Informační memorandum

verze 25.5.2018

Pravidla zpracování osobních údajů ve společnosti Froglet, s.r.o.

Dne 25. května 2018 vstoupilo v platnost nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů, o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). Toto informační memorandum obsahuje informace související se zpracováváním osobních údajů v rámci společnosti Froglet, s.r.o.

Definice pojmů

Osobní údaj Jakákoliv informace týkající se určeného nebo určitého subjektu údajů. Subjekt údajů se považuje za určený nebo určitý, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
Citlivý údaj Osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.
Subjekt údajů Fyzická osoba, k níž se osobní údaje vztahují (např.: zákazník, klient, zaměstnanec)
Správce Každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit jiného zpracovatele, pokud zvláštní zákon nestanoví jinak.
Zpracovatel Každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona/pověření.
Zpracování osobních údajů Jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Souhlas subjektu údajů Souhlasem subjektu údajů se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.
GDPR Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. Představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který od 25. května 2018 stanovuje pravidla pro zpracování osobních údajů, včetně práv subjektu údajů. V českém právním prostředí tak obecné nařízení nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů práva při zpracování osobních údajů.

1. Kdo spravuje osobní údaje subjektu údajů resp., kdo je jejich správcem?

Správcem Vašich osobních údajů jsou Froglet, s.r.o., IČO: 01395238, se sídlem Palackého náměstí 392, 386 01 Strakonice, zapsaná u Krajského soudu v Českých Budějovicích, oddíl C, vložka 27055 (dále jen „Společnost“ nebo „správce“).

2. Kdo je kontaktní osobou pro ochranu osobních údajů a jaké jsou jeho kontaktní údaje?

Kontaktní osobou pro ochranu osobních údajů je osoba jmenovaná správcem nebo zpracovatelem osobních údajů na základě jeho profesních kvalit, která plní zákonem stanovené úkoly, zejména působí jako kontaktní místo pro subjekt, ve všech záležitostech souvisejících se zpracováním osobních údajů a výkonem práv subjektu údajů ve smyslu zákona.

V rámci Společnosti je kontaktní osobou pro zpracování a ochranu osobních údajů:

Ing. Petr Kratochvíl, MBA
Froglet, s.r.o., Palackého náměstí 392, 386 01 Strakonice
e-mail: gdpr@froglet.cz
tel: +420 723 537 566

3. Jaké jsou účely zpracování osobních údajů a právní základ pro jejich zpracování (důvod zpracování)?

Účely zpracování osobních údajů subjektu údajů jsou:

  • Poskytování zprostředkovatelských a poradenských služeb včetně všech činností slučitelných s tímto účelem.
  • Zjednodušení a digitalizace komunikace mezi subjektem údajů a společností Froglet
  • Zpřístupnění osobních údajů v klientském portálu subjektům údajů a poradcům společnosti Froglet

Zpracováním se rozumí zejména shromažďování, uložení, kontrola, vyhledávání, nahlížení, použití, výmaz dat s cílem poskytovat subjektu údajů maximální kvalitu služeb.

Naše klienty nechceme obtěžovat zbytečnou a nevhodnou komunikací. Osobní údaje, které zpracováváme, využíváme především k plnění zákonných povinností a povinností, plynoucích nám ze smluv uzavřených se subjekty údajů nebo s jinými zpracovateli či správci osobních údajů s nimiž si osobní údaje vyměňujeme za účelem zajištění požadovaných služeb nebo na základě výslovného souhlasu subjektu údajů.

4. Jaké osobní údaje zpracováváme?

Zpracováváme osobní údaje, které jsou pro výše uvedené účely zpracování nezbytné. Jedná se zejména o tyto:

  • identifikační údaje (např.: tituly, jméno, příjmení, datum narození či rodné číslo, údaje z dokladů totožnosti, údaje o biometrickém podpisu, fotografie subjektu údajů, informace týkající se politicky exponovaných osob v případě produktů, kde je takový údaj povinností zaznamenat);
  • kontaktní údaje (např.: adresa trvalého pobytu, korespondenční adresa, telefonní čísla, emaily);
  • další údaje pro plnění smlouvy (např.: číslo účtu, kopie lékařských zpráv v případě přípravy dokumentace klienta pro hlášení pojistných událostí);
  • údaje o využívaných službách (např.: informace z produktů a smluv subjektu údajů).

