GDPR

Obchodní společnost MARLIN, s.r.o., se sídlem Města Mayen 1536, Mařatice, 686 01 Uherské Hradiště, IČ 60733306, DIČ CZ60733306 (plátce daně z přidané hodnoty), zapsaná ve veřejném rejstříku (obchodním rejstříku) vedeném Krajským soudem v Brně, oddíl C, vložka 17611
VNITŘNÍ TECHNICKO – ORGANIZAČNÍ PŘEDPIS č. 1/2018
(vnitřní směrnice)
Vnitřní směrnice o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů


Tento vnitřní předpis vydává: Obchodní společnost MARLIN, s.r.o., se sídlem Města Mayen 1536, Mařatice, 686 01 Uherské Hradiště, IČ 60733306, DIČ CZ60733306 (plátce daně z přidané hodnoty), zapsaná ve veřejném rejstříku (obchodním rejstříku) vedeném Krajským soudem v Brně, oddíl C, vložka 17611 (dále též jen „správce“ nebo „MARLIN, s.r.o.“ nebo „společnost“)
V Uherském Hradišti 15. května 2018


MARLIN, s.r.o.
Schválil: Ing. Martin Bellovič, jednatel


Obsah:

ČÁST A. – Obecná ustanovení
Čl. I. - Úvodní ustanovení, pojmy, zkratky, výkladová pravidla, obecná ustanovení…str. 3
ČÁST B. - Zásady
Čl. II. - Zásady zpracování osobních údajů…str.6
Čl. III. - Zákonnost zpracování…str.7
Čl. IV. - Podmínky vyjádření souhlasu…str. 7
Čl. V. - Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti ...str.8
Čl. VI. - Zpracování zvláštních kategorií osobních údajů…str.8
Čl. VII. - Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů...str.9
Čl. VIII. - Zpracování, které nevyžaduje identifikaci…str.9
ČÁST C. - Práva subjektu údajů
Čl. IX. – Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů…str.9
Čl. X. – Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů…str.10
Čl. XI. – Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů...str.11
Čl. XII. - Právo subjektu údajů na přístup k osobním údajům…str.12
Čl. XIII. - Právo na opravu…str.13
Čl. XIV. - Právo na výmaz („právo být zapomenut“)…str.13
Čl. XV. - Právo na omezení zpracování…str.14
Čl. XVI. - Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování…str.14
Čl. XVII. - Právo na přenositelnost údajů…str.14
Čl. XVIII. - Právo vznést námitku…str.14
Čl. XIX. - Automatizované individuální rozhodování, včetně profilování…str.15
Čl. XX. - Odpovědnost správce…str.15
Čl. XXI. - Záměrná a standardní ochrana osobních údajů…str.15
Čl. XXII. – Zpracovatel…str.16
Čl. XXIII. - Záznamy o činnostech zpracování…str.17
Čl. XXIV. - Zabezpečení zpracování…str.18
Čl. XXV. - Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu…str.18
Čl. XXVI. - Oznamování případů porušení zabezpečení osobních údajů subjektu údajů…str.19
Čl. XXVII. - Posouzení vlivu na ochranu osobních údajů…str.19
Čl. XXVIII. - Předchozí konzultace…str.20
ČÁST D. – Některá další práva subjektu údajů
Čl. XXIX. - Právo podat stížnost u dozorového úřadu, Právo na účinnou soudní ochranu vůči správci nebo zpracovateli, Zastupování subjektů údajů…str.20
Čl. XXX. - Právo na náhradu újmy a odpovědnost…str.20
ČÁST E. – Ustanovení společná a závěrečná
Čl. XXXI. - Ustanovení společná a závěrečná…str.21
Přílohy…str.22


Obchodní společnost MARLIN, s.r.o., se sídlem Města Mayen 1536, Mařatice, 686 01 Uherské Hradiště, IČ 60733306, DIČ CZ60733306 (plátce daně z přidané hodnoty), zapsaná ve veřejném rejstříku (obchodním rejstříku) vedeném Krajským soudem v Brně, oddíl C, vložka 17611
VNITŘNÍ TECHNICKO – ORGANIZAČNÍ PŘEDPIS č. 1/2018
(vnitřní směrnice - o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů)


ČÁST A. – Obecná ustanovení


Čl. I. - Úvodní ustanovení, pojmy, zkratky, výkladová pravidla, obecná ustanovení

