Kodex chování

Účel a zásady

Tento kodex chování popisuje způsoby zpracovávání osobních údajů, jakož i práva subjektů údajů (dále jen „Kodex chování“) ve společnosti Aime Cosmetics s.r.o., se sídlem České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04, IČ: : 03138488  (dále také „Společnost“). Účelem Kodexu chování je zajistit, aby zpracovávání osobních údajů probíhalo v souladu s obecně závaznými právními předpisy, zejména s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“).

Účelem tohoto Kodexu chování je dále přihlášení Společnosti k zásadám, které vyplývají z Nařízení, a zejména pak k pravidlům a náležitostem týkajícím se právních titulů stanovených Nařízením, a to s ohledem na oprávněné zájmy Společnosti, které spočívají především v ochraně zdraví, života a majetku, jakožto i know-how a kontinuity podnikání Společnosti.

Tento Kodex chování dopadá na veškeré osobní údaje zpracovávané Společností, bez ohledu na účel či právní titul jejich zpracování.

Společnost zpracovává přesné a aktuální osobní údaje na základě zákonného titulu, korektně a transparentním způsobem, pouze pro určité, výslovně vyjádřené a legitimní účely, v minimálním nezbytném rozsahu, ukládá je ve formě umožňující identifikaci subjektu údajů pouze po nezbytnou dobu ve vztahu k účelu a zajišťuje jejich integritu a důvěrnost pomocí vhodných technických nebo organizačních opatření a náležitého zabezpečení před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

Společnost zajišťuje, aby nepřesné údaje s přihlédnutím k jejich účelu, pro který se zpracovávají, byly bezodkladně vymazány nebo opraveny.

Veškeré činnosti spojené s osobními údaji a jejich ochranou Společnost řádně dokumentuje, zejména vede záznamy o činnostech zpracování a další doklady o zpracování osobních údajů pro naplnění zásady odpovědnosti dle Nařízení. Společnost spolupracuje s dozorovým úřadem, jímž je zejména Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: +420 234 665 111.

Obsah

1. Rozsah platnosti
2. Odpovědnost a pravomoci
3. Jednotlivé právní tituly a jejich principy
   1. Úvod
   2. Právní titul plnění smlouvy
   3. Právní titul plnění právní povinnosti
   4. Právní titul životně důležitý zájem
   5. Právní titul oprávněný zájem
      1. Využití oprávněného zájmu v rámci přímého marketingu a přiměřeného očekávání
      2. Využití oprávněného zájmu v případech, kdy není možné využít titul plnění právní povinnosti
      3. Využití oprávněného zájmu v případech, kdy není možné využít titul plnění smlouvy
      4. Využití oprávněného zájmu v rámci užívání kontaktů získaných dle předcházejících legislativních požadavků
   6. Právní titul souhlas se zpracováním osobních údajů
4. Jakým způsobem Společnost zpracovává osobní údaje?
5. Po jakou dobu zpracováváme osobní údaje?
6. Za jakých podmínek předává Společnost osobní údaje?
7. Jaká práva má subjekt údajů?
   1. Kde a jak uplatnit práva subjektu údajů?
   2. Právo na informace (čl. 13 a 14 Nařízení)
   3. Právo na přístup k osobním údajům (čl. 15 Nařízení)
   4. Právo na opravu (čl. 16 Nařízení)
   5. Právo na výmaz / právo být zapomenut (čl. 17 Nařízení)
   6. Právo na omezení zpracování (čl. 18 a 19 Nařízení)
   7. Právo na přenositelnost údajů (čl. 20 Nařízení)
   8. Právo vznést námitku (čl. 21 Nařízení)
   9. Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování (čl. 22 Nařízení)
8. Související dokumentace
9. Závěrečná a přechodná ustanovení

1. Rozsah platnosti

Tento Kodex chování je závazný pro všechny osoby, které mají příslušný vztah se Společností  a zároveň se dostávají do kontaktu s osobními údaji, které Společnost zpracovává.

Tento Kodex chování je volně přístupný na webových stránkách Společnosti www.aime.cz

Společnost zpracovává osobní údaje prostřednictvím Zpracovatelů, kteří přicházejí do styku s osobními údaji, a jsou s tímto Kodexem chování prokazatelně seznámeni a smluvně zavázáni k jeho dodržování.

