Zásady ochrany osobních údajů

Tento dokument informuje o zásadách a postupech při zpracování osobních údajů společností Edutica s.r.o. Veškeré zpracování osobních údajů probíhá v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů, a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „Nařízení“).

I. Základní informace

Správce osobních údajů: Edutica s.r.o., IČ: 04668634, se sídlem Lidická 700/19, 602 00 Brno, kontaktní e-mail: info@edutica.cz (dále též „Edutica“)

Subjekty údajů: Fyzické osoby, jejichž osobní údaje Edutica zpracovává.

Pověřenec pro ochranu osobních údajů: Edutica nejmenovala pověřence pro ochranu osobních údajů.

Předání osobních údajů do třetí země nebo mezinárodní organizace: Edutica nepředává osobní údaje do třetí země nebo mezinárodním organizacím.

Doba zpracovávání údajů:
Osobní údaje Edutica zpracovává po dobu trvání smluvního vztahu a následně po dobu maximálně 10 let od ukončení smluvního vztahu. Osobní údaje zpracovávané pro plnění povinností vyplývajících ze zvláštních právních předpisů Edutica zpracovává po dobu stanovenou těmito právními předpisy. V případě potřeby použití osobních údajů pro ochranu oprávněných zájmů správce, Edutica zpracovává osobní údaje po dobu nezbytnou k uplatnění těchto práv.

Automatizované individuální rozhodování: Edutica neprovádí automatizované individuální rozhodování ani profilování.

Dozorový úřad: Dozorovým úřadem je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: 234 665 125.

II. Zdroje osobních údajů

Edutica získává osobní údaje především přímo od subjektů údajů.

Jedná-li se o kurz, na který vysílá fyzické osoby společnost (např. své zaměstnance, statutární orgány apod.), Edutica získává některé osobní údaje od vysílající společnosti. V takovém případě je vysílající společnost povinna splnit vůči subjektům údajů informační povinnost dle Nařízení, zajistit souhlasy ke zpracování osobních údajů (pokud jsou právními předpisy vyžadovány) a dodržovat další povinnosti uložené Nařízením vůči subjektům údajů.

III. Právní základ pro zpracování, účel a rozsah zpracování

Osobní údaje subjektů údajů jsou zpracovávány z následujících právních titulů:

  • plnění smlouvy;
  • plnění právních povinností Edutica;
  • oprávněný zájem Edutica;
  • souhlas se zpracováním osobních údajů.

Za účelem plnění smlouvy nebo plnění právních povinností Edutica zpracovává osobní údaje v rozsahu dle informační povinnosti – zejména:

  • osobní údaje svých zaměstnanců v zákonem stanoveném rozsahu;
  • osobní údaje druhé smluvní strany, se kterou Edutica uzavírá smluvní vztah: jméno, příjmení jednající osoby; identifikační číslo (je-li osobní údajem); adresa; e-mailová adresa kontaktní osoby; telefonní číslo kontaktní osoby; číslo bankovního účtu (je-li to osobní údaj); fakturační adresa;
  • osobní údaje při objednávce vzdělávacích kurzů a následně uzavřené smlouvy: jméno, příjmení, adresa, pozice, telefonní číslo, e-mailová adresa; v případě podnikající fyzické osoby také její identifikační údaje, obchodní jméno, adresa, bankovní spojení; v případě společnosti: zastupující osoba; v případě akreditovaných kurzů: datum narození účastníka kurzu;
  • osobní údaje získané prostřednictvím kontaktního formuláře: jméno, příjmení; adresa; e-mailová adresa; telefonní číslo;
  • osobní údaje v rámci newsletteru: jméno, příjmení; e-mailová adresa; telefonní číslo.

Pokud Edutica hodlá zpracovávat jiný typ osobního údaje (než je uvedeno výše), nebo pro účely jiné, než jsou zde uvedeny (např. zasílání obchodních sdělení, fotografie, reference apod.), bude tak činit pouze na základě platně uděleného souhlasu subjektu údajů. Subjekt údajů může svůj souhlas kdykoliv odvolat.

IV. Příjemci osobních údajů a vztah ke zpracovatelům

Edutica nepředává osobní údaje žádným dalším správcům.

Zpracovateli osobních údajů mohou být:

  • lektoři a konzultanti, kteří jsou pověřeni vedením jednotlivých kurzů či poradenských služeb nabízených Edutica;
  • společnosti zabývající se IT řešením, které jsou pověřeny k provádění IT administrace softwarových programů, které Edutica využívá;
  • společnosti zabývající se správou digitálního obsahu – zejména webových stránek, objednávkového systému či systému k hromadnému rozesílání mailů, správce sociálních sítí, který Edutica využívá;
  • společnosti poskytující software k hromadnému rozesílání e-mailů, které Edutica nebo jím pověřené subjekty využívají;
  • účetní společnosti, které jsou pověřeny k provádění účetních operací společnosti Edutica.

Zpracovateli smí být přidělen přístup ke zpracování výhradně s předchozím souhlasem Edutica a pouze pro účely uvedené v těchto Zásadách; nesmějí údaje využívat k jiným účelům.

