služby. Konkrétně to znamená předání relevantních osobních údajů subjektu údajů příslušné partnerské společnosti (např. finanční instituci, energetické společnosti apod.), která danou službu poskytuje, aby tato společnost mohla subjekt údajů kontaktovat s konkrétní nabídkou. Před takovým předáním Správce vždy získá souhlas subjektu údajů, ledaže by předání bylo nezbytné pro realizaci opatření přijatých před uzavřením smlouvy na žádost subjektu údajů (např. když subjekt údajů sám požádá Správce o zajištění nabídky financování). Subjekt údajů je při vyžádání souhlasu informován, jaké údaje a jakému konkrétnímu příjemci budou předány.
   Právní základ: Souhlas subjektu údajů se zprostředkováním požadované služby (čl. 6 odst. 1 písm. a) GDPR), popř. oprávněný zájem Správce na zprostředkování takové služby a rozvoji obchodní spolupráce s partnerskými společnostmi (čl. 6 odst. 1 písm. f) GDPR). Souhlas lze kdykoliv odvolat; odvolání souhlasu však nemá vliv na zákonnost zpracování provedeného před jeho odvoláním.

3.2. Správce vždy zpracovává osobní údaje jen k výše uvedeným konkrétním účelům a v rozsahu nezbytně nutném pro naplnění těchto účelů. Pokud by měly být osobní údaje zpracovány pro jiný účel, než pro který byly původně získány, Správce o tom subjekt údajů předem informuje a je-li to vyžadováno, vyžádá si jeho souhlas.

4. POUŽÍVÁ SPRÁVCE SOUBORY COOKIES A OBDOBNÉ TECHNOLOGIE?

4.1. Soubory cookies: Cookies jsou malé textové soubory, které se ukládají do zařízení návštěvníka webových stránek a slouží k různým účelům. Správce využívá na svých webových stránkách cookies, které jsou nezbytné pro technické fungování stránek (tzv. nezbytné cookies, které zajišťují např. přihlášení, zapamatování preferencí apod.), a dále cookies sloužící k analytickým a marketingovým účelům (viz účel 3.1 c) výše). Prostřednictvím cookies může docházet ke zpracování online identifikátorů a údajů o chování návštěvníků na webu, avšak Správce tyto údaje zpravidla vyhodnocuje v aggregované podobě, která neumožňuje přímou identifikaci konkrétní osoby.

4.2. Používání cookies bez souhlasu: Pro využívání tzv. nezbytných cookies, které jsou nutné pro správné fungování webu a poskytování služeb, se souhlas nevyžaduje. Jde například o cookies zajišťující správné zobrazení stránky, funkčnost navigace, zapamatování obsahu košíku apod. Tyto cookies jsou zpracovávány na základě oprávněného zájmu Správce (či na základě § 89 zákona o elektronických komunikacích) a jsou ukládány jen po dobu nezbytnou pro fungování webových stránek.

4.3. Používání cookies na základě souhlasu: Cookies, které nejsou nezbytné a slouží například pro analýzu návštěvnosti, měření výkonu marketingových kampaní nebo pro cílenou reklamu, Správce ukládá a využívá pouze na základě předchozího souhlasu uživatele. Při první návštěvě webu je uživatel na používání těchto cookies upozorněn a má možnost jejich ukládání povolit či zakázat (např. prostřednictvím cookie lišty nebo nastavení v rámci webu). Uživatel může svůj souhlas s využíváním volitelných cookies kdykoli odvolat nebo změnit preference, a to pomocí nastavení příslušné funkce na webových stránkách Správce nebo nastavení svého internetového prohlížeče.

4.4. Možnosti nastavení prohlížeče: Většina webových prohlížečů umožňuje spravovat cookies v nastavení. Uživatel si může nastavit prohlížeč tak, aby ukládání cookies na svém zařízení povolil či zablokoval (pro všechny stránky nebo pro vybrané weby), případně aby již uložené cookies smazal. Konkrétní postupy pro nejběžnější prohlížeče:

• Google Chrome: Menu ⋮ > Nastavení > sekce „Ochrana soukromí a zabezpečení“ > „Soubory cookie a jiná data webů“. Zde lze nastavit blokování třetích stran nebo všech cookies. Pro vymazání cookies: kliknout na „Zobrazit všechny soubory cookie a data webů“ a zvolit „Odstranit vše“.
• Mozilla Firefox: Menu ☰ > Možnosti > Soukromí a zabezpečení > sekce „Cookies a data stránek“. Zde lze cookies vymazat (tlačítko „Vymazat data…“) nebo blokovat (zaškrtnutím volby „Blokovat cookies“).
• Microsoft Edge (Chromium): Menu … > Nastavení > Soubory cookie a oprávnění webu > „Správa a mazání souborů cookie a dat webu“. Zde lze vymazat cookies (tlačítko „Odstranit soubory cookie“) nebo nastavit blokování.
• Safari (macOS): Safari > Předvolby > Soukromí. Zde lze nastavit blokování cookies a zobrazit či smazat uložené cookies (tlačítko „Spravovat data webových stránek…“).

4.5. Další informace o cookies: Podrobnější informace o tom, jak Správce využívá cookies, včetně seznamu konkrétních cookies a jejich platnosti, jsou uvedeny v samostatné cookie policy (pokud je k dispozici na webových stránkách). Subjekt údajů má rovněž možnost získat tyto informace na vyžádání prostřednictvím kontaktních údajů Správce.

5. POTŘEBUJE SPRÁVCE SOUHLAS SUBJEKTU ÚDAJŮ KE ZPRACOVÁNÍ ÚDAJŮ?

5.1. Ve většině případů zpracovává Správce osobní údaje bez nutnosti získání souhlasu subjektu údajů, protože ke zpracování ho opravňuje přímo některý z právních důvodů dle čl. 6 GDPR (zejména plnění smlouvy, splnění právní povinnosti nebo oprávněné zájmy Správce, viz výše). V takových případech by požadování souhlasu bylo nadbytečné a zpracování probíhá i bez souhlasu, při zachování všech práv subjektu údajů.

5.2. V některých specifických situacích však Správce souhlas potřebuje, zejména jde-li o zpracování, které nespadá pod žádný jiný právní základ, nebo o zpracování zvláštních kategorií osobních údajů. V kontextu činnosti Správce může být souhlas vyžadován například pro:

• zasílání marketingových sdělení potenciálním zákazníkům, kteří dosud nemají se Správcem uzavřenou smlouvu (viz bod 3.1 b) výše),
• použití volitelných analytických a marketingových cookies (viz bod 4.3 výše),
• zprostředkování služby partnera (např. předání údajů finanční instituci pro nabídku úvěru) v případě, že nejde o situaci pokrytou jiným právním titulem (viz bod 3.1 d) výše).

5.3. Udělení souhlasu je vždy dobrovolné. Pokud subjekt údajů odmítne souhlas udělit nebo ho posléze odvolá, může to ovlivnit rozsah služeb, které mu může Správce poskytnout (např. bez souhlasu se zprostředkováním financování nemůže být vyřízena žádost o nabídku úvěru od partnerské banky, nebo bez souhlasu s marketingem nebude subjekt údajů informován o nových nabídkách). Odmítnutí souhlasu však nemá žádný negativní dopad na základní smluvní vztah – Správce bude i nadále poskytovat své hlavní služby v plném rozsahu, pokud k nim má jiný právní důvod.

5.4. Pokud je zpracování osobních údajů založeno na souhlasu, má subjekt údajů právo svůj souhlas kdykoliv odvolat (viz také právo odvolat souhlas v bodě 11.8 níže). Odvolání souhlasu nemá zpětný účinek – zpracování prováděné do doby odvolání souhlasu zůstává zákonné.

6. JE POSKYTNUTÍ OSOBNÍCH ÚDAJŮ POVINNÉ?

6.1. Poskytnutí osobních údajů je dobrovolné, nicméně je často nezbytnou podmínkou pro uzavření smlouvy či poskytnutí konkrétní služby Správcem. Pokud jsou osobní údaje zpracovávány z důvodu plnění zákonné povinnosti (např. údaje požadované právními předpisy v oblasti účetnictví, daní apod.), je poskytnutí takových údajů zákonným požadavkem – subjekt údajů je povinen tyto údaje poskytnout. Neposkytnutí zákonem vyžadovaných údajů by znamenalo, že Správce nemůže danou povinnost splnit.