Všichni zpracovatelé osobních údajů v případech, kdy je Společnost v postavení správce osobních údajů, jsou s tímto Kodexem chování prokazatelně seznámeni a smluvně zavázáni k jeho dodržování.

2. Odpovědnost a pravomoci

3. Jednotlivé právní tituly a jejich principy

3.1 Úvod, účel zpracování

Před zahájením jakéhokoli zpracování osobních údajů Společnost stanovuje účel, pro který zpracovává osobní údaje. Za jakým účelem jsou osobní údaje subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předá Společnost (podrobně viz kapitola 6.2). Zpracování osobních údajů je po celou dobu prováděno výhradně v rozsahu a za účelem dosažení předem stanoveného účelu.

Jakmile je účel zpracování naplněn, Společnost osobní údaje v souladu se zásadou minimalizace údajů (zpracování přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu zpracování) a omezení uložení vymazává, pokud není třeba je uchovávat pro jiný účel.

Následující ustanovení tohoto Kodexu chování určují základní principy využívání právních titulů ke zpracování osobních údajů Společností.

3.2 Právní titul plnění smlouvy

Právní titul plnění smlouvy, dle čl. 6 odst. 1 písm. b) Nařízení, se užije ke zpracování osobních údajů, pokud je určité zpracování nezbytné k uzavření smluvního závazku nebo pro jeho plnění.

Zpracování osobních údajů pro účely vymáhání závazků, např. pohledávek z uzavřené smlouvy, je prováděno na základě titulu oprávněného zájmu (podrobně viz kapitola 3.5).

Při obchodním styku Společnost požaduje po druhé smluvní straně pouze osobní údaje nezbytné pro plnění smlouvy, uzavřené na základě objednávky zboží nebo služeb poskytovaných Společností.

Rozsah zpracovávaných osobních údajů pro uzavření a plnění smluvního vztahu je zejména:

• Pro doručení a realizaci objednávky
  • Jméno, příjmení, adresa, podpis (v případě papírové objednávky);
  • Jméno, příjmení, adresa (v případě telefonické objednávky);
  • Jméno, příjmení, adresa (v případě webové objednávky).
• Pro komunikaci se zákazníkem
  • Adresa;
  • Telefonní číslo, email (tyto údaje nejsou povinné, subjekt údajů je poskytuje pouze v případě, že chce, aby s ním Společnost těmito způsoby komunikovala).
• Rok narození pro ověření identity, plnoletosti a zároveň platnosti objednávky.

3.3 Právní titul plnění právní povinnosti

Tento právní titul se vztahuje na zpracování osobních údajů nezbytných pro plnění požadavků právních předpisů České republiky a Evropské Unie, a to na základě čl. 6 odst. 1 písm. c) Nařízení.

Právní povinnost v tomto případě musí být stanovena dostatečně určitě, aby bylo zřejmé, o jakou právní povinnost se jedná a mohl tak být tento titul užit. Společnost nepřekročí možné zpracování osobních údajů, které vyplývá z tohoto titulu.

Zpracování údajů na základě právní povinnosti Společnosti se uplatní zejména v pracovněprávních vztazích, kde české právní předpisy Společnosti stanoví celou řadu povinností vůči zaměstnancům. Společnost osobní údaje o zaměstnancích považuje za důvěrné. Zpřístupnění těchto údajů třetím osobám musí být v případě potřeby schváleno za strany Společnosti a zaměstnance písemně, vyjma zpřístupnění na základě žádosti ze strany státních orgánů.

3.4 Právní titul životně důležitý zájem

Tento právní titul se vztahuje na nezbytné zpracování pouze v případech, kdy se jedná o konání směřované k předejití vzniku újmy na zdraví a životě subjektu údajů nebo jiné osoby, a to na základě čl. 6 odst. 1 písm. d) Nařízení.

Společnost dbá na to, aby se rozsah zpracovávaných osobních údajů řídil individuálně dle nastalé situace.

3.5 Právní titul oprávněný zájem

Oprávněný zájem Společnosti určuje Společnost, a to v souladu s čl. 6 odst. 1 písm. f) Nařízení. Společnost před tím, než začne osobní údaje podle stanoveného oprávněného zájmu zpracovávat, poměří tento zájem s oprávněnými zájmy a základními právy a svobodami subjektu údajů, jejichž osobní údaje zpracovává (provede tzv. balanční test).