5. Z jakých zdrojů tyto informace pocházejí?

Zpracovávané osobní údaje pocházejí od subjektů údajů a to především:

  • ze stávajících smluv subjektů údajů
  • z požadavků na služby ze strany subjektu údajů
  • ze smluv o poskytování/dodávce služeb subjektům údajů

nebo od obchodních partnerů, se kterými má Společnost uzavřenou smlouvu o obchodním zastoupení, smlouvu o spolupráci nebo zpracovatelskou smlouvu. Informace ze smluv uzavřených mezi subjektem údajů a obchodním partnerem, může obchodní partner předávat Společnosti především ve formě:

  • sestav smluv
  • intervencí
  • avíza storen a storen smluv
  • informacích o pojistných plnění
  • vyúčtování a provizních sestav

Subjekt údajů je o procesech zpracování uvedených v tomto Informačním memorandu informován vždy před vlastním zpracováním osobních údajů.

6. Kdo může osobní údaje subjektu údajů zpracovávat?

Zákonná úprava ochrany osobních údajů dává jejich správci možnost pověřit zpracováním osobních údajů další zpracovatele. Zpracovatelem osobních údajů je každá fyzická nebo právnická osoba, která na základě právního předpisu nebo pověření správcem zpracovává osobní údaje. Pro zpracování osobních údajů subjektů údajů Společnost využívá pouze prověřené zpracovatele, kteří splňují standardy ochrany osobních údajů minimálně na stejné úrovni jako ve Společnosti. Zpracovatelé splňují právními předpisy stanovené podmínky pro výkon činnosti zpracovatele.

Zpracovatelé, které Společnost využívá ke zpracování osobních údajů subjektů údajů, jsou následující:

  • Zaměstnanci nebo smluvní partneři vykonávající pro subjekt údajů smluvně dohodnutou službu k prvotním či druhotně slučitelným účelům zpracování osobních údajů
  • Obchodní partneři, se kterými má Společnost uzavřenou smlouvu o obchodním zastoupení, smlouvu o spolupráci nebo zpracovatelskou smlouvu
  • Poskytovatelé/provozovatelé informačních technologií, které využívá Společnost k naplnění prvotních či druhotně slučitelných účelů zpracování osobních údajů

Seznam obchodních partnerů a poskytovatelů/provozovatelů informačních technologií je uveden v Příloze 1 tohoto informačního memoranda.

7. Po jakou dobu budou Vaše osobní údaje uloženy?

Osobní údaje, které Společnost získala, uchovává po celou dobu smluvního vztahu a po dobu následujících 10 let po jeho ukončení nebo po dobu delší, pokud jí to ukládá zvláštní právní předpis.

Po této lhůtě jsou osobní údaje vymazány, anonymizovány nebo zpracovávány pouze v rozsahu a pro účely, ke kterým Společnost zavazuje příslušný právní předpis.

8. Práva subjektu údajů, možnosti jejich uplatnění

8.1. Pravidla podávání žádosti a uplatnění práva subjektu údajů

Každý subjekt údajů může kdykoliv prostřednictvím žádosti uplatnit právo subjektu údajů.

Subjekt údajů může podat žádost některým z následujících způsobů, případně kontaktovat odpovědnou osobu viz bod 2.

Osobně Froglet, s.r.o., Palackého náměstí 392, 386 01 Strakonice
Poštou Froglet, s.r.o., Palackého náměstí 392, 386 01 Strakonice
Emailem gdpr@froglet.cz

Pokud subjekt údajů podá žádost v elektronické podobě a nepožaduje odpověď v jiné podobě, poskytuje Společnost informace v běžně používané elektronické podobě.

Pokud Společnost nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně, nejpozději do jednoho měsíce subjekt údajů:

  • o důvodech nepřijetí žádosti,
  • o možnosti podat stížnost u dozorového orgánu a žádat soudní ochranu.

Informace je podávána bezplatně s výjimkou nedůvodných a nepřiměřených (zejména opakovaných) žádostí, kdy Společnost:

  • může odmítnout žádosti vyhovět,
  • může požadovat přiměřený poplatek s ohledem administrativní náklady spojené s poskytnutím informace,
  • dokládá nedůvodnost nebo nepřiměřenost žádosti.

