Politikaochrany osobních údajů

Shrnutí

Tato Politika ochrany osobních údajů skupiny CPI (“Politika ochrany osobních údajů”) stanovuje pravidla ochrany osobních údajů ve skupině CPI PROPERTY GROUP a jejích spřízněných společnostech (“společnosti CPIPG”) včetně souvisejících povinností společností CPIPG. Politika ochrany osobních údajů odráží pravidla ochrany osobních údajů vyžadované GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.

Společnosti CPIPG berou ochranu osobních údajů vážně a s osobními údaji při výkonu své podnikatelské činnosti nakládají s dostatečnou opatrností a odpovědností. Porušení zabezpečení osobních údajů může mít vážné právní a ekonomické důsledky pro společnosti CPIPG, jejich zaměstnance a subjekty údajů, a rovněž může poškodit dobrou pověst společností CPIPG. Implementací Politiky ochrany osobních údajů napříč společnostmi CPIPG budou minimalizována rizika porušení zabezpečení osobních údajů i rizika z něj vyplývající.

Rozsah

Tato Politika ochrany osobních údajů je závazná pro společnosti CPIPG a jejich zaměstnance. Týká se veškerého zpracování osobních údajů, na které se vztahuje GDPR a národní legislativa členských států.

1. Postupy a kompetence

Následující odstavce popisují postupy, které společnosti CPIPG dodržují při zpracování osobních údajů. Dále obsahují stručný popis rozdělení kompetencí a klíčových rolí ve společnostech CPIPG v oblasti zpracování osobních údajů.

1.1 Všeobecné povinnosti

Společnosti CPIPG zavedly a budou nadále zavádět vhodná technická a organizační opatření, která zajistí ochranu osobních údajů před jejich zneužitím, ztrátou či poškozením, a budou s údaji zacházet v souladu s GDPR a národní legislativou členských států v oblasti ochrany osobních údajů. Ochrana osobních údajů se vztahuje na zpracování osobních údajů partnerů a zaměstnanců společností CPIPG, jejich rodinných příslušníků, uchazečů o zaměstnání, zákazníků a dalších fyzických osob, jejichž osobní údaje jsou zpracovávány společnostmi CPIPG.

1.2 Základní zásady ochrany osobních údajů

Společnosti CPIPG při zpracování osobních údajů respektují základní zásady stanovené v GDPR. Příslušné základní zásady jsou uvedeny níže:

1.3 Právní základy zpracování a účely zpracování osobních údajů

Zpracování osobních údajů je vždy založeno na právních základech zpracování, mezi které patří souhlas se zpracováním osobních údajů, splnění právní povinnosti, splnění smlouvy, oprávněný zájem, veřejný zájem nebo ochrana zájmů subjektu údajů.

1.4 Zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se trestních věcí

Zvláštní kategorie osobních údajů a osobní údaje týkající se trestních věcí jsou obzvláště citlivé, a tudíž se na ně vztahuje vysoký stupeň ochrany. Jakékoli zpracování zvláštních kategorií osobních údajů je konzultováno s pověřencem.

1.5 Předávání osobních údajů

Společnosti CPIPG mohou osobní data zpřístupnit třetím stranám (včetně předávání osobních údajů v rámci skupiny) pouze za určitých podmínek. Osobní údaje mohou být zpřístupněny třetí straně v postavení zpracovatele na základě smlouvy o zpracování osobních údajů. Osobní údaje mohou být rovněž zpřístupněny jiné třetí straně v postavení správce nebo společného správce na základě příslušných smluvních ujednání.

V případě požadavků na opravu nebo výmaz osobních údajů nebo omezení zpracování, informují společnosti CPIPG za určitých podmínek příslušné třetí strany, jimž byly osobní údaje zpřístupněny, s výjimkou situací, kdy takové informování není proveditelné nebo vyžaduje nepřiměřené úsilí. Společnosti CPIPG informují subjekt údajů o třetích stranách, jimž byly dotčené osobní údaje zpřístupněny, pouze na žádost subjektu údajů.

Za určitých podmínek mohou společnosti CPIPG osobní údaje předávat také do třetích zemí mimo EHP nebo Evropskou unii nebo mezinárodním organizacím. Při posuzování zákonných podmínek, za nichž je možné předání osobních údajů do třetích zemí nebo mezinárodním organizacím, se společnosti CPIPG radí s pověřencem.