1.Tento vnitřní předpis je zpracován obchodní společností MARLIN, s.r.o., se sídlem Města Mayen 1536, Mařatice, 686 01 Uherské Hradiště, IČ 60733306, DIČ CZ60733306 (plátce daně z přidané hodnoty), zapsanou ve veřejném rejstříku (obchodním rejstříku) vedeném Krajským soudem v Brně, oddíl C, vložka 17611, coby podnikající právnickou osobou zřízenou dle právního řádu České republiky (dále též jen „MARLIN, s.r.o.“ nebo „společnost“ nebo „správce“ nebo „Správce“).
2. MARLIN, s.r.o. je povinna v rámci své činnosti a při svém podnikání dodržovat právní úpravu na úseku ochrany osobních údajů. Tuto svoji povinnost MARLIN, s.r.o. plnila, plní a zajišťuje s ohledem na své stávající technické a provozní možnosti a s ohledem na náklady potřebné k zajištění ochrany na úrovni odpovídající existujícímu riziku porušení ochrany; kdy v dané oblasti doposud platil u MARLIN, s.r.o.. VNITŘNÍ TECHNICKO – ORGANIZAČNÍ PŘEDPIS č. 1(vnitřní předpis) ze dne 18.12.2017(dále jen „VPS-2017“), který je nahrazován touto vnitřní směrnicí. Tato vnitřní směrnice je zpracována MARLIN, s.r.o. v souladu s příslušnými ustanoveními „NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)“ (dále jen „Nařízení ES OU“) a právní úpravou České republiky, kdy však ke dni vydání této vnitřní směrnice není přijat v české republice zákon (tzv. adaptační zákon), který by implementoval a zpracovával Nařízení ES OÚ do českého právního řádu. Tato vnitřní směrnice je vydávána za účelem ochrany základních práv a svobod fyzických osob (tj. zejména zaměstnanců společnosti a dalších fyzických osob), a zejména jejich práva na ochranu osobních údajů. Tato vnitřní směrnice stanoví pravidla týkající se ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů, kdy platí, že volný pohyb osobních údajů v Evropské Unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán.
3. V tomto vnitřním předpise jsou dále užívány tyto zkratky a označení:
a)zákon č.101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, je dále v tomto vnitřním předpisu označován zkratkou „ZOOU“
b)zákon č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, je dále v tomto vnitřním předpisu označován zkratkou „NOZ“
c)zákon č.262/2006 Sb., zákoník práce, ve znění pozdějších předpisů, je dále v tomto vnitřním předpisu označován zkratkou „ZP“
d)Úřad pro ochranu osobních údajů, IČ 70837627, se sídlem Pplk. Sochora 27, 170 00 Praha 7, je v tomto vnitřním předpise označován zkratkou „Úřad OU“
e)tento vnitřní předpis samotný je dále v jeho textu označován zkratkou „VP“
f)pod pojmem „Software S“ se má na mysli elektronický informační systém (resp. příslušný hardware a software) užívaný správcem
g)Evropská Unie je dále v tomto vnitřním předpise označována zkratkou „Unie“
h)Česká republika je dále v tomto vnitřním předpise označována zkratkou „ČR“
ch)Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) je dále v tomto vnitřním předpisu označován zkratkou „Nařízení ES OU“
i) zákon č.480/2004 Sb. o některých službách informační společnosti a o změně některých zákonů (zákon o některých službách informační společnosti) , ve znění pozdějších předpisů, je dále v tomto vnitřním předpisu označován zkratkou „ZIS“
j)zkratkou „WEB“ se rozumí webové stránky poskytovatele www.marlin.eu
4.Tímto VP nejsou upravována práva a povinnosti, která jsou dána v oblasti osobních údajů právní úpravou účinnou v ČR (např. § 12 NOZ, § 77 a následující NOZ, § 30 odst.2 ZP, § 312 ZP, § 316 odst.4 ZP atp.), pokud v tomto VP není pro jednotlivé případy výslovně stanoveno jinak. Platí však, že provádí-li MARLIN, s.r.o. zpracování osobních údajů na základě zvláštního zákona, je povinna dbát práva na ochranu soukromého a osobního života subjektu údajů.
5.Pojmy a výrazy použité v tomto VP je nutno vykládat v souladu s Nařízením ES OU a platnou a účinnou právní úpravou.
6.Práva a povinnosti neupravené v tomto VP související s ochranou osobních údajů se řídí příslušnými ustanoveními Nařízení ES OU.
7.Tento VP vztahuje na veškeré zpracovávání osobních údajů společností, ať k němu dochází automatizovaně nebo jinými prostředky. Tento VP se vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny.
8. Tento VP se nevztahuje na nahodilé shromažďování osobních údajů, pokud tyto údaje nejsou dále zpracovávány, ani na případy, které nepodléhají Nařízení ES OU. Pro věcnou a místní působnost platí též Čl. 2 a Čl. 3 Nařízení ES OU.
9.Pro účely tohoto VP se rozumí :
a)
„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
b)
„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
c)
„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
d)
„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
e)
„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
f)
„evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
g)
„správcem“ společnost MARLIN, s.r.o., který určuje účely a prostředky zpracování osobních údajů;
h)
„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
ch)
„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
i)
„třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
j)
„souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
k)
„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
l)
„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
m)
„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
n)
„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
o)
„hlavní provozovnou“ sídlo společnosti MARLIN, s.r.o., tj. Města Mayen 1536, Mařatice, 686 01 Uherské Hradiště
p)
„podnikem“ správce, a dle kontextu a znění tohoto VP též jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost;
r)
„dozorovým úřadem“ Úřad OU;
s)
„dotčeným dozorovým úřadem“ Úřad OU nebo jiný dozorový úřad mající sídlo v členském státě Unie, kterého se zpracování osobních údajů dotýká, neboť:
-subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo pravděpodobně budou zpracováním podstatně dotčeny, nebo
-
-u něj byla podána stížnost;
t)„službou informační společnosti“ služba ve smyslu čl. 1 odst. 1 písm. b) směrnice (EU) 2015/1535; a ve smyslu příslušných ustanovení ZIS
10.Při zpracování osobních údajů správce a zpracovatel dbá, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také dbá na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. Tento VP je jedním z opatření správce k tomu, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
11.Správce neprovádí ani nebude provádět přeshraniční zpracování ve smyslu Nařízení ES OU.
12.Správce není s jiným správcem či správci tzv. společnými správci ve smyslu čl.26 Nařízení ES OU, správce nejmenuje pověřence pro ochranu osobních údajů, když dle příslušných ustanovení Nařízení ES OU není správce povinen pověřence pro ochranu osobních údajů jmenovat.
13.Ke dni nabytí účinnosti tohoto VP neexistuje žádný Kodex chování ve smyslu příslušných ustanovení Nařízení ES OU, kterým by byl povinen se správce řídit.
14. Ke dni nabytí účinnosti tohoto VP nesvědčí správci žádné osvědčení o ochraně údajů ani žádné pečetě a známky dokládajících ochranu údajů pro účely prokázání souladu s Nařízením ES OU nařízením v případě operací zpracování prováděných správcem a zpracovateli.
15.Správce ani zpracovatelé nepředávají a nesmí předávat osobní údaje do třetích zemí nebo mezinárodním institucím. Pokud v budoucnu bude nutné, odůvodněně účelné nebo žádoucí předat osobních údaje do třetích zemí nebo mezinárodním organizacím, může tak učinit pouze správce (výlučná kompetence statutárního orgánu správce) při plném dodržení příslušných ustanovení Nařízení ES OU, kdy k jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování pro předání do třetí země nebo mezinárodní organizaci, může dojít pouze tehdy, splní-li správce veškerá příslušná ustanovení Nařízení ES OU.