6.2. Poskytnutí osobních údajů pro účely uzavření a plnění smlouvy (např. kontaktní a identifikační údaje pro objednávku služby) je smluvním požadavkem. Pokud subjekt údajů odmítne potřebné údaje poskytnout, nemůže dojít k uzavření smlouvy ani poskytnutí požadované služby, neboť Správce by nebyl schopen své závazky splnit.

6.3. Některé údaje či podklady, které si Správce vyžádá, mohou být volitelné (např. doplňující informace pro lepší personalizaci služby nebo vyhodnocení potřeb zákazníka). Poskytnutí takových údajů je zcela na uvážení subjektu údajů. Pokud je neposkytne, může to vést nanejvýš k tomu, že služba nebude moci být plně přizpůsobena jeho individuálním potřebám nebo mu nebude moci být nabídnuta určitá nadstandardní možnost (např. bez poskytnutí finančních údajů nelze vyhodnotit bonitu pro účely nabídky financování, a tudíž daná nabídka nemůže být poskytnuta).

6.4. V případech, kdy Správce požaduje souhlas se zpracováním osobních údajů (viz bod 5 výše), je poskytnutí osobních údajů a udělení souhlasu zcela dobrovolné. Pokud subjekt údajů souhlas neudělí, dané zpracování nebude prováděno (např. neobdrží marketingové nabídky, nebude mu zprostředkována služba partnera apod.). Odmítnutí souhlasu nemá vliv na jiné vztahy se Správcem, které jsou založeny na jiných právních důvodech.

7. DOBA UCHOVÁNÍ OSOBNÍCH ÚDAJŮ

7.1. Správce uchovává osobní údaje pouze po dobu, která je nezbytná vzhledem k účelům zpracování, nebo po dobu vyžadovanou příslušnými právními předpisy. Doba uchování se může lišit v závislosti na právním základě a účelu zpracování:

• Údaje zpracovávané pro plnění smlouvy a právních povinností: Osobní údaje související se smluvním vztahem jsou uchovávány po celou dobu trvání smlouvy. Po ukončení smluvního vztahu jsou relevantní údaje dále uchovávány po dobu nezbytnou pro ochranu práv Správce či splnění povinností podle zvláštních zákonů. Například údaje na účetních dokladech (faktury, účetní záznamy) je Správce povinen uchovávat po dobu 10 let od konce účetního období, kterého se týkají, v souladu se zákonem o účetnictví a daňovými předpisy. Údaje týkající se uplatnění případných práv z vadného plnění či náhrady škody mohou být uchovávány po dobu trvání příslušné promlčecí lhůty (typicky 3 roky, v případě soudního sporu i déle).
• Údaje pro marketingové účely: Osobní údaje využívané pro účely přímého marketingu (např. e-mailová adresa pro zasílání newsletteru) jsou zpracovávány po dobu trvání příslušného oprávnění. V případě oprávněného zájmu (stávající zákazníci) nejdéle do doby, než subjekt údajů vznese námitku proti zpracování. V případě souhlasu se zasíláním obchodních sdělení pak do doby odvolání tohoto souhlasu. Pokud k uzavření smluvního vztahu nedošlo a jde jen o potenciálního zákazníka, který udělil souhlas s marketingem, jsou jeho údaje pro marketing drženy obvykle po dobu 3–5 let od udělení souhlasu, nestanoví-li Správce při sběru údajů jinou dobu.
• Údaje z analytických nástrojů (cookies): Data získaná o používání webu (např. prostřednictvím Google Analytics) jsou uchovávána po dobu cca 38 měsíců, poté jsou automaticky anonymizována nebo smazána, pokud nejsou dále potřebná. Cookies samotné mají rozdílnou platnost podle svého druhu – krátkodobé technické cookies se uchovávají pouze po dobu návštěvy webu (relační cookies), dlouhodobější preferenční nebo analytické cookies mohou mít platnost řádově několik měsíců (typicky 6–24 měsíců), marketingové cookies nejdéle po dobu uvedenou v souhlasu či do odvolání souhlasu, maximálně však 13 měsíců od uložení.
• Údaje pro zprostředkování financování a podobné účely: Pokud Správce předá osobní údaje subjektu údajů partnerské společnosti za účelem zprostředkování požadované služby (např. financování), uchovává záznam o tomto předání a základní údaje o realizované transakci zpravidla po dobu trvání spolupráce s daným partnerem a dále po dobu až 5 let od jejího ukončení, pro případ potřeby prokázání splnění svých povinností a obrany v případných sporech. Samotné osobní údaje subjektu údajů u partnera se dále řídí dobou uchování stanovenou touto partnerskou společností (která vystupuje jako samostatný správce). Pokud subjekt údajů nakonec službu partnera nevyužije (nedojde k uzavření smlouvy s partnerem), uchovává Správce osobní údaje spojené s touto neuskutečněnou poptávkou jen po omezenou dobu (obvykle 6 měsíců od předání partnerovi), poté jsou tyto údaje vymazány.
• Jiné účely, oprávněné zájmy: Pokud jsou osobní údaje zpracovávány z důvodu oprávněného zájmu Správce (např. pro ochranu právních nároků, prevenci podvodů, zajištění bezpečnosti sítí a informací), uchovávají se po dobu trvání tohoto oprávněného zájmu. Například záznamy z kamerového systému (pokud jsou pořizovány, viz bod 12.4 níže) jsou uchovávány jen v řádu týdnů, ledaže zaznamenaný incident vyžaduje delší uchování pro potřeby vyšetřování.