Pokud má Společnost pochybnosti o totožnosti osoby, která podává žádost, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.


Proces podání žádosti o uplatnění práv subjektem údajů

8.2. Přehled práv subjektu údajů

Při zpracování osobních údajů nedochází k automatizovanému rozhodování a profilování při zpracování osobních údajů ze strany Společnosti jako správce.

Právo na přístup k osobním údajům

Subjekt údajů může Společnost požádat o přístup k osobním údajům, které se ho týkají nebo které o něm Společnost zpracovává; Společnost poskytne subjektu údajů nejpozději do jednoho měsíce po obdržení žádosti kopii zpracovávaných osobních údajů. S ohledem na složitost nebo počet případů lze lhůtu prodloužit o další dva měsíce, o čemž je subjekt údajů informován včetně důvodu prodloužení. Za druhou a další kopii je Společnost oprávněna účtovat přiměřený poplatek na základě administrativních nákladů.

Informace jsou subjektu údajů předávány tak, aby nebyla dotčena práva svobod jiných subjektů údajů.

Právo na opravu

Subjekt údajů může Společnost požádat o opravu nepřesných nebo nekompletních osobních údajů, které se ho týkají. Společnost přijímá žádosti subjektu údajů o opravu nepřesných údajů, opravuje bez zbytečného odkladu nepřesné nebo neúplné osobní údaje. Zároveň oznamuje jednotlivým příjemcům údajů veškeré opravy osobních údajů s výjimkou případů:

  • kdy se to ukáže jako nemožné,
  • kdy to vyžaduje nepřeměřené úsilí.

V případě žádosti subjektu údajů Společnost informuje subjekt údajů o tom, kterým příjemcům zaslal oznámení o opravách osobních údajů.

Povinností subjektu údajů je informovat Společnost o změnách osobních údajů vyžadujících opravu.

Právo na výmaz

Subjekt údajů může Společnost požádat, aby vymazala jeho osobní údaje, pokud dojde k některé z následujících situací:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
  • byl odvolán souhlas, na jehož základě byly osobní údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování;
  • byla subjektem údajů vznesena námitka proti tomu být předmětem rozhodování založeného na automatizovaném zpracování osobních údajů a neexistují žádné převažující oprávněné důvody pro jejich takovéto zpracování nebo byla vznesena námitka proti zpracování osobních údajů pro účely přímého marketingu;
  • osobní údaje subjektu údajů byly zpracovány protiprávně;
  • osobní údaje subjektu údajů musí být vymazány k datu splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
  • osobní údaje subjektu údajů byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti.

Výjimky, kdy se právo na výmaz osobních údajů neuplatní:

  • zpracování je nezbytné pro výkon práva na svobodu projevu a informace,
  • zpracování je nezbytné pro splnění právní povinnosti (vyžadované právem EU nebo ČR),
  • zpracování je nezbytné pro plnění úkolů ve veřejném zájmu
  • zpracování je nezbytné pro plnění úkolů při výkonu veřejné moci,
  • zpracování je nezbytné pro určení, výkon a obhajobu právních nároků,
  • zpracování je nezbytné ve veřejném zájmu v oblasti veřejného zdraví pro:
    • účely preventivního a pracovního lékařství,
    • posouzení pracovní schopnosti zaměstnance,
    • účely lékařské diagnostiky, a na základě práva EU nebo ČR nebo podle smlouvy se zdravotnickým pracovníkem,
    • poskytování zdravotní péče,
    • poskytování sociální péče,
    • řízení systémů a služeb zdravotní péče,
    • řízení systémů a služeb sociální péče,
  • zpracování je nezbytné na základě práva EU nebo ČR a z důvodů veřejného zájmu v oblasti veřejného zdraví:
    • při ochraně před vážnými přeshraničními zdravotními hrozbami,
    • při zajištění norem kvality a bezpečnosti zdravotní péče, při zajištění norem kvality a bezpečnosti léčivých přípravků
    • při zajištění norem kvality a bezpečnosti zdravotnických prostředků,
    • údaje mohou být zpracovávány také pracovníkem, na něhož se vztahuje povinnost mlčelivosti na základě služebního tajemství podle práva EU nebo ČR, na vlastní odpovědnost podle práva EU nebo ČR, na základě pravidel stanovaných vnitrostátními orgány, na základě pravidel stanovených jinou osobou,
    • jinou osobou, na niž se vztahuje povinnost mlčelivosti podle práva EU nebo ČR podle pravidel stanovených příslušnými vnitrostátními orgány,
  • zpracování je nezbytné na základě práva EU nebo ČR a z důvodů veřejného zájmu v oblasti veřejného zdraví:
    • při ochraně před vážnými přeshraničními zdravotními hrozbami,
    • při zajištění norem kvality a bezpečnosti zdravotní péče, při zajištění norem kvality a bezpečnosti léčivých přípravků
    • při zajištění norem kvality a bezpečnosti zdravotnických prostředků,
    • údaje mohou být zpracovávány také pracovníkem, na něhož se vztahuje povinnost mlčelivosti na základě služebního tajemství podle práva EU nebo ČR, na vlastní odpovědnost podle práva EU nebo ČR, na základě pravidel stanovaných vnitrostátními orgány, na základě pravidel stanovených jinou osobou,
    • jinou osobou, na niž se vztahuje povinnost mlčelivosti podle práva EU nebo ČR podle pravidel stanovených příslušnými vnitrostátními orgány,