ČÁST B. - Zásady

Čl. II. - Zásady zpracování osobních údajů

1.Správce odpovídá za to, že Osobní údaje musí být:
a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“) – viz. v tomto VP dále;
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 Nařízení ES OU nepovažuje za neslučitelné s původními účely („účelové omezení“) – viz. v tomto VP dále;
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“) – viz. v tomto VP dále;
d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“) – viz. v tomto VP dále;
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 Nařízení ES OU, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných Nařízením ES OU a tímto VP s cílem zaručit práva a svobody subjektu údajů („omezení uložení“) – viz. v tomto VP dále;
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“) – viz. v tomto VP dále;
2. Správce odpovídá za dodržení odstavce 1 tohoto článku tohoto VP a musí být schopen toto dodržení souladu doložit („odpovědnost“). Za tím účelem bude správce povinně užívat všech příloh tohoto VP a postupovat dle těchto VP.

Čl. III. - Zákonnost zpracování


1.Zpracování je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
2.Základ pro zpracování podle odst. 1 písm. c) a e) musí být stanoven právem Unie nebo právem ČR. Účel zpracování musí vycházet z tohoto právního základu, nebo pokud jde o zpracování uvedené v odst. 1 písm. e), musí být toto zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce. Tento právní základ může obsahovat konkrétní ustanovení pro přizpůsobení uplatňování pravidel Nařízení ES OU, včetně obecných podmínek, kterými se řídí zákonnost zpracování správcem, typu osobních údajů, které mají být zpracovány, dotčených subjektů údajů, subjektů, kterým lze osobní údaje poskytnout, a účelu tohoto poskytování, účelového omezení, doby uložení a jednotlivých operací zpracování a postupů zpracování, jakož i dalších opatření k zajištění zákonného a spravedlivého zpracování.
3. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na právu Unie či ČR, zohlední správce v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné:
a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;
b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;
c) povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle článku 9 nebo 10 Nařízení ES OU;
d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.
4.Úkony správce k splnění povinností dle odst. 2 a 3 tohoto VP zabezpečuje statutární orgán správce a dále osoby, které statutární orgán pověří. O splnění povinností dle odst.2 a 3 VP budou vždy provedeny písemné zprávy v tištěné písemné podobě, které budou uloženy a zabezpečeny tak, jak uvedeno v tomto VP níže. Podklady, matrice atp. těchto zpráv včetně jejich konceptů, návrhů, znění atd. v elektronické formě musí být prokazatelně zlikvidovány ihned poté, co příslušné zprávy budou provedeny v tištěné písemné formě.

Čl. IV. - Podmínky vyjádření souhlasu

1. Pokud je zpracování založeno na souhlasu, je správce povinen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Doložení souhlasu správce zabezpečuje osvědčením právního jednání subjektu údajů (kterým tento udělil souhlas se zpracováním svých osobních údajů) v písemné formě, a to:
- tištěným jednostranným prohlášením subjektu údajů (jehož vzor tvoří Přílohu č.1 k tomuto VP), nebo
- tištěnou smlouvou uzavřenou se subjektem údajů, do které je prohlášení subjektu údajů vtěleno (příslušná část smlouvy obsahující prohlášení tvoří Přílohu č.2 k tomuto VP), nebo
- prohlášením subjektu údajů učiněným elektronickou poštou (e-mail) a prohlášením učiněným prostřednictvím prostředku komunikace na dálku – náležitosti těchto prohlášení subjektů údajů včetně příslušných postupů tvoří Přílohu č.3 k tomuto VP
2. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část prohlášení subjektu údajů, která představuje porušení Nařízení ES OU nebo tohoto VP, není závazná.
3. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů správcem prokazatelně informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout (viz. v tomto VP níže).
4. Při posuzování toho, zda je souhlas svobodný, musí správce důsledně zohlednit skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné.