7.2. Po uplynutí stanovených dob uchování nebo po naplnění účelu, pro který byly osobní údaje zpracovány, Správce dané osobní údaje bezpečně vymaže nebo anonymizuje, pokud další zpracování pro jiné účely (kompatibilní s původními) není připuštěno, anebo pokud subjekt údajů neudělil souhlas s dalším zpracováním.

8. V JAKÉM POSTAVENÍ SPRÁVCE OSOBNÍ ÚDAJE ZPRACOVÁVÁ?

8.1. Správce jako samostatný správce údajů: Living Czech s.r.o. vystupuje ve vztahu k osobním údajům popsaným v tomto dokumentu jako samostatný správce. To znamená, že určuje účely a prostředky zpracování těchto údajů a nese primární odpovědnost za jejich řádné zpracování a ochranu.

8.2. Zpracování údajů jménem jiného správce: V určitých případech může Living Czech s.r.o. vystupovat i v roli zpracovatele osobních údajů pro třetí strany – například když poskytuje služby call centra či realizuje marketingovou kampaň pro klienta (jinou společnost), který mu předá kontakty svých zákazníků. V takových situacích Living Czech s.r.o. zpracovává osobní údaje výhradně dle pokynů a potřeb oné třetí strany, která je správcem těchto údajů, a nedochází k použití údajů pro vlastní účely Living Czech s.r.o. Informace o zpracování osobních údajů v takovém případě poskytuje subjektu údajů příslušný klient (jakožto správce) a na toto zpracování se tento dokument nevztahuje.

8.3. Společní správci: V současné době Living Czech s.r.o. neprovádí žádné zpracování osobních údajů ve spolupráci s jiným subjektem v režimu tzv. společných správců (kdy dva nebo více správců společně určují účely a prostředky zpracování). Pokud by k takovému uspořádání došlo, Správce splní svou povinnost informovat subjekty údajů o podstatě dohody mezi společnými správci dle čl. 26 GDPR.

9. PŘÍJEMCI OSOBNÍCH ÚDAJŮ

9.1. Osobní údaje jsou v nezbytném rozsahu zpřístupněny také dalším subjektům (příjemcům), pokud je to potřebné k naplnění výše uvedených účelů nebo pokud to Správci ukládají právní předpisy. Správce dbá na to, aby každé předání údajů bylo zákonné a bezpečné. Kategoriemi příjemců mohou být zejména:

• Externí dodavatelé služeb pro Správce: například IT společnosti zajišťující provoz webových stránek a IT infrastruktury, poskytovatelé cloudových úložišť a serverů, poskytovatelé analytických nástrojů (kteří zpracovávají agregovaná data o návštěvnosti), externí účetní firma zajišťující účetnictví, daňoví poradci, právní zástupci či auditoři. Tyto subjekty zpracovávají osobní údaje v pozici zpracovatelů na základě smlouvy o zpracování osobních údajů, nebo v pozici samostatných správců (pokud jim právní předpisy ukládají povinnost nakládat s údaji samostatně, např. auditor).
• Partnerské společnosti zajišťující financování či jiné služby: pokud subjekt údajů žádá o zprostředkování nabídky od partnera (např. banky, investiční společnosti, dodavatele fotovoltaických elektráren či jiných produktů, pro něž VisionCall generuje zákaznické kontakty), mohou být jeho relevantní osobní údaje předány takovému partnerovi. Ten poté vystupuje jako samostatný správce osobních údajů a subjekt údajů by od něj měl obdržet vlastní informace o zpracování osobních údajů.
• Orgány veřejné moci a další subjekty z moci zákona: v případě zákonné povinnosti může Správce předat osobní údaje např. dozorovým orgánům, soudům, orgánům činným v trestním řízení či dalším subjektům veřejné správy, pokud to vyžaduje platný právní předpis (např. kontrola Úřadu pro ochranu osobních údajů, finanční úřad, Policie ČR na základě zákonného požadavku apod.).
• Marketingoví partneři: v omezené míře může dojít i k předání údajů subjektu údajů marketingovým partnerům Správce, například pokud je součástí služby účast na marketingové akci partnera či soutěži. V takovém případě je subjekt údajů o předání informován předem a je vyžádán jeho souhlas, pokud nejde o předání nezbytné pro splnění smlouvy.

9.2. Všichni uvedení příjemci, kteří zpracovávají osobní údaje jako zpracovatelé pro Správce, jsou smluvně zavázáni k ochraně osobních údajů na úrovni odpovídající požadavkům GDPR a smí je využít pouze pro sjednané účely. Pokud příjemci vystupují jako samostatní správci, nesou sami odpovědnost za zákonnost svého zpracování.

9.3. Správce v současné době nemá v úmyslu předávat osobní údaje do třetích zemí mimo Evropskou unii nebo Evropský hospodářský prostor. Veškeré výše zmíněné zpracování probíhá na území ČR nebo jiných členských států EU/EHP. Pokud by mělo dojít k přenosu osobních údajů mimo EU/EHP (např. využitím cloudové služby se servery v USA), Správce tak učiní pouze při splnění podmínek kapitoly V GDPR (tj. na základě rozhodnutí Evropské komise o odpovídající ochraně, standardních smluvních doložek nebo jiných vhodných záruk) a subjekt údajů bude o takovém přenosu informován.

10. PROVÁDÍ SPRÁVCE AUTOMATIZOVANÉ ROZHODOVÁNÍ NEBO PROFILOVÁNÍ?

10.1. Automatizovaným individuálním rozhodováním se rozumí rozhodnutí o subjektu údajů učiněné výhradně na základě automatizovaného zpracování (bez lidského zásahu), které pro subjekt údajů má právní účinky nebo se ho obdobně významně dotýká. Typickým příkladem může být automatické vyhodnocení údajů vedoucí k odmítnutí poskytnutí služby, profilování pro účely přímého marketingu s významným dopadem na jednotlivce apod.

10.2. Správce neprovádí vůči subjektům údajů žádné rozhodování čistě automatizovanými prostředky, které by pro ně mělo právní nebo jinak významné účinky. Veškerá zásadní rozhodnutí (například uzavření smlouvy, poskytnutí konkrétní nabídky financování apod.) jsou vždy činěna s lidským posouzením.

10.3. Správce neprovádí ani profilování v tom smyslu, že by na základě určitých osobních údajů automaticky vyvozoval závěry týkající se konkrétního jednotlivce s významným dopadem na něj. Analýzy a statistiky prováděné pro marketingové účely (viz bod 3.1 c) výše) jsou zaměřeny na obecné trendy a zlepšování služeb, nikoli na automatizované rozhodování o konkrétních osobách.

10.4. V případě, že by Správce v budoucnu zavedl procesy zahrnující automatizované rozhodování včetně profilování, které by splňovaly výše uvedená kritéria, zajistí, aby subjekty údajů měly všechna práva dle čl. 22 GDPR. Zejména by jim náleželo právo na lidský zásah do rozhodnutí, právo vyjádřit svůj názor a právo rozhodnutí napadnout.