Pokud Společnost shledá podle výsledku balančního testu, že může osobní údaje subjektu údajů zpracovávat na základě titulu oprávněného zájmu, informuje vždy subjekt údajů o této skutečnosti (tj. že zpracovává údaje na základě oprávněného zájmu) a sdělí mu, na základě jakého konkrétního oprávněného zájmu tak činí.

Je-li titulem pro zpracování osobních údajů subjektu údajů oprávněný zájem Společnosti, je subjekt údajů oprávněn podat námitku a žádat výmaz vlastních osobních údajů (podrobně viz kapitola 7). O těchto právech je subjekt údajů informován, a to nejpozději v okamžiku první komunikace Společností se subjektem údajů.

Společnost zpracovává osobní údaje na základě oprávněných zájmů, jako je například předcházení podvodům a jiné škodlivé či trestné činnosti, ochrana majetku, vymáhání právních nároků, předávání v rámci skupiny pro administrativní účely, přímý marketing (pokud Společnost zpracovává osobní údaje pro účely splnění smlouvy, jejíž smluvní stranou je subjekt údajů, je oprávněna informovat subjekt údajů o zboží nebo službách a zasílat obchodní sdělení na e-mailovou adresu uvedenou subjektem údajů), aj., jak je specifikováno níže.

3.5.1 Využití oprávněného zájmu v rámci přímého marketingu a přiměřeného očekávání

Tento druh právního titulu oprávněného zájmu je založen na tzv. přímém marketingu. Přímý marketing, respektive titul oprávněného zájmu je využíván na základě historického vztahu a/nebo z důvodu projeveného zájmu stávajícího či potenciálního zákazníka o zboží či služby Společnosti a může být použit pouze na zboží a služby obdobného charakteru, o které takový zákazník v minulosti projevil zájem a proti zpracování tohoto druhu nevznesl námitku.

Tento druh oprávněného zájmu může Společnost využít za předpokladu, že existuje relevantní a odpovídající vztah mezi subjektem údajů a Společností.

Společnost v tomto ohledu dbá na to, aby v momentě, kdy se subjekt údajů stává jejím (potenciálním) zákazníkem, bylo důvodně očekáváno, že může dojít ke zpracování osobních údajů na základě oprávněného zájmu.

Společnost klade důraz na to, aby se upřednostňovaly zájmy subjektu údajů před zájmy Společnosti jakožto správce údajů zejména tehdy, jestliže ke zpracování osobních údajů dochází za okolností, kdy subjekt údajů, respektive zákazník, jejich další zpracování neočekává.

Společnost může při posuzování oprávněného zájmu založeného na přímém marketingu vycházet například z následujících situací:

• doporučení vhodných návazných vztahů výrobků obdobného charakteru;
• předcházející komunikace se subjektem údajů, kdy se subjekt údajů neohradil proti dalšímu kontaktování za marketingovým účelem;
• historický vztah mezi Společností a subjektem údajů, kdy subjekt údajů nevyslovil nesouhlas s marketingovým kontaktováním.

Společnost v tomto ohledu zpracovává pouze osobní údaje, které jsou nezbytné k naplnění příslušného marketingového účelu, a to v souladu s principem minimalizace dle Nařízení. Společnost tak neuchovává další nepotřebné osobní údaje, respektive takové osobní údaje maže řádným a bezpečným způsobem.

Proti tomuto zpracování osobních údajů může subjekt údajů kdykoliv vznést námitku a v takovém případě Společnost přestane osobní údaje subjektu pro účely přímého marketingu zpracovávat. O vyřízení námitky bude subjekt údajů informován prostřednictvím komunikačního kanálu, kterým byla žádost podána.

3.5.2 Využití oprávněného zájmu v případech, kdy není možné využít titul plnění právní povinnosti

Tento titul pro zpracování osobních údajů je v rámci Společnosti využíván v případech, kdy je
platnou legislativou dána povinnost dodržet stanovená pravidla, ale jejich dodržení přímo nezakládá právní titul pro zpracování osobních údajů.

Mezi typické případy takového oprávněného zpracování patří vedení seznamu subjektů údajů (tzv. „black list“), které se v minulosti vyslovily proti kontaktování pro marketingové účely ze strany Společnosti. Společnost zpracovává pro tyto účely jen osobní údaje v nezbytném rozsahu a pouze pro zamezení dalšího nevyžádaného oslovování.