Čl. V. - Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti

1. Pokud subjekt údajů jako osoba mladší 18-ti let udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů v souvislosti s nabídkou služeb informační společnosti prováděnou správcem, je zpracování osobních údajů takové osoby zákonné, je-li ve věku nejméně 16 let. Jde-li o dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti. Správce vyvine přiměřené úsilí s ohledem na dostupnou technologii, aby v takovýchto případech ověřil, že byl souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti.
2. Odstavcem 1 tohoto VP není dotčeno obecné smluvní právo ČR, například NOZ, týkající se platnosti, uzavírání nebo účinků smlouvy vzhledem k dítěti.
3. Správce je v pochybnostech povinen pro účely dle odstavce 1 tohoto VP zkoumat věk dítěte, a to i požadování průkazu totožnosti po subjektu údajů (dítěti).


Čl. VI. - Zpracování zvláštních kategorií osobních údajů

1. Správci se zakazuje zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů:
a) subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo ČR stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;
b) zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo ČR nebo kolektivní dohodou podle práva ČR, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů;
c) zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;
d) neobsazen
e) zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;
f) zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků;
g) zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo ČR, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů;
h) zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo ČR nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a záruk uvedených v Nařízení ES OU;
i) zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo ČR, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství;


Čl. VII. - Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů

Zpracování osobních údajů týkajících se rozsudků v trestních věcech a trestných činů či souvisejících bezpečnostních opatření správce nesmí provádět, pokud v Nařízení ES OU není výslovně stanoveno pro jednotlivé případy jinak.

Čl. VIII. - Zpracování, které nevyžaduje identifikaci

1. Pokud účely, pro něž správce zpracovává osobní údaje, od správce nevyžadují nebo již nevyžadují identifikaci subjektu údajů, nemá správce povinnost uchovávat, získávat nebo zpracovávat dodatečné informace za účelem identifikace subjektu údajů výlučně kvůli dosažení souladu s Nařízením ES OU. Je-li v těchto případech správce s to doložit, že není schopen identifikovat subjekt údajů, informuje o této skutečnosti subjekt údajů, jen pokud je to možné. V takovýchto případech se neužijí ustanovení tohoto VP o Oznamovací povinnosti ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování; stejně tak neplatí tato práva subjektů údajů: Právo subjektu údajů na přístup k osobním údajům, Právo na opravu, Právo na výmaz, Právo na omezení zpracování ani Právo na přenositelnost údajů (vše viz. v tomto VP níže), s výjimkou případů, kdy subjekt údajů za účelem výkonu svých práv poskytne dodatečné informace umožňující jeho identifikaci.

ČÁST C. - Práva subjektu údajů

Čl. IX. – Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

1. Správce přijmul vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků v českém jazyce veškeré informace uvedené v článcích 13 a 14 Nařízení ES OU a učinil veškerá sdělení podle článků 15 až 22 a 34 Nařízení ES OU o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace uvedené v článcích 13 a 14 Nařízení ES OU jsou poskytovány písemně, a to v každé provozovně správce jsou k dispozici v tištěné formě, tak na WEB správce v elektronické formě. Vzorové Informace uvedené v článcích 13 a 14 Nařízení ES OU tvoří Přílohu č.4 tohoto VP. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, to však jen za předpokladu, že identita subjektu údajů je správci prokázána úředním průkazem totožnosti.
2. Správce usnadňuje výkon práv subjektu údajů. V případech uvedených v Čl. VIII. tohoto VP správce nesmí odmítnout vyhovět žádosti subjektu údajů za účelem výkonu jeho práv podle těchto VP a Nařízení ES OU, ledaže nemůže zjistit totožnost subjektu údajů včetně případů, kdy subjekt odmítne prokázat svoji totožnost předložením úředního průkazu totožnosti správci.
3. Správce poskytne subjektu údajů na žádost podle tohoto VP (a článků 15 až 22 Nařízení ES OU) informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Správce informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob. Žádost subjektu údajů musí být písemná (ať v tištěné nebo elektronické formě), kdy vzor této žádosti tvoří Přílohu č.5 k tomuto VP a je k dispozici v písemné formě na všech provozovnách správce a na WEB. Již v rámci poskytnutí informací dle odst.1 tohoto VP správce informuje subjekt údajů o tom, že žádosti subjekt údajů podává na cit. vzoru (Příloha č.5 k tomuto VP).
4. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje písemně bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.
5. Informace podle odst.1 tohoto článku tohoto VP a veškerá sdělení a veškeré úkony podle odst.1 tohoto článku tohoto VP poskytuje a činí správce bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:
a) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo
b) odmítnout žádosti vyhovět.
Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.
6. Pokud má správce důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost podle odst.3 těchto VP, může požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů, včetně předložení průkazu totožnosti.

