EN
arrow

Informace o zpracování osobních údajů

 

 INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Právní předpis

Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR)

Pořizovatel dokumentace

Restaurant 59 s.r.o.

Právní subjektivita

společnost s ručením omezeným

DPO

NE

Analýza rizik

ANO

DPIA

NE

Dokumentace k datu

25. 5. 2018

Obsah

  1. Identifikace správce. 3
  2. Postup zpracování dokumentace GDPR. 3
  3. Účely zpracování osobních údajů. 4
  4. Právní základ pro zpracování osobních údajů. 4
  5. Kategorie zpracovávaných osobních údajů. 5
  6. Kategorie příjemců osobních údajů. 5
  7. Doba uložení osobních údajů. 5
  8. Pověřenec pro ochranu osobních údajů (DPO). 5
  9. Práva subjektů údajů. 6

 

 

1.    Identifikace správce

 

Název:

Restaurant 59 s.r.o.

Sídlo:

Svatopluka Čecha 2010/59, 466 02 Jablonec nad Nisou

IČO:

04656474

Statutární zástupce:

Aleš Procházka

Martin Lejsek

Předmět činnosti:

1. Hostinská činnost
2. Prodej kvasného lihu, konzumního lihu a lihovin
3. Výroba, obchod a služby neuvedené v přílohách 1 až 3 živnostenského zákona
» Výroba potravinářských a škrobárenských výrobků
» Zprostředkování obchodu a služeb
» Velkoobchod a maloobchod
» Ubytovací služby
» Poskytování software, poradenství v oblasti informačních technologií, zpracování dat, hostingové a související činnosti a webové portály
» Realitní činnost, správa a údržba nemovitostí
» Příprava a vypracování technických návrhů, grafické a kresličské práce
» Reklamní činnost, marketing, mediální zastoupení
» Provozování cestovní agentury a průvodcovská činnost v oblasti cestovního ruchu
» Provozování kulturních, kulturně-vzdělávacích a zábavních zařízení, pořádání kulturních produkcí, zábav, výstav, veletrhů, přehlídek, prodejních a obdobných akcí
» Výroba, obchod a služby jinde nezařazené

Provozovna / pracoviště

Svatopluka Čecha 2010/59, 466 02 Jablonec nad Nisou

Aktivní činnosti správce údajů k 1.5.2018:

1 - 3

 

2.    Postup zpracování dokumentace GDPR

 

V rámci přípravy organizace na systém ochrany osobních údajů fyzických osob dle Nařízení (EU) 2016/679 (GDPR) účinného ode dne 25. 5. 2018 zpracovala společnost Restaurant 59 s.r.o. jako správce osobních údajů fyzických osob kompletní dokumentaci, jejímž obsahem je:

  • zpracování vstupní analýzy GDPR, zmapování zpracovávaných osobních údajů v agendách organizace;
  • specifikace řešených agend
  • identifikace a zařazení osobních údajů do řešených agend
  • specifikace osobních údajů – vytvoření katalogu osobních údajů v každé řešené agendě:
  • subjekt osobních údajů
  • právní titul pro zpracování osobních údajů
  • účel zpracování osobních údajů
  • role organizace ve zpracování osobních údajů
  • druh osobních údajů
  • poskytovatel osobních údajů
  • forma poskytnutí osobních údajů
  • datový zdroj osobních údajů
  • operace zpracování osobních údajů – operace zpracování jsou specifikované ke každé agendě zvlášť
  • identifikace a specifikace zabezpečení osobních údajů v rámci každé agendy – vazba na datový zdroj osobních údajů
  • identifikace a specifikace přístupů k osobním údajům řešené agendy – vazba na datový zdroj osobních údajů
  • analýza rizik zpracování osobních údajů s ohledem na typ osobních údajů, rozsah zpracování osobních údajů a možné dopady na subjekty údajů.

 

Kompletní dokumentace k GDPR je uložena v sídle organizace:

Restaurant 59 s.r.o., Svatopluka Čecha 2010/59, 466 02 Jablonec nad Nisou

 

3.    Účely zpracování osobních údajů

 

Osobní údaje subjektů údajů (fyzických osob) zpracovává správce údajů pro následující účely:

  • plnění smluvních vztahů (dodavatelé, partneři)
  • vedení účetnictví
  • vedení zaměstnanecké agendy, zpracování mezd
  • poskytování služeb restaurace – zákazníci restaurace (poukazy, rezervace)
  • poskytování služeb rozvozu jídel
  • poskytování ubytovacích služeb – hosté v hotelu (ubytování, rezervace)
  • plnění zákonné povinnosti - evidence ubytovaných (občané ČR, cizinci)
  • realizace přímého marketingu

 

4.    Právní základ pro zpracování osobních údajů

 

Zpracování osobních údajů provádí správce údajů na základě:

  • plnění smluvních povinností,
  • plnění právních povinností, které vyplývají z právních předpisů ČR, jde zejména o následující právní předpisy:
  • zák. č. 89/2012 Sb.
  • zák. č. 563/1991 Sb.
  • zák. č. 235/2004 Sb.
  • předpisy, které upravují povinnosti organizace správce jako zaměstnavatele
  • 326/1999 Sb.
  • 565/1990 Sb.,
  • oprávněného zájmu správce údajů.