Proti tomuto zpracování osobních údajů může subjekt údajů kdykoliv vznést námitku a Společnost provede náležitá opatření ke zjištění, zdali je požadavek oprávněný a následně případně požadavku vyhoví. O vyřízení bude subjekt údajů seznámen prostřednictvím komunikačního kanálu, kterým byla žádost podána, pokud si nevyžádá jiný způsob. Společnost vyřídí takový požadavek v souladu s pravidly stanovenými v kapitole 7 tohoto Kodexu chování.

3.5.3 Využití oprávněného zájmu v případech vymáhání nároků

Tento titul zpracování je v rámci Společnosti využíván v případech, kdy subjektu údajů plynou na základě uzavřené smlouvy se Společností povinnosti, které však tímto subjektem údajů nejsou naplněny.

Mezi typické případy takového oprávněného zpracování patří zasílání výzev k úhradě ze strany Společnosti příslušnému subjektu údajů, který je v prodlení s plněním. Společnost v tomto ohledu zpracovává jen a pouze osobní údaje, které jsou nezbytné k naplnění výše uvedeného účelu.

Proti tomuto zpracování osobních údajů může subjekt údajů kdykoliv vznést námitku a Společnost provede náležitá opatření ke zjištění, zdali je požadavek oprávněný a následně případně požadavku vyhoví. O vyřízení bude subjekt údajů seznámen prostřednictvím komunikačního kanálu, kterým byla žádost podána, pokud si nevyžádá jiný způsob. Společnost vyřídí takový požadavek v souladu s pravidly stanovenými v kapitole 7 tohoto Kodexu chování.

3.5.4 Využití oprávněného zájmu pro administrativní a analytické účely

Tento titul zpracování je v rámci Společnosti využíván v případech, kdy jsou osobní údaje v oprávněném zájmu Společnosti předávány třetím osobám.

Společnost předává osobní údaje v rámci skupiny společností náležících do skupiny Aime Cosmetics za účelem administrativy týkající se prodeje výrobků zákazníkům. V rámci tohoto procesu se jedná především o přijetí a vyřízení objednávky výrobků a doručování.

Společnost rovněž zpracovává osobní údaje za účelem efektivního vyhodnocování podnikových výkonů a finančních výsledků a v rámci tohoto zpracování využívá služeb třetích stran.

Proti tomuto zpracování osobních údajů může subjekt údajů kdykoliv vznést námitku a Společnost provede náležitá opatření ke zjištění, zdali je požadavek oprávněný a následně případně požadavku vyhoví. O vyřízení bude subjekt údajů seznámen prostřednictvím komunikačního kanálu, kterým byla žádost podána, pokud si nevyžádá jiný způsob. Společnost vyřídí takový požadavek v souladu s pravidly stanovenými v kapitole 7 tohoto Kodexu chování.

3.6 Právní titul souhlas se zpracováním osobních údajů

Souhlas subjektu údajů se zpracováním jeho osobních údajů může být udělen pro jeden nebo více konkrétních účelů. Tento právní titul Společnost používá výhradně v případech, kde není možnost jiného právního titulu pro zpracování osobních údajů, a to na základě čl. 6 odst. 1 písm. a) Nařízení.

Souhlas se poskytuje například pro účely statistického vyhodnocování dat týkajících se prodeje Výrobků či pro účely přímého marketingu třetích osob.

Společnost dbá na to, aby souhlas byl poskytnut v souladu s Nařízením, zejména pak, aby se jednalo o svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů.

Souhlas se zpracováním osobních údajů může subjekt kdykoli odvolat. Pokud subjekt údajů svůj souhlas se zpracováním odvolá, neznamená to, že by zpracování osobních údajů před takovým odvoláním bylo nezákonné - odvolání souhlasu nemá zpětný účinek a zpracování osobních údajů vycházející z tohoto souhlasu před jeho odvoláním jím není dotčeno. O této skutečnost je subjekt údajů informován před tím, než vyjádří souhlas se zpracováním osobních údajů.

4. Jakým způsobem Společnost zpracovává a zabezpečuje osobní údaje?

Osobní údaje jsou zpracovávány v elektronické podobě automatizovaným způsobem / v elektronické podobě neautomatizovaným způsobem / v tištěné podobě neautomatizovaným způsobem.

Společnost zadává zpracování a zabezpečení osobních údajů Zpracovatelům ze skupiny Aime a to zejména:  

• Postavdelingen s.r.o., IČO: 26078236, se sídlem České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04;

která přijímá technická a organizační opatření k ochraně osobních údajů, která jsou nezbytná k naplnění povinností dle Nařízení. Zpracování se děje s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracovávání i k pravděpodobným a různě vážným rizikům pro práva a svobody fyzických osob.