1.6 Práva subjektů údajů

Společnosti CPIPG podnikají všechny kroky nutné k tomu, aby subjekty údajů mohly vykonávat svá práva stanovená GDPR. Ve vztahu ke zpracování osobních údajů patří mezi práva subjektů údajů právo na přístup k osobním údajům, právo na opravu, omezení zpracování, přenositelnost nebo výmaz osobních údajů, právo vznést námitku proti zpracování osobních údajů a právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů.

Subjekty údajů mohou uplatnění svých práv požadovat prostřednictvím písemné nebo ústní žádosti. Za účelem zajištění dostatečné ochrany osobních údajů zpracovávaných společnostmi CPIPG a s cílem předcházet zneužití osobních údajů přijaly společnosti CPIPG níže uvedená pravidla pro ověření totožnosti subjektů údajů.

Písemné žádosti

Pro písemnou žádost o uplatnění určitého práva subjekt údajů vyplní formulář žádosti, který tvoří přílohu této Politiky ochrany osobních údajů, ke stažení je zde. Podpis subjektu údajů na formuláři musí být úředně ověřený. V závislosti na místním právu může být podpis ověřen např. v notářské kanceláři, na poště, v advokátní kanceláři, na konzulátu či na obecním / krajském úřadě. Podpis musí být úředně ověřen v zemi, ve které je žádost dané společnosti CPIPG podána osobně na adrese sídla příslušné společnosti CPIPG, nebo ze které byla žádost odeslána poštou prostřednictvím poskytovatele poštovních služeb nebo ověřenými elektronickými prostředky (např. datové schránky v České republice). Zejména v případě, že subjekt údajů odešle žádost poštou prostřednictvím poskytovatele poštovních služeb ze zemí mimo Evropský hospodářský prostor nebo Evropskou Unii, může být příslušnou společností CPIPG kontaktován za účelem dalšího ověření jeho totožnosti.

Ústní žádosti

Uplatnění určitého práva mohou subjekty údajů požadovat také osobně na adrese sídla příslušné společnosti CPIPG. Vaše totožnost bude ověřena pověřeným zaměstnancem (např. na recepci) na základě předložení jednoho z následujících dokumentů: občanského průkazu, cestovního pasu nebo dalšího dokumentu s fotografií dostatečně způsobilou k tomu, aby umožnila Vaši jasnou identifikaci.

Výkonem práv subjektů údajů nesmí být dotčena práva třetích osob. V případě, že žádosti subjektů údajů budou zjevně neopodstatněné nebo nepřiměřené, zejména z důvodu jejich opakující se povahy, mohou společnosti CPIPG pro zodpovězení žádosti požadovat přiměřený poplatek nepřekračující nezbytné náklady na poskytnutí informací uvedených výše nebo na zajištění uplatnění práv subjektů údajů.

Společnosti CPIPG zajišťují dostatečnou komunikaci a spolupráci tak, aby byly všechny přijaté žádosti zpracovány v přiměřené době. Společnosti CPIPG úzce spolupracují na tom, aby danému subjektu údajů poskytly odpověď v předepsané lhůtě.

1.7 Role a povinnosti

Společnosti CPIPG a jejich statutární orgány jsou odpovědné za zajištění souladu s GDPR a příslušnou národní legislativou členských států v oblasti ochrany osobních údajů.

1.8 Pověřenec pro ochranu osobních údajů a zástupce v EU

Společnosti CPIPG se sídlem v EU uvedené v příloze jmenovaly pověřence s funkční a organizační odpovědností za soulad s právními předpisy a interními předpisy společností CPIPG v oblasti ochrany osobních údajů.

Pověřence je možné kontaktovat e-mailem dpo@cpipg.com nebo poštou na adrese Vladislavova 1390/17, 110 00 Praha 1, Česká republika.

Společnosti CPIPG se sídlem mimo EU uvedené v příloze jmenovaly v souladu s čl. 27 GDPR zástupce s odpovědností za soulad s právními předpisy v oblasti ochrany osobních údajů. Zástupcem byla jmenována společnost Vilanel, a.s., se sídlem Vladislavova 1390/17, Praha 1, Česká republika, zapsaná u Městského soudu v Praze, sp. zn. B 13297, IČ: 28211367. Zástupce je možné kontaktovat na e-mailové adrese: representative@vilanel.cz nebo poštou na výše uvedené adrese. Více informací o zástupci naleznete zde.

1.9 Povinnosti vlastníků údajů a všech zaměstnanců

Všichni vlastníci údajů v rámci společností CPIPG a všichni zaměstnanci mají povinnost osobní údaje zpracovávat v souladu s interními předpisy společností CPIPG, GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.