S každým zpracovatelem osobních údajů Edutica uzavírá samostatnou dohodu o zpracování osobních údajů (v souladu s požadavky Nařízení), která upravuje rozsah, účel, dobu zpracování, technická a organizační opatření, práva a povinnosti stran a podmínky sub-zpracování

V. Práva subjektů údajů

Subjekt údajů má tato práva:

  1. Právo na přístup – získat potvrzení, zda jsou jeho osobní údaje zpracovávány, a v případě ano: získat přístup k nim a k informacím o účelu zpracování, kategoriích údajů, příjemcích, době uložení, opravy/výmazu/omezení, opravách, stížnosti u dozorového úřadu, zdroji údajů, automatizovaném rozhodování (profilování). Subjekt má rovněž právo získat kopii zpracovaných údajů.
  2. Právo na opravu – požadovat bez zbytečného odkladu opravu nepřesných údajů nebo doplnění neúplných.
  3. Právo na výmaz („právo být zapomenut“) – požadovat výmaz osobních údajů, pokud:
    a) údaje již nejsou potřeba pro původní účel;
    b) subjekt odvolá souhlas a neexistuje jiný právní důvod zpracování;
    c) subjekt vznesl námitku a neexistují převažující důvody pro pokračování zpracování;
    d) údaje byly zpracovány protiprávně;
    e) výmaz je nutný pro splnění právní povinnosti podle práva EU nebo ČR;
    f) údaje byly shromážděny v souvislosti s nabídkou informační společnosti.
    Právo výmazu se nevztahuje, pokud zpracování je nezbytné pro plnění právních povinností, pro určení, výkon nebo obhajobu právních nároků apod.
  4. Právo na omezení zpracování – v případě, že subjekt popírá přesnost údajů, zpracování je protiprávní, subjekt žádá omezení místo výmazu, údaje již nejsou potřeba ale subjekt je požaduje pro obhajobu nároků, nebo subjekt vznesl námitku a čeká se na vyhodnocení, zda oprávněné důvody Edutica převažují nad právy subjektu.
  5. Právo vznést námitku – kdykoli vznést námitku proti zpracování z důvodu jeho konkrétní situace, pokud zpracování probíhá na základě oprávněného zájmu. Edutica poté údaje nadále nezpracovává, pokud neprokáže vážné oprávněné důvody, které převažují nad zájmy subjektu údajů, nebo pokud zpracování slouží právnímu nároku.
  6. Právo na přenositelnost údajů – získat své osobní údaje, které subjekt poskytl Edutice, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, pokud je to technicky proveditelné, za předpokladu, že zpracování je založeno na souhlasu nebo plnění smlouvy a probíhá automatizovaně.
  7. Právo podat stížnost u dozorového úřadu – subjekt může podat stížnost u Úřadu pro ochranu osobních údajů, pokud se domnívá, že Edutica nezpracovává jeho údaje v souladu se zákonem.
  8. Právo být informován o nápravě – pokud došlo k opravě, výmazu nebo omezení údajů, Edutica informuje příjemce, kterým byly údaje poskytnuty, pokud to není nemožné nebo by to vyžadovalo nepřiměřené úsilí. Na žádost subjektu Edutica sdělí subjektu, kterým příjemcům byly změny učiněny.
  9. Právo být informován o porušení zabezpečení osobních údajů – pokud dojde k porušení zabezpečení, které může znamenat vysoké riziko pro práva a svobody fyzických osob, Edutica bez zbytečného odkladu informuje subjekt údajů.
  10. Právo odvolat souhlas – pokud je zpracování prováděno na základě souhlasu, subjekt má právo svůj souhlas kdykoliv odvolat.

VI. Interní kontrola, audit a archivace

Edutica provádí každý rok tzv. self-assessment (interní audit) dodržování zásad ochrany osobních údajů a shody se Nařízením. Výsledkem auditu je zápis (zpráva) obsahující zjištění, doporučení, případná nápravná opatření a termíny plnění. Tento zápis je archivován v interní evidenci Edutica po dobu minimálně 5 (pět) let od provedení auditu.

Vedoucí odpovědné osoby (např. management či jinak určená osoba) plní nápravná opatření vyplývající z auditu, sledují jejich plnění a vyhodnocují účinnost přijatých opatření.

VII. Bezpečnost a ochrana osobních údajů

Edutica přijímá a uplatňuje technická a organizační opatření k zajištění bezpečnosti osobních údajů, aby zabránila jejich ztrátě, zničení, zneužití, neoprávněnému přístupu či úpravám. Tato opatření zahrnují (bez vyčerpání):

  • řízení přístupových práv;
  • bezpečnostní protokoly, šifrování tam, kde je to vhodné;
  • zálohování dat;
  • pravidelná kontrola a aktualizace systémů;
  • interní školení zaměstnanců;
  • používání bezpečnostních technologií (firewally, antiviry apod.);
  • opatření proti neoprávněnému přenosu dat, včetně ochrany komunikace (SSL/TLS).

K těmto opatřením se vztahuje také roční audit (viz kapitola VI.), při němž se ověřuje účinnost těchto opatření, plnění závazků dohody s pracoviteli a zpracovateli a dodržování všech postupů.

VIII. Změny Zásad, účinnost a zveřejnění

Edutica si vyhrazuje právo tyto Zásady kdykoliv upravit nebo doplnit. O změnách bude subjektům údajů učiněno vhodné oznámení (např. prostřednictvím webu, e-mailu).

Nová verze Zásad nabývá účinnosti dnem jejího zveřejnění na webu Edutica, pokud není v textu uvedeno jinak.

V případě, že subjekt údajů s novou verzí zásad nesouhlasí, může požádat Edutica o ukončení zpracování osobních údajů (v rozsahu, v jakém to je možné) nebo může kontaktovat Edutica za účelem vyjasnění rozdílů.