Na straně Zpracovatele jsou zavedena také vhodná technická a organizační opatření, příměrná tomu, aby zajistila úroveň zabezpečení osobních údajů odpovídající danému riziku zejména náhodnému nebo protiprávnímu zničení, ztrátě, pozměňování, neoprávněnému zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů nebo neoprávněnému přístupu k nim.

Jedná se zejména o zavedení  následujících opatření:

• pseudonymizace osobních údajů – údaje pro vyhodnocování a reportování jsou uvedeny jen v obecných číslech bez uvádění osobních údajů
• systém úrovní oprávnění pro přístup k osobním údajům, autentizace, autorizace;
• antivirová ochrana;
• monitorování přístupů konkrétních osob k osobním údajům;
• monitorování změn provedených konkrétními osobami v osobních údajích;
• rozprostření síťové služby a dat mezi větší počet serverů;
• zálohování

Společnost jako Správce zavázala Zpracovatele pověřeného nakládáním s osobními údaji výhradně dle pokynů Společnosti jako správce osobních údajů.

Zpracovatel zavedl pohotovostní plány a postupy pro případ fyzického či technického incidentu.

Zpracovatel zavedl politiku pravidelného testování, posuzování a hodnocení přijatých bezpečnostních opatření (zejména prověřování bezpečnosti IT systémů, penetrační testování, simulace bezpečnostních incidentů k prověření zavedených postupů či prováděných auditů ze strany externích subjektů.

5. Po jakou dobu zpracovává Společnost osobní údaje?

Osobní údaje budou zpracovávány pouze po dobu potřebnou k naplnění účelu zpracování osobních údajů, která je určena individuálně a o jejíž délce je subjekt osobních údajů informován také individuálně. Nad rámec takto stanovené doby je Společnost oprávněna zpracovávat osobní údaje subjektu údajů po dobu stanovenou zvláštními právními předpisy nebo po dobu potřebnou k vymáhání práv Společnosti vůči subjektu údajů. Konkrétní dobu, po kterou budou osobní údaje daného subjektu údajů zpracovávány, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.

Jakmile je účel zpracování osobních údajů naplněn a Společnost již nemá žádný další účel, pro který by je byla oprávněna zpracovávat, provádí Společnost výmaz osobních údajů. V případě osobních údajů zpracovávaných na základě souhlasu subjektu údajů Společnost provede výmaz osobních údajů také v případě, kdy subjekt údajů svůj souhlas se zpracováním osobních údajů odvolá. Pokud jsou osobní údaje zpracovávány z titulu oprávněného zájmu a subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování, Společnost rovněž osobní údaje vymaže, poté co o tom subjekt údajů informuje.

6. Za jakých podmínek předává Společnost osobní údaje?

Osobní údaje může Společnost jako správce zpracovávat přímo svými zaměstnanci, anebo prostřednictvím třetích osob (dále jen „Zpracovatel“ nebo „Zpracovatelé“), a to zejména společností působících ve skupině Společnosti. Společnost uzavřela s každým Zpracovatelem smlouvu o zpracování osobních údajů. O tom, komu a v jakém rozsahu jsou informace předávány, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.

Společnost předává osobní údaje zejména následujícím společnostem v rámci skupiny:

• Naturamed Services s.r.o., IČO: 28091531, se sídlem České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04;
• Postavdelingen s.r.o., IČO: 26078236, se sídlem České Budějovice - České Budějovice 4, U Smaltovny 625, PSČ: 370 04;
• NaturaMed Pharmaceuticals s.r.o., IČO: 26106965, se sídlem České Budějovice - České Budějovice 4, U  Smaltovny 625, PSČ: 370 04;

a dále následujícím společnostem mimo skupinu:

• společnosti FT Sun s.r.o., IČO:   28120434, se sídlem Pekárenská 761/77c, České Budějovice 4, 370 04 České Budějovice (marketing).

Zpracovatelé poskytli Společnosti dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení a aby byla zajištěna ochrana práv subjektů. Všichni Zpracovatelé doložili Společnosti dostatečné záruky nakládání s předávanými osobními údaji.

Společnost nepředává osobní údaje třetím osobám úplatně.