Společnost přijímá žádosti o výmaz osobních údajů od subjektu údajů, vymaže osobní údaje, pokud zpracování nepodléhá výjimce. Pokud údaje byly zveřejněny, přijímá Společnost (s ohledem na dostupnou technologii a náklady) přiměřené kroky, aby informovala další správce osobních údajů, kteří údaje také zpracovávají, že je subjekt údajů žádá, aby vymazaly:

  • veškeré kopie,
  • replikace,
  • odkazy na tyto údaje,
  • došlo k informování správců, které osobní údaje zpracovávají, že subjekt údajů žádá výmaz údajů (odkazy, kopie, replikace).

Správce příjemcům údajů oznamuje výmaz osobních údajů, s výjimkou případů:

  • kdy se to ukáže jako nemožné,
  • kdy to vyžaduje nepřeměřené úsilí,
  • v případě žádosti subjektů údajů správce informuje subjekt údajů o tom, kterým příjemců zaslal oznámení o výmazu osobních údajů.

Právo na omezení zpracování

Subjekt údajů může Společnost požádat, aby omezila zpracování jeho osobních údajů, pokud dojde k některé z následujících situací:

  • subjekt údajů popřel přesnost osobních údajů, a to na dobu potřebnou k tomu, aby Společnost mohla přesnost osobních údajů ověřit;
  • zpracování osobních údajů je protiprávní, ale subjekt údajů odmítá výmaz těchto údajů a místo toho žádá o omezení jejich použití;
  • Společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  • Subjekt údajů vznesl námitku proti zpracování osobních údajů podle čl. 21 odst. 1 GDPR nařízení, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.

Pokud došlo k omezení zpracování údajů, osobní údaje mohou být zpracovávány pouze se souhlasem subjektu údajů, s výjimkou uložení osobních údajů.
Pokud subjekt údajů požádá o omezení zpracování osobních údajů, jeho údaje mohou být zpracovávány bez jeho souhlasu pouze z důvodu:

  • určení, výkonu a obhajoby právních nároků,
  • ochrany práv jiné fyzické nebo právnické osoby,
  • veřejného zájmu EU nebo jejího členského státu.

Společnost oznamuje jednotlivým příjemcům osobních údajů omezení zpracování osobních údajů s výjimkou případů:

  • kdy se to ukáže jako nemožné,
  • kdy to vyžaduje nepřeměřené úsilí,
  • v případě žádosti subjektu údajů Společnost informuje subjekt údajů o tom, kterým příjemcům zaslal oznámení o omezení zpracování osobních údajů; Společnost musí ověřit přesnost osobních údajů v případě, že ji subjekt popírá; pokud dochází ke zrušení omezení zpracování, musí na to být upozorněn subjekt údajů (který dosáhl omezení).

Právo na přenositelnost údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají a které poskytl Společnosti, ve strukturovaném, běžně používaném a strojově čitelném formátu s tím, že tímto právem nesmí být nepříznivě dotčena práva a svobody jiných subjektů údajů.
Výjimky, kdy se právo na přenositelnost osobních údajů neuplatní:

  • zpracování, kterými je správce pověřen a která jsou nezbytná pro plnění úkolů ve veřejném zájmu,
  • zpracování, kterými je správce pověřen a která jsou nezbytná při výkonu veřejné moci,
  • zpracování zvláštních kategorií osobních údajů, kde se právo na přenositelnost osobních údajů neuplatní, protože právo EU nebo ČR stanoví, že výslovný souhlas subjektů údajů nelze uplatnit.