1.10 Ohlašování případů porušení zabezpečení osobních údajů

Společnosti CPIPG oznamují domnělé porušení zabezpečení osobních údajů příslušnému pověřenci/zástupci EU okamžitě, v každém případě nejpozději do 24 hodin. Pokud porušení zabezpečení osobních údajů splňuje požadavky na ohlášení příslušnému dozorovému úřadu a/nebo subjektům údajů, pověřenec/zástupce EU tuto povinnost splní do 72 hodin od porušení zabezpečení osobních údajů.

1.11 Výmaz osobních údajů

Společnosti CPIPG zpracovávají osobní údaje pouze po nezbytnou dobu. Za následujících okolností se osobní údaje vymazávají nebo anonymizují:

Společnosti CPIPG při výmazu a anonymizaci kladou důraz na dodržování nezbytných bezpečnostních opatření.

1.12 Správa dokumentů

Společnosti CPIPG nakládají s dokumenty v souladu s GDPR. Pravidla pro přijímání, evidování, oběh, ukládání a vyřazení (skartaci) dokumentů ve společnostech CPIPG jsou zakotvena v platných skartačních řádech společností CPIPG.

Po ukončení archivační doby jsou dokumenty vyřazeny v souladu s nastaveným skartačním řízením, a to s prokazatelným záznamem (schválení vlastníkem dokumentů; schválení příslušného státního oblastního archivu; potvrzení o skartaci).

1.13 Zveřejňování osobních údajů ve veřejných médiích a na intranetu

Společnosti CPIPG mohou osobní údaje zveřejnit na intranetu, internetu nebo v jakémkoli jiném médiu pouze se souhlasem dotčeného subjektu údajů, pokud v konkrétním případě neexistuje jiný právní základ zpracování.

1.14 Informace o zpracování osobních údajů

Pokud společnosti CPIPG získávají osobní údaje týkající se subjektů údajů přímo od těchto subjektů údajů, jsou těmto subjektům informace o zpracování jejich osobních údajů poskytnuty v okamžiku získání osobních údajů. Pokud osobní údaje nejsou získány přímo od subjektů údajů, jsou jim informace o zpracování poskytnuty následně, většinou při první komunikaci s daným subjektem.

Informace o vybraných zpracováních osobních údajů, v případech, kdy není možné informace o zpracování poskytnout subjektům údajů při jejich získání,  jsou dostupná zde: Informace o vybraných zpracováních osobních údajů.

2. Základní termíny/zkratky

Subjekt údajů

Identifikovaná nebo identifikovatelná fyzická osoba, jejíž osobní údaje se zpracovávají; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Správce údajů

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Zpracovatel

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Osobní údaje

Veškeré informace o identifikované nebo identifikovatelné fyzické osobě.

Zvláštní kategorie osobních údajů

Osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Národní legislativa členských států v oblasti ochrany osobních údajů

Legislativa v oblasti ochrany osobních údajů přijatá členskými státy v souladu s GDPR.

GDPR

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Zpracování osobních údajů

Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Pověřenec

Pověřenec pro ochranu osobních údajů (DPO).

Zástupce v EU

Fyzická nebo právnická osoba usazená v EU, jmenovaná písemně správcem nebo zpracovatelem podle článku 27 GDPR, zastupuje správce nebo zpracovatele při plnění příslušných povinností podle GDPR.

Anonymizované informace

Informace, které se netýkají identifikované či identifikovatelné fyzické osoby, včetně osobních údajů anonymizovaných tak, že subjekt údajů není nebo již přestal být identifikovatelným.

Třetí strana

Jakákoli právnická nebo fyzická osoba, která není zaměstnancem společnosti, s výjimkou subjektů údajů.

Souhlas

Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Příloha č. 1 – Seznam společností CPIPG, které jmenovaly pověřence

CZE

SVK

POL

HUN

ROU

Příloha č. 2 – Seznam společností CPIPG se sídlem mimo EU, které jmenovaly zástupce v EU

Příloha č. 3 – Vzor žádosti

Žádost o uplatnění práva subjektu údajů podle GDPR (Obecné nařízení o ochraně osobních údajů)

Poučení pro žadatele

Máte-li pochybnost či dotaz ke způsobu podání žádosti, můžete nás kontaktovat emailem na adrese dpo@cpipg.com (DPO) / representative@vilanel.cz (zástupce v EU). Upozorňujeme, že přijímání žádosti prostřednictvím elektronické pošty - e-mailu není garantovaným způsobem komunikace a eho bezpečnost, původ ani spolehlivé doručení nelze zajistit.