Osobní údaje mohou být předávány do třetích zemí mimo Evropskou unii a Evropský hospodářský prostor. O tom, komu a v jakém rozsahu jsou informace do třetích zemí mimo Evropskou unii a Evropský hospodářský prostor předávány, se subjekt údajů dozví z informace, kterou mu individuálně předá (zašle) Společnost.

7. Jaká práva má subjekt údajů?

Každý subjekt údajů má následující práva:

1. Právo na informace
2. Právo na přístup k osobním údajům
3. Právo na opravu
4. Právo na výmaz (právo být zapomenut)
5. Právo na omezení zpracování
6. Právo na přenositelnost údajů
7. Právo vznést námitku
8. Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování
9. Právo podat stížnost k Úřadu pro ochranu osobních údajů nebo k jinému příslušnému dozorovému úřadu v souvislosti se zpracováním osobních údajů.

7.1 Kde a jak uplatnit práva subjektu údajů?

Práva uvedená výše ad 1) – 8) může subjekt údajů uplatnit vůči Společnosti:

1. prostřednictvím svého uživatelského účtu na stránkách: www.aime.cz
2. elektronicky na e-mailové adrese: aime@aime.cz
3. telefonicky na čísle 389 005 118
4. písemně na adrese sídla Společnosti.

Právo uvedené výše ad 9) může subjekt uplatnit u Úřadu pro ochranu osobních údajů:

1. elektronicky na e-mailové adrese posta@uoou.cz;
2. prostřednictvím datové schránky ID: qkbaa2n;
3. telefonicky na čísle +420 234 665 111 nebo
4. písemně na adrese Pplk. Sochora 27, 170 00 Praha 7,

případně u jiného příslušného dozorového úřadu v souvislosti se zpracováním osobních údajů.

7.2 Právo na informace (čl. 13 a 14 Nařízení)

Každý subjekt údajů obdrží od Společnosti stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných jazykových prostředků informace související se zpracováním jeho osobních údajů, a to v okamžiku, kdy od něj Společnost získává jeho osobní údaje. Pokud Společnost nezíská osobní údaje přímo od subjektu údajů, poskytne subjektu údajů informace v přiměřené lhůtě po jejich získání, ale nejpozději do jednoho měsíce.

Informace jsou poskytovány prostřednictvím dokumentu Informace o zpracování osobních údajů zpřístupněného subjektu údajů:

• prostřednictvím svého uživatelského účtu na stránkách: www.aime.cz
• zasláním v elektronické formě na emailovou adresu subjektu údajů;
• telefonicky; nebo
• zasláním poštou na kontaktní adresu subjektu údajů.

7.3 Právo na přístup k osobním údajům (čl. 15 Nařízení)

Subjekt údajů ve své žádosti adresované Společnosti určí, kterou ze tří níže uvedených složek práva na přístup k osobním údajům využívá:

1. Subjekt údajů má právo získat od Společnosti potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány.
2. Pokud Společnost osobní údaje subjektu údajů zpracovává, je povinna mu sdělit následující informace (o které z těchto informací konkrétně subjekt žádá, rovněž stanoví ve své žádosti):
   1. účely zpracování;
   2. kategorie dotčených osobních údajů;
   3. příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
   4. plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
   5. existence práva požadovat od Společnosti opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování;
   6. právo podat stížnost u Úřadu pro ochranu osobních údajů nebo u jiného příslušného dozorového úřadu v souvislosti se zpracováním osobních údajů;
   7. veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
   8. skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Pokud Společnost osobní údaje subjektu údajů zpracovává, je povinna poskytnout subjektu údajů bezplatně kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může Společnost účtovat přiměřený poplatek odpovídající administrativním nákladům na pořízení těchto kopií. Právem získat kopii zpracovávaných osobních údajů nesmějí být nepříznivě dotčena práva a svobody jiných osob.

Jestliže subjekt údajů podává žádost v elektronické formě, budou informace poskytnuty v běžně používané elektronické formě, leda že by subjekt údajů ve své žádosti uvedl, že požaduje jiný způsob poskytnutí informací. O opatřeních přijatých na základě žádosti subjektu údajů informuje Společnost subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

Pokud jsou osobní údaje předávány do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o dalších skutečnostech týkajících se předání osobních údajů.