Čl. X. – Informace poskytované v případě, že osobní údaje jsou získány od subjektu údajů

1. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů tyto informace:
a) totožnost a kontaktní údaje správce a jeho případného zástupce;
b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f) Nařízení ES OU;
e) případné příjemce nebo kategorie příjemců osobních údajů;
f) případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo čl. 49 odst. 1 druhém pododstavci Nařízení ES OU, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
2. Vedle informací uvedených v odstavci 1 poskytne správce subjektu údajů v okamžiku získání osobních údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování:
a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
c) pokud je zpracování založeno na čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) Nařízení ES OU, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
d) existence práva podat stížnost u dozorového úřadu;
e) skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
f) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 Nařízení ES OU, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2, to vše v písemné formě.
4. Odstavce 1, 2 a 3 tohoto článku tohoto VP se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.

Čl. XI. – Informace poskytované v případě, že osobní údaje nebyly získány od subjektu údajů

1. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů tyto informace:
a) totožnost a kontaktní údaje správce a případně jeho zástupce;
b) případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d) kategorie dotčených osobních údajů;
e) případné příjemce nebo kategorie příjemců osobních údajů;
f) případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém pododstavci Nařízení ES OU, odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
2. Kromě informací uvedených v odstavci 1 poskytne správce subjektu údajů tyto další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů:
a) doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
b) oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na čl. 6 odst. 1 písm. f);
c) existence práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
d) pokud je zpracování založeno na souhlasu subjektu údajů /čl. 6 odst. 1 písm. a) Nařízení ES OU nebo čl. 9 odst. 2 písm. a) téhož Nařízení ES OU/, existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
e) existence práva podat stížnost u dozorového úřadu;
f) zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů;
g) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 Nařízení ES OU, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Správce poskytne informace uvedené v odstavcích 1 a 2:
a) v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;
b) nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo
c) nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
4. Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v odstavci 2.
5. Odstavce 1 a 4 se nepoužijí, pokud a do té míry, v níž:
a) subjekt údajů již uvedené informace má;
b) se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;
c) je získávání nebo zpřístupnění výslovně stanoveno právem Unie nebo ČR, v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo
d) osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Unie nebo ČR, včetně zákonné povinnosti mlčenlivosti.

Čl. XII. - Právo subjektu údajů na přístup k osobním údajům

1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
a) účely zpracování;
b) kategorie dotčených osobních údajů;
c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;
f) právo podat stížnost u dozorového úřadu;
g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, uvedenému v čl. 22 odst. 1 a 4 Nařízení ES OU, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
3. Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt
údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob. Vzor odpovědi správce k žádosti subjektu údajů dle tohoto článku tvoří Přílohu č.7 k tomuto VP a je v písemné formě dostupná na WEB a v tištěné formě v každé provozovně správce.
4. Právem získat kopii (odpověď správce) uvedenou v odstavci 3 nesmějí být nepříznivě dotčena práva a svobody jiných osob.

Čl. XIII. - Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. Správce jedenkrát ročně vyzve subjekt údajů k provedení aktualizací jeho osobních údajů uložených u správce, kdy vzor této Výzvy tvoří Přílohu č.8 k touto VP

Čl. XIV. - Právo na výmaz („právo být zapomenut“)

1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
b) subjekt údajů odvolá souhlas, na jehož základě byly osobní údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;
c) subjekt údajů vznese námitky proti zpracování podle čl. XVIII. odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. XVIII. odst. 2 tohoto VP;
d) osobní údaje byly zpracovány protiprávně;
e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo ČR;
f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 Nařízení ES OU.
2. Jestliže správce osobní údaje zveřejnil a je povinen je podle odstavce 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
3. Odstavce 1 a 2 se neuplatní, pokud je zpracování nezbytné:
a) pro výkon práva na svobodu projevu a informace;
b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo ČR, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
c) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3 Nařízení ES OU;
d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
e) pro určení, výkon nebo obhajobu právních nároků.

Čl. XV. - Právo na omezení zpracování

1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
d) subjekt údajů vznesl námitku proti zpracování podle čl. XVIII. odst. 1 tohoto VP, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
2. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo ČR.
3. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, musí být správcem předem písemně upozorněn na to, že bude omezení zpracování zrušeno a od kdy.
Čl. XVI. - Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
Správce oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem XIII, čl. XIV. a čl.XV. tohoto VP, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů písemně o těchto příjemcích, pokud to subjekt údajů požaduje.

Čl. XVII. - Právo na přenositelnost údajů

1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:
a) zpracování je založeno na souhlasu nebo na smlouvě /podle čl. 6 odst. 1 písm. b) Nařízení ES OU/; a
b) zpracování se provádí automatizovaně.
2. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.
3. Výkonem práva uvedeného v odstavci 1 tohoto článku není dotčen článek XIV. tohoto VP. Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen.
4. Právem uvedeným v odstavci 1 nesmí být nepříznivě dotčena práva a svobody jiných osob.

Čl. XVIII. - Právo vznést námitku

1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. III odst. 1 písm. e) nebo f) tohoto VP, včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
2. Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.
3. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.
4. Subjekt údajů je na právo uvedené v odstavcích 1 a 2 výslovně upozorněn v rámci Přílohy č.4 tohoto VP a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.
5. V souvislosti s využíváním služeb informační společnosti, a aniž je dotčena směrnice 2002/58/ES, může subjekt údajů uplatnit své právo vznést námitku automatizovanými prostředky pomocí technických specifikací.
6. Jsou-li osobní údaje zpracovávány pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1, má subjekt údajů, z důvodů týkajících se jeho konkrétní situace, právo vznést námitku proti zpracování osobních údajů, které se ho týkají, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodů veřejného zájmu.