11. PRÁVA SUBJEKTŮ ÚDAJŮ

11.1. Subjekt údajů má v souvislosti se zpracováním svých osobních údajů řadu práv garantovaných obecným nařízením o ochraně osobních údajů (GDPR). Tato práva lze uplatnit prostřednictvím výše uvedených kontaktních údajů Správce (písemně, e-mailem, případně telefonicky pro bližší instrukce). Správce vyřizuje žádosti subjektů údajů bez zbytečného odkladu, nejpozději do jednoho měsíce od doručení žádosti. Ve výjimečných případech, vzhledem ke složitosti nebo počtu žádostí, může být tato lhůta prodloužena až o další dva měsíce; o takovém prodloužení a důvodech bude subjekt údajů informován. Poskytnutí informací a úkonů na základě žádostí subjektů údajů je bezplatné. Jen v případě zjevně nedůvodných nebo nepřiměřených žádostí (zejména se opakujících) může Správce dle čl. 12 odst. 5 GDPR buď odmítnout žádosti vyhovět, nebo za jejich vyřízení účtovat přiměřený poplatek zohledňující administrativní náklady.

11.2. Právo na přístup k osobním údajům (čl. 15 GDPR): Subjekt údajů má právo získat od Správce potvrzení, zda zpracovává jeho osobní údaje, a pokud ano, má právo získat přístup k těmto údajům a informacím o jejich zpracování (účely, kategorie dotčených údajů, příjemci, plánovaná doba uchování, práva atd.). Na žádost poskytne Správce kopii zpracovávaných osobních údajů. Za opakované kopie může být účtován poplatek.

11.3. Právo na opravu (čl. 16 GDPR): Pokud subjekt údajů zjistí, že o něm Správce zpracovává nepřesné či neúplné osobní údaje, má právo požadovat jejich opravu nebo doplnění. Správce provede opravu bez zbytečného odkladu po ověření žádosti.

11.4. Právo na výmaz („právo být zapomenut“) (čl. 17 GDPR): Subjekt údajů může za určitých okolností požadovat, aby Správce jeho osobní údaje vymazal. Správce je povinen údaje vymazat například pokud:

• osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
• subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování;
• subjekt údajů vznese námitku proti zpracování (viz níže) a neexistují žádné převažující oprávněné důvody pro zpracování;
• osobní údaje byly zpracovány protiprávně;
• osobní údaje musí být vymazány ke splnění právní povinnosti podle práva EU nebo ČR.

Právo na výmaz není absolutní – neuplatní se zejména, pokud je zpracování potřebné pro splnění právní povinnosti Správce či pro určení, výkon nebo obhajobu právních nároků.

11.5. Právo na omezení zpracování (čl. 18 GDPR): V určitých případech může subjekt údajů žádat, aby Správce dočasně omezil zpracování jeho osobních údajů. Jde například o situace, kdy subjekt údajů popírá přesnost údajů (na dobu umožňující Správci přesnost ověřit), nebo když subjekt údajů vznesl námitku proti zpracování a čeká se na ověření, zda oprávněné důvody Správce převažují nad zájmy subjektu údajů. Při omezení zpracování Správce dané údaje pouze uchovává a nesmí je jinak zpracovávat (s výjimkou např. uložení pro účely právních nároků).

11.6. Právo na přenositelnost údajů (čl. 20 GDPR): Za předpokladu, že je zpracování založeno na souhlasu nebo na smlouvě a zároveň se provádí automatizovaně, má subjekt údajů právo získat své osobní údaje, které Správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci. Pokud je to technicky proveditelné, může subjekt údajů žádat, aby Správce předal jeho údaje přímo jinému správci.

11.7. Právo vznést námitku (čl. 21 GDPR): Subjekt údajů má právo z důvodů týkajících se jeho konkrétní situace kdykoliv vznést námitku proti zpracování svých osobních údajů, které je prováděno na základě oprávněných zájmů Správce (čl. 6 odst. 1 písm. f) GDPR). V případě, že je námitka podána, Správce dál údaje nezpracovává, dokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy subjektu údajů, nebo důvody pro určení, výkon nebo obhajobu právních nároků. Pokud je námitka vznášena proti zpracování pro účely přímého marketingu, pak Správce po jejím obdržení vždy ukončí zpracování pro tyto účely (aby subjekt údajů již nebyl kontaktován).

11.8. Právo odvolat souhlas (čl. 7 odst. 3 GDPR): Je-li zpracování osobních údajů založeno na souhlasu subjektu údajů, má subjekt údajů právo kdykoliv svůj souhlas odvolat. Odvolání souhlasu musí být stejně snadné jako jeho udělení – subjekt údajů může například využít odkaz v zaslaném e-mailu pro odhlášení newsletteru, upravit nastavení na webu nebo zaslat e-mail s odvoláním souhlasu. Odvoláním souhlasu není dotčena zákonnost zpracování prováděného před jeho odvoláním.