7.4 Právo na opravu (čl. 16 Nařízení)

Subjekt údajů má právo na:

1. opravu nepřesných osobních údajů, které se ho týkají;
2. doplnění neúplných osobních údajů s přihlédnutím k účelům zpracování, a to i prostřednictvím poskytnutí dodatečného prohlášení.

Právo na opravu či doplnění subjekt údajů uplatní prostřednictvím žádosti, v níž subjekt údajů uvede své identifikační údaje, právo, jež prostřednictvím žádosti uplatňuje a způsob, jakým si přeje být informován o opatřeních přijatých Společností.

O opatřeních přijatých na základě žádosti subjektu údajů informuje Společnost subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

Společnost oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuje Společnost subjekt údajů o takto informovaných příjemcích.

7.5 Právo na výmaz / právo být zapomenut (čl. 17 Nařízení)

Na žádost subjektu údajů (a v určitých případech i bez žádosti – např. pomine-li účel zpracování, ztratí-li Společnost právní titul pro zpracovávání určité kategorie osobních údajů) Společnost bez zbytečného odkladu vymaže jeho osobní údaje, pokud je dán  některý z níže uvedených důvodů:

1. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
2. subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;
3. subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování osobních údajů pro účely přímého marketingu;
4. osobní údaje byly zpracovány protiprávně;
5. osobní údaje musí být vymazány ke splnění právní povinnosti stanovené právem Evropské unie nebo členského státu, které se na Společnost vztahuje;
6. osobní údaje dítěte byly shromážděny v souvislosti s nabídkou služeb informační společnosti učiněnou přímo dítěti.

V žádosti o výmaz osobních údajů subjekt údajů uvede své identifikační údaje, právo, jež prostřednictvím žádosti uplatňuje a způsob, jakým si přeje být informován o opatřeních přijatých Společností.

Jestliže Společnost osobní údaje zveřejnila a je povinna je vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informovala správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.

Výše uvedené neplatí, pokud je zpracování osobních údajů nezbytné:

1. pro výkon práva na svobodu projevu a informace;
2. pro splnění právní povinnosti, jež vyžaduje zpracování osobních údajů podle práva Evropské unie nebo členského státu, které se na Společnost vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je Společnost pověřena;
3. z důvodů veřejného zájmu v oblasti veřejného zdraví;
4. pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by využití práva na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
5. pro určení, výkon nebo obhajobu právních nároků.

Společnost oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré výmazy osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuje Společnost subjekt údajů o tom, kteří příjemci osobních údajů byly takto informováni.

O opatřeních přijatých na základě žádosti subjektu údajů informuje Společnost subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena. Pokud na základě jedné z výše uvedených výjimek Společnost odmítne osobní údaje vymazat, informuje o tom subjekt údajů ve lhůtě jednoho měsíce od doručení žádosti, odůvodní užití výjimky a poučí subjekt údajů o právu podat stížnost u Úřadu pro ochranu osobních údajů nebo u jiného příslušného dozorového úřadu v souvislosti se zpracováním osobních údajů nebo žádat soudní ochranu.

7.6 Právo na omezení zpracování (čl. 18 a 19 Nařízení)

Subjekt údajů má právo na to, aby Společnost omezila zpracování jeho osobních údajů, v kterémkoli z těchto případů:

1. subjekt údajů popírá přesnost osobních údajů; v tomto případě bude zpracování omezeno na dobu potřebnou k tomu, aby Společnost mohla přesnost osobních údajů ověřit;
2. zpracování osobních údajů je protiprávní, subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
3. Společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
4. subjekt údajů uplatnil právo vznést námitku proti zpracování osobních údajů; v tomto případě bude zpracování omezeno, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.

O opatřeních přijatých na základě žádosti subjektu údajů informuje Společnost subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

V důsledku omezení zpracování osobních údajů může Společnost předmětné osobní údaje nadále ukládat, avšak zpracovány mohou být pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Evropské unie nebo některého členského státu. V těchto případech bude subjekt údajů, který dosáhl omezení zpracování osobních údajů, Společností předem upozorněn na to, že omezení zpracování bude zrušeno.

Společnost oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškerá omezení zpracování osobních údajů, pokud je to možné s vynaložením přiměřeného úsilí. Pokud to subjekt údajů požaduje, informuje Společnost subjekt údajů o tom, kterým příjemcům bylo takové oznámení podáno.