Čl. XIX. - Automatizované individuální rozhodování, včetně profilování

1. Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
2. Odstavec 1 se nepoužije, pokud je rozhodnutí:
a) nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem údajů;
b) povoleno právem Unie nebo ČR a které rovněž stanoví vhodná opatření zajišťující ochranu práv a svobod a oprávněných zájmů subjektu údajů; nebo
c) založeno na výslovném souhlasu subjektu údajů.
3. V případech uvedených v odst. 2 písm. a) a c) provede správce údajů vhodná opatření na ochranu práv a svobod a oprávněných zájmů subjektu údajů, alespoň práva na lidský zásah ze strany správce, práva vyjádřit svůj názor a práva napadnout rozhodnutí.
4. Rozhodnutí uvedená v odstavci 2 se neopírají o zvláštní kategorie osobních údajů uvedené v čl. VI. odst. 1 tohoto VP, pokud se neuplatní čl. VI odst. 2 písm. a) nebo g) tohoto VP a nejsou zavedena vhodná opatření pro zajištění práv a svobod a oprávněných zájmů subjektu údajů.

ČÁST D. – Správce a zpracovatel

Čl. XX. - Odpovědnost správce

S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavede správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s Nařízením ES OU. Tato opatření musí být podle potřeby revidována a aktualizována, a to minimálně jedenkrát ročně. Opatření dle tohoto článku jsou obsahem Přílohy č. 9 k tomuto VP.

Čl. XXI. - Záměrná a standardní ochrana osobních údajů

1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, zavede správce jak v době určení prostředků pro zpracování, tak v době zpracování samotného vhodná technická a organizační opatření, jako je pseudonymizace, jejichž
účelem je provádět zásady ochrany údajů, jako je minimalizace údajů, účinným způsobem a začlenit do zpracování nezbytné záruky, tak aby splnil požadavky tohoto nařízení a ochránil práva subjektů údajů.
2. Správce zavede vhodná technická a organizační opatření k zajištění toho, aby se standardně zpracovávaly pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Tato opatření zejména zajistí, aby osobní údaje nebyly standardně bez zásahu člověka zpřístupněny neomezenému počtu fyzických osob.

Čl. XXII. - Zpracovatel

1. Pokud má být zpracování provedeno pro správce, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto nařízení a aby byla zajištěna ochrana práv subjektu údajů.
2. Zpracovatel nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce. V případě obecného písemného povolení zpracovatel správce informuje o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci příležitost vyslovit vůči těmto změnám námitky.
3. Zpracování zpracovatelem se řídí smlouvou nebo jiným právním aktem podle práva Unie nebo ČR, které zavazují zpracovatele vůči správci a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Tato smlouva nebo jiný právní akt zejména stanoví, že zpracovatel:
a) zpracovává osobní údaje pouze na základě doložených pokynů správce, včetně v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právo Unie nebo ČR; v takovém případě zpracovatel správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
c) přijme všechna opatření požadovaná podle článku 32 Nařízení ES OU;
d) dodržuje podmínky pro zapojení dalšího zpracovatele uvedené v odstavcích 2 a 4 tohoto článku tohoto VP;
e) zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů;
f) je správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 Nařízení ES OU, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
g) v souladu s rozhodnutím správce všechny osobní údaje buď vymaže, nebo je vrátí správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Unie nebo ČR nepožaduje uložení daných osobních údajů;
h) poskytne správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné správcem nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.
zpracovatel neprodleně správce informuje v případě, že podle jeho názoru určitý pokyn porušuje Nařízení ES OU nebo jiné předpisy Unie nebo ČR týkající se ochrany údajů.
Vzor smlouvy mezi správcem a zpracovatelem tvoří přílohu č.10 této směrnice.
4. Pokud zpracovatel zapojí dalšího zpracovatele, aby jménem správce provedl určité činnosti zpracování, musí být tomuto dalšímu zpracovateli uloženy na základě smlouvy nebo jiného právního aktu podle práva Unie nebo ČR stejné povinnosti na ochranu údajů, jaké jsou uvedeny ve smlouvě nebo
jiném právním aktu mezi správcem a zpracovatelem podle odstavce 3, a to zejména poskytnutí dostatečných záruk, pokud jde o zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky tohoto nařízení. Neplní-li uvedený další zpracovatel své povinnosti v oblasti ochrany údajů, odpovídá správci za plnění povinností dotčeného dalšího zpracovatele i nadále plně prvotní zpracovatel. Prvotní zpracovatel nesmí uzavřít smlouvu dle tohoto odstavce s dalším zpracovatelem bez předchozího písemného souhlasu správce.
5. Smlouvy podle odstavců 3 a 4 musí být vyhotoveny písemně, v to počítaje i elektronickou formu.
6. Pokud zpracovatel poruší Nařízení ES OU tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za správce.
7. Zpracovatel a jakákoliv osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, může tyto osobní údaje zpracovávat pouze na písemný pokyn správce, ledaže jí jejich zpracování ukládá právo Unie nebo ČR.