 

 

5.    Kategorie zpracovávaných osobních údajů

 

Pro jednotlivé účely zpracování zpracovává správce údajů zejména následující kategorie osobní údaje:

  • identifikační údaje
  • adresní údaje
  • kontaktní údaje nezbytné pro komunikaci se subjekty údajů (zákazníci, partneři)
  • údaje nezbytné pro plnění povinnosti zaměstnavatele
  • údaje nezbytné pro plnění právních povinností poskytovatele ubytovacích služeb

 

6.    Kategorie příjemců osobních údajů

 

Příjemci osobních údajů spravovaných správcem údajů jsou:

  • orgány veřejné moci (na základě plnění právní povinnosti správce údajů vůči orgánům veřejné moci),
  • zpracovatelé osobních údajů, kteří zpracovávají osobní údaje pro správce na základě smluvního vztahu – se všemi zpracovateli osobních údajů je uzavřena smlouva o zpracování osobních údajů pro zajištění plnění povinností dle Nařízení Evropského parlamentu a Rady (EU) 2016/679 (GDPR),
  • správce nepředává žádné osobní údaje do zahraničí.

 

7.    Doba uložení osobních údajů

 

Správce osobních údajů zpracovává a ukládá osobní údaje subjektů údajů:

  • ve lhůtách stanovených právními předpisy (plnění právní povinnosti),
  • po dobu nezbytně nutnou pro splnění závazku (plnění smluvní povinnosti) a po dobu návaznou s ohledem na plnění právních povinností (např. vedení účetnictví, daňová agenda),
  • zpracovává-li správce osobní údaje na základě souhlasu subjektu údajů, je doba uložení odvislá od účelu souhlasu a doby, na kterou byl souhlas udělen s tím, že subjekt údajů může svůj souhlas kdykoliv odvolat a správce dále jeho osobní údaje nezpracovává a neukládá.

 

8.    Pověřenec pro ochranu osobních údajů (DPO)

 

Společnost Restaurant 59 s r.o. nemá dle ustanovení čl. 37 Nařízení (EU) 2016/679 povinnost jmenovat pověřence pro ochranu osobních (DPO).

 

9.    Práva subjektů údajů

 

Subjekt údajů má dle ustanovení kapitoly III. nařízení Evropského parlamentu a rady (EU) č. 2016/679 (obecné nařízení o ochraně osobních údajů - GDPR) v souvislosti s ochranou osobních údajů definovaná práva.

 

Subjekt údajů má tato základní práva:

  • právo být informován o zpracování svých osobních údajů (čl. 13, 14)
  • právo na přístup k osobním údajům (čl. 15)
  • právo na opravu, resp. doplnění osobních údajů (čl. 16)
  • právo na výmaz osobních údajů - „právo být zapomenut“ (čl. 17)
  • právo na omezení zpracování osobních údajů (čl. 18)
  • právo na přenositelnost údajů (čl. 20)
  • právo vznést námitku (čl. 21)
  • právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování (čl. 22)

 

  • Právo být informován o zpracování svých osobních údajů

 

Obecné nařízení formálně rozlišuje poskytování informací v případě, že osobní údaje jsou získány od subjektu údajů, resp. nejsou získány od subjektu údajů. Úplný výčet informací, které správce poskytuje při shromažďování osobních údajů, lze nalézt v článcích 13 a 14 obecného nařízení.

 

  • Právo na přístup k osobním údajům

 

Přístupem k osobním údajům se rozumí oprávnění subjektu údajů na základě jeho aktivní žádosti získat od správce informaci (potvrzení), zda jsou či nejsou jeho osobní údaje zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat a zároveň má právo získat následující informace:

  • účely zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

Pokud správce o fyzické osobě žádné údaje nezpracovává, poskytuje se informace, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany správce.

 

  • Právo na opravu / doplnění osobních údajů

 

Toto právo vyplývá ze zásady přesnosti. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

 

  • Právo být zapomenut

 

Právo na výmaz osobních údajů, tj. „právo být zapomenut“ představuje povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 obecného nařízení.

Právo na výmaz se tedy uplatní jen ve vyčtených bodech, tj. když nastane daná okolnost. Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze např. v rámci práva být zapomenut žádat likvidaci všech osobních údajů např. při ukončení zaměstnání či poskytování finančních služeb, jelikož na správce se vztahují povinnosti o dalším uchování některých osobních údajů.

 

  • Právo na omezení zpracování osobních údajů

 

Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

  • subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
  • zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  • správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  • subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

 

Pokud bylo zpracování omezeno podle prvního bodu, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu. Subjekt údajů, který dosáhl omezení zpracování podle prvního bodu, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

 

  • Právo na přenositelnost osobních údajů

 

Podstatou práva na přenositelnost osobních údajů je možnost za určitých podmínek získat osobní údaje, které se týkají subjektu údajů a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné.

 

Společné podmínky k aplikaci práva na přenositelnost:

  • musí jít o zpracování založené na právním důvodu souhlasu či smlouvě,
  • zpracování se provádí automatizovaně.

 

Výkonem práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob.

 

  • Právo vznést námitku

 

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které jsou zpracovávány na základě právních důvodů:

  • zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany.

 

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

 

Námitku lze vznést i proti zpracování osobních údajů pro účely přímého marketingu nebo profilování. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

 

  • Právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky, zahrnujíce i profilování

 

Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká. Jde tedy o zajištění, aby se o právních účincích nerozhodovalo automatizovanými postupy bez lidské ingerence, kromě možných výjimek.

 

Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo členským státem nebo pokud je založeno na výslovném souhlasu subjektu údajů.

 

Výše uvedené informace podle článků 13 a 14 a veškerá sdělení a úkony podle článků 15 až 22 a 34 obecného nařízení se poskytuje a činí správce údajů bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.

 

V případě žádosti subjektu údajů v oblasti práv subjektu údajů podle článků 15 až 22 obecného nařízení, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu, nejpozději však do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.