7.7 Právo na přenositelnost údajů (čl. 20 Nařízení)

Subjekt údajů má právo získat osobní údaje, které se ho týkají, které poskytl Společnosti a které jsou zpracovávány automatizovaně, pokud je současně splněna některá z níže uvedených podmínek:

1. osobní údaje jsou zpracovávány pro konkrétní účel/-y na základě souhlasu subjektu údajů;
2. jedná se o zvláštní kategorii osobních údajů zpracovávaných pro jeden nebo více stanovených účelů na základě výslovného souhlasu uděleného subjektem údajů; nebo
3. zpracování osobních údajů je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů.

Za osobní údaje poskytnuté Společnosti jsou považovány údaje, které subjekt údajů přímo, vědomě a aktivně sdělil Společnosti např. prostřednictvím formuláře.

O opatřeních přijatých na základě žádosti subjektu údajů informuje Společnost subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

Společnost osobní údaje subjektu údajů poskytne ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů je oprávněn předat získané osobní údaje jinému správci osobních údajů. Subjekt údajů si ve své žádosti zvolí, zda má Společnost osobní údaje poskytnout subjektu údajů nebo zda využije právo na to, aby jeho osobní údaje byly předány Společností přímo jinému správci/zpracovateli, je-li to technicky proveditelné.

Právem na přenositelnost údajů nesmí být nepříznivě dotčena práva a svobody jiných osob.

7.8 Právo vznést námitku (čl. 21 Nařízení)

V případě zpracování osobních údajů na základě právního titulu oprávněného zájmu Společnosti má subjekt údajů právo vznést námitku proti zpracování svých osobních údajů z důvodů týkajících se jeho konkrétní situace, které v námitce popíše. Námitku může subjekt údajů podat

• prostřednictvím svého uživatelského účtu na stránkách: www.aime.cz
• elektronicky na e-mailové adrese: aime@aime.cz
• telefonicky na čísle 389 005 118
• písemně na adrese sídla Společnosti.

O opatřeních přijatých na základě žádosti subjektu údajů informuje Společnost subjekt údajů do jednoho měsíce od obdržení žádosti, nejpozději však do tří měsíců od obdržení žádosti, byla-li lhůta v případě odůvodněné potřeby prodloužena.

V případě obdržení námitky Společnost osobní údaje přestane zpracovávat (ponechá si je pouze uložené) a provede posouzení, zda má závažné oprávněné důvody pro jejich zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud Společnost dojde k závěru, že takové důvody má, informuje o tom subjekt údajů, sdělí mu zároveň možnosti další obrany a ve zpracování osobních údajů pokračuje. Pokud Společnost naopak dojde k závěru, že dostatečné důvody pro zpracování osobních údajů nemá, subjekt údajů o tom informuje, zpracování ukončí a provede výmaz osobních údajů.

Subjekt údajů má právo vznést kdykoli námitku proti zpracování osobních údajů pro účely přímého marketingu, v důsledku čehož Společnost osobní údaje pro tento účel přestane zpracovávat.

Společnost na výše uvedené právo vznést námitku subjekt údajů výslovně, zřetelně a odděleně od jiných informací upozorní nejpozději v okamžiku první komunikace se subjektem údajů.

7.9 Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování (čl. 22 Nařízení)

Společnost spravuje osobní údaje s respektem k právu subjektu údajů nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů, které se subjektu údajů významně dotýká, a to včetně profilování (tj. jakékoli formy automatizovaného zpracování osobních údajů spočívajícího v jejich použití k rozboru, odhadu nebo hodnocení určitých aspektů týkajících se subjektu údajů – např. pracovního výkonu, ekonomické situace, zájmů, apod.).

Společnost může při správě osobních údajů učinit subjekt údajů předmětem automatizovaného rozhodnutí, pokud je takové rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a Společností, nebo pokud je rozhodnutí povoleno právním předpisem Evropské unie nebo českého právního řádu současně vhodně zajišťujícím ochranu práv a svobod a oprávněných zájmů subjektu údajů, nebo pokud subjekt údajů k takovému rozhodnutí udělil výslovný souhlas.

8. Související dokumentace

Související právní předpisy (ve znění pozdějších předpisů):

9. Závěrečná a přechodná ustanovení

Závěrečná ustanovení

Tento dokument nabývá platnosti dnem jeho schválení (podpisem) a účinnosti dnem uvedeným ve schvalovací tabulce.

Platnost od 25. 5. 2018.

Zpracoval Jana Wakeford.