Čl. XXIII. - Záznamy o činnostech zpracování

1. Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace (a jejich vzor tvoří Přílohu č.11 k tomuto VP):
a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce Nařízení ES OU doložení vhodných záruk;
f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. XXIV odst. 1 tohoto VP.
2. Každý zpracovatel a jeho případný zástupce vede záznamy o všech kategoriích činností zpracování prováděných pro správce, jež obsahují:
a) jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů;
b) kategorie zpracování prováděného pro každého ze správců;
c) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce Nařízení ES OU, doložení vhodných záruk;
d) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. XXIV. odst. 1 tohoto VP.
3. Záznamy podle odstavců 1 a 2 se vyhotovují písemně, v to počítaje i elektronickou formu.
4. Správce nebo zpracovatel poskytne záznamy na požádání dozorového úřadu.
5. Dle Nařízení ES OU platí, že povinnosti uvedené v odstavcích 1 a 2 tohoto VP se nepoužijí pro podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování zvláštních kategorií údajů uvedených v čl. VI. odst. 1 tohoto VP nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku VII.
Tohoto VP. Jelikož pak zpracování osobních údajů správcem není jen příležitostné, tak se povinnosti dle odst.1 a 2 tohoto VP na správce vztahují, kdy splnění těchto povinností zabezpečuje statutární orgán správce.

Čl. XXIV. - Zabezpečení zpracování

1. S přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, provedou správce a zpracovatel vhodná technická a organizační opatření (tato jsou uvedena v Příloze č.9 k tomuto VP), aby zajistili úroveň zabezpečení odpovídající danému riziku, případně včetně:
a) pseudonymizace a šifrování osobních údajů;
b) schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování;
c) schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incidentů;
d) procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování.
2. Při posuzování vhodné úrovně bezpečnosti se zohlední zejména rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztráta, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
3. Správce a zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření správce nebo zpracovatele a má přístup k osobním údajům, zpracovávala tyto osobní údaje pouze na pokyn správce, pokud jí jejich zpracování již neukládá právo Unie nebo ČR.

Čl. XXV. - Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
2. Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.
3. Ohlášení podle odstavce 1 musí přinejmenším obsahovat:
a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
b) jméno a kontaktní údaje kontaktního místa správce, které může poskytnout bližší informace;
c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
4. Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
5. Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem. Vzor této dokumentace včetně vzoru ohlášení dozorovému úřadu tvoří Přílohu č.12 tohoto VP.

Čl. XXVI. - Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

1. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce toto porušení bez zbytečného odkladu subjektu údajů.
2. V oznámení určeném subjektu údajů podle odstavce 1 tohoto článku se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. XXV. odst. 3 písm. b), c) a d) tohoto VP.
3. Oznámení subjektu údajů uvedené v odstavci 1 se nevyžaduje, je-li splněna kterákoli z těchto podmínek:
a) správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
b) správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů podle odstavce 1 se již pravděpodobně neprojeví;
c) vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
4. Jestliže správce dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil, nebo může rozhodnout, že je splněna některá z podmínek uvedených v odstavci 3.

Čl. XXVII. - Posouzení vlivu na ochranu osobních údajů

1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.
2. Posouzení vlivu na ochranu osobních údajů podle odstavce 1 je nutné zejména v těchto případech:
a) systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
b) rozsáhlé zpracování zvláštních kategorií údajů; nebo
c) rozsáhlé systematické monitorování veřejně přístupných prostorů.
3. Posouzení obsahuje alespoň:
a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
c) posouzení rizik pro práva a svobody subjektů údajů uvedených v odstavci 1; a
d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.
4. Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.
5. Pokud má zpracování podle čl. III odst. 1 písm. c) nebo e) tohoto VP právní základ v právu Unie nebo ČR, a toto právo upravuje konkrétní operaci nebo soubor operací zpracování a pokud bylo posouzení vlivu na ochranu osobních údajů již provedeno jakožto součást obecného posouzení dopadů v souvislosti s přijetím uvedeného právního základu, odstavce 1 až 4 se nepoužijí, ledaže by ČR považovala provedení tohoto posouzení před činnostmi zpracování za nezbytné.
6. Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s posouzením vlivu na ochranu osobních údajů alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

Čl. XXVIII. - Předchozí konzultace

1. Správce konzultuje před zpracováním s dozorovým úřadem, pokud z posouzení vlivu na ochranu osobních údajů podle článku XXVII. Tohoto VP vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika.
2. Při konzultaci s dozorovým úřadem podle odstavce 1 mu správce poskytne informace o těchto aspektech:
a) ve vhodných případech rozdělení odpovědnosti správce a zpracovatelů zapojených do zpracování;
b) účely a způsoby zamýšleného zpracování;
c) opatření a záruky poskytnuté za účelem ochrany práv a svobod subjektů údajů podle tohoto nařízení;
d) kontaktní údaje osoby oprávněné ve věci jednat jménem správce;
e) posouzení vlivu na ochranu osobních údajů podle článku XXVII tohoto VP a
f) veškeré další informace, o které dozorový úřad požádá.