11.9. Právo podat stížnost u dozorového úřadu (čl. 77 GDPR): Subjekt údajů má právo podat stížnost týkající se zpracování jeho osobních údajů u dozorového orgánu. V České republice je dozorovým úřadem Úřad pro ochranu osobních údajů (e-mail: podatelna@uoou.cz, web: www.uoou.cz, adresa: Pplk. Sochora 27, 170 00 Praha 7). Stížnost může subjekt údajů podat zejména v případě, že se domnívá, že Správce při zpracování osobních údajů postupuje v rozporu s právními předpisy.

11.10. Právo na účinnou soudní ochranu (čl. 79 GDPR): Pokud by subjektu údajů vznikla v důsledku zpracování osobních údajů majetková či nemajetková újma porušením povinností Správcem, má právo se domáhat ochrany u soudu a případně náhrady vzniklé škody či nemajetkové újmy.

12. ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

12.1. Správce přijal vhodná technická a organizační opatření, aby zajistil bezpečnost osobních údajů a ochránil je před náhodným či protiprávním zničením, ztrátou, pozměněním, neoprávněným zveřejněním nebo přístupem. Správce pravidelně přezkoumává svá bezpečnostní opatření a aktualizuje je tak, aby odpovídala aktuálním hrozbám.

12.2. Technická opatření ochrany: Patří sem zejména šifrování citlivých údajů při přenosu i v databázích, firewall a antivirová ochrana serverů a koncových zařízení, pravidelné aktualizace softwaru a operačních systémů, a pravidelné zálohování dat na zabezpečených úložištích. Přístupy k systémům obsahujícím osobní údaje jsou chráněny silnými hesly a vícestupňovým ověřováním (např. dvoufaktorovou autentizací).

12.3. Organizační opatření ochrany: Správce zavedl interní politiky a školení zaměstnanců v oblasti ochrany osobních údajů. K osobním údajům mají přístup pouze pověřené osoby, pro které je to nezbytné k plnění pracovních úkolů, a tyto osoby jsou vázány zákonnou i smluvní povinností mlčenlivosti. Správce také uzavírá se všemi zpracovateli osobních údajů (externími poskytovateli služeb) smlouvy vyžadující dodržování bezpečnostních standardů a pravidel ochrany údajů. Pravidelně jsou prováděny kontroly a audity, jež ověřují účinnost nastavených opatření.

12.4. Fyzická bezpečnost: Prostory, v nichž jsou uloženy osobní údaje v listinné nebo elektronické podobě (např. kanceláře, serverovny), jsou zabezpečeny proti vstupu nepovolaných osob (uzamčené prostory, přístupové systémy). V místech, kde se nacházejí citlivé dokumenty nebo servery, je instalován monitorovací a zabezpečovací systém (např. kamerový systém v souladu s právními předpisy, poplašný systém).

12.5. V případě jakéhokoli bezpečnostního incidentu, který by měl za následek náhodné či neoprávněné zveřejnění nebo zpřístupnění osobních údajů, postupuje Správce dle platných právních předpisů – zejména zdokumentuje incident, a je-li to vyžadováno, nahlásí do 72 hodin incident Úřadu pro ochranu osobních údajů a informuje dotčené subjekty údajů, pokud je pravděpodobné, že daný incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

13. ZÁVĚREČNÁ USTANOVENÍ

13.1. Tento dokument může být průběžně aktualizován, zejména pokud dojde ke změnám v činnostech zpracování osobních údajů prováděných Správcem nebo ke změnám relevantních právních předpisů. Aktuální verze dokumentu bude vždy dostupná na webových stránkách Správce www.visioncall.cz v sekci GDPR (ochrana osobních údajů) a případně také v sídle společnosti.

13.2. O podstatných změnách v tomto dokumentu (zejména změnách týkajících se účelů zpracování, kategorií osobních údajů, příjemců apod.) bude Správce subjekty údajů přímo informovat vhodným způsobem, pokud je to proveditelné. Může tak učinit například prostřednictvím e-mailu (pokud má na subjekt údajů kontakt) nebo oznámením na svých webových stránkách.

13.3. Tento dokument nabývá účinnosti dnem 1. 3. 2024 a nahrazuje veškeré předchozí verze zásad nebo informací o zpracování osobních údajů vydaných Správcem.