Uplatněním práva není dotčeno právo na výmaz údajů.

Právo vznést námitku

Subjekt údajů může kdykoliv vznést námitku proti zpracování osobních údajů, které se jej týkají. Společnost osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvodu pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Právo na odvolání souhlasu

Subjekt údajů má právo souhlas se zpracováním osobních údajů pro účel, pro který dal souhlas, kdykoliv odvolat; odvoláním souhlasu není dotčeno zpracování osobních údajů před jeho odvoláním.
Subjekt údajů může využít tohoto práva doručením vyplněného formuláře Odvolání souhlasu se zpracování osobních údajů a jeho podání některým z následujících způsobů, případně kontaktovat kontaktní osobu viz bod 2.

Osobně Froglet, s.r.o., Palackého náměstí 392, 386 01 Strakonice
Poštou Froglet, s.r.o., Palackého náměstí 392, 386 01 Strakonice
Emailem gdpr@froglet.cz


Proces podání žádosti o uplatnění práv subjektem údajů

Pověřeným pracovníkem Společnosti je kontaktní osoba pro zpracování a ochranu osobních údajů viz bod 2.

Právo podat stížnost

Subjekt údajů má právo podat stížnost u Společnosti, na adrese Froglet, s.r.o., Palackého náměstí 392, 386 01 Strakonice nebo u dozorového orgánu, kterým je Úřad na ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

8.3. Kdy můžete uplatnit svá práva a jaká?

Svá práva může subjekt údajů uplatnit kdykoliv formou žádosti adresované Společnosti. Následující tabulka obsahuje přehled uplatnitelných práv v závislosti na právním základu, podle kterého Společnost osobní údaje zpracovává.

8.4. Ohlášení porušení zabezpečení osobních údajů

Společnost Froglet, s.r.o. má zpracován vnitřní proces pro ohlašování porušení ochrany osobních údajů subjektů údajů, řádně respektuje plnění ohlašovací a oznamovací povinnosti Úřadu pro ochranu osobních údajů (ÚOOÚ) a v případech takového porušení je připravena k součinnosti k následným korektivním opatřením se všemi zúčastněnými stranami.

8.5. Závěrečná ustanovení

Toto Informační memorandum je účinné a platné od 25.5.2018. Aktuální znění je uveřejněno na webových stránkách Společnosti nebo v sídle společnosti a jejích pobočkách.

Příloha 1 - Seznam obchodních partnerů a poskytovatelů/provozovatelů informačních technologií k 19.6.2018

Banky

  • Česká spořitelna, a.s.
  • Equabank, a.s.
  • Hypoteční banka, a.s.
  • Komerční banka, a.s.
  • Raiffeisen banka, a.s.
  • UniCredit Bank, a.s.

Stavební spořitelny

  • Buřinka – Stavební spořitelna České spořitelny, a.s.
  • Modrá pyramida, a.s.
  • Raiffeisen stavební spořitelna, a.s.

Pojišťovny

  • Allianz pojišťovna, a.s.
  • Česká podnikatelská pojišťovna, a.s.
  • ČSOB pojišťovna, a.s.
  • Direct pojišťovna, a.s.
  • Generali pojišťovna, a.s.
  • Komerční pojišťovna, a.s.
  • Kooperativa pojišťovna, a.s.
  • Pojišťovna České spořitelny, a.s.

Penzijní společnosti

  • Allianz penzijní společnost, a.s.
  • Conseq penzijní společnost, a.s.
  • Komerční banka penzijní společnost, a.s.
  • Penzijní společnost České pojišťovny, a.s.
  • Penzijní společnost České spořitelny, a.s.

Investiční společnosti

  • Conseq Investment Management, a.s.

Ostatní

  • D3S, a.s. - provozovatel MCM systému, IT služby
  • ARBIT, s.r.o – vedení účetnictví, mzdové evidence, daňové poradenství
  • Jiří Šmrha – právní služby
  • EUCS – ochrana spotřebitele, právní služby