ČÁST D. – Některá další práva subjektu údajů

Čl. XXIX. - Právo podat stížnost u dozorového úřadu, Právo na účinnou soudní ochranu vůči správci nebo zpracovateli,

Zastupování subjektů údajů
1. Aniž jsou dotčeny jakékoliv jiné prostředky správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů je porušeno Nařízení ES OU.
2. Aniž je dotčena jakákoli dostupná správní či mimosoudní ochrana, včetně práva na podání stížnosti u dozorového úřadu, má každý subjekt údajů právo na účinnou soudní ochranu, pokud má za to, že jeho práva podle Nařízení ES OU byla porušena v důsledku zpracování jeho osobních údajů v rozporu s Nařízením ES OU. Řízení proti správci nebo zpracovateli se zahajuje u soudů toho členského státu, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště.
3. Subjekt údajů má právo pověřit neziskový subjekt, organizaci nebo sdružení, jež byly řádně založeny v souladu s právem ČR, aby jeho jménem podal stížnost a, uplatnil práva uvedená v odst. 1 a 2 tohoto článku tohoto VP a, pokud tak stanoví právo ČR, uplatnil právo na odškodnění podle následujícího článku tohoto VP.

Čl. XXX. - Právo na náhradu újmy a odpovědnost

1. Kdokoli, kdo v důsledku porušení tohoto nařízení utrpěl hmotnou či nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.
2. Správce zapojený do zpracování je odpovědný za újmu, kterou způsobí zpracováním, jež porušuje Nařízení ES OU. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že nesplnil povinnosti stanovené Nařízením ES OU konkrétně pro zpracovatele nebo že jednal nad rámec zákonných pokynů správce nebo v rozporu s nimi.
3. Správce nebo zpracovatel jsou odpovědnosti podle odstavce 2 zproštěni, pokud prokáží, že nenesou žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.
4. Je-li do téhož zpracování zapojen více než jeden správce nebo zpracovatel, nebo správce i zpracovatel, a nesou-li podle odstavců 2 a 3 odpovědnost za jakoukoliv škodu způsobenou daným zpracováním, nese každý správce nebo zpracovatel odpovědnost za celou újmu, tak aby byla zajištěna účinná náhrada újmy subjektu údajů.
5. Jestliže některý správce nebo zpracovatel zaplatil v souladu s odstavcem 4 plnou náhradu způsobené újmy, má právo žádat od ostatních správců nebo zpracovatelů zapojených do téhož zpracování vrácení části náhrady, která odpovídá jejich podílu na odpovědnosti za újmu v souladu s podmínkami v odstavci 2.
6. Soudní řízení za účelem výkonu práva na náhradu újmy se zahajují u soudů příslušných podle práva, v němž má daný správce nebo zpracovatel provozovnu. Řízení se může popřípadě zahájit i u soudů členského státu, kde má subjekt údajů své obvyklé bydliště.

ČÁST E. – Ustanovení společná a závěrečná

Čl. XXXI. - Ustanovení společná a závěrečná

1.Nedílnou součástí tohoto VP jsou jeho Přílohy, a to:
a)Příloha č.1 – vzor Prohlášení subjektu údajů
b)Příloha č.2 – vzor části smlouvy obsahující Prohlášení subjektu údajů
c)Příloha č.3 – některé náležitosti, postupy a vzory pro Prohlášení subjektu údajů učiněné elektronickou poštou (e-mail) a Prohlášení subjektu údajů učiněné prostřednictvím prostředku komunikace na dálku
d)Příloha č.4 – vzorové Informace a sdělení dle čl.12 odst.1 Nařízení ES OU
e)Příloha č.5 – vzor žádosti subjektu údajů o informace (žádosti subjektu údajů o vydání potvrzení o zpracování osobních údajů a získání přístupu k informacím)
f)Příloha č.6 – vzor žádosti správce o poskytnutí osobních údajů
h)Příloha č.7 – vzor potvrzení správce o zpracování osobních údajů a získání přístupu k informacím
i)Příloha č.8 – vzor Výzvy správce (právo na opravu)
j)Příloha č.9. – technická a organizační opatření správce k zajištění a doložení, že zpracování osobních údajů je prováděno v souladu s Nařízením ES OU
k)Příloha č.10 – smlouva o zpracování osobních údajů mezi správcem a zpracovatelem - vzor
l)Příloha č.11 - Záznamy o činnostech zpracování
m)Příloha č.12 – vzor dokumentace případů porušení zabezpečení osobních údajů a vzor ohlášení dozorovému úřadu
2.Změny, doplnění nebo zrušení tohoto VP jsou možné pouze písemnou formou, a to zejména při změně platné a účinné právní úpravy, přičemž k provedení změny, doplnění nebo zrušení tohoto VP je za správce oprávněn toliko jeho statutární orgán. Správce je povinen neprodleně po nabytí platnosti a účinnosti českého adaptačního zákona k Nařízení ES OU provést příslušné změny a doplnění tohoto VP v souladu a dle cit. adaptačního zákona.
3.Tento VP nabývá platnosti a účinnosti dnem 25. května 2018, přičemž věci (na úseku ochrany fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů) v této směrnici výslovně neupravené řídí příslušnými ustanoveními Nařízení ES OU.
4.Nabytím účinnosti tohoto VP se ruší předchozí vnitřní předpisy správce upravující předmětnou problematiku.
V Uherském Hradišti dne 15.5.2018 MARLIN, s.r.o.

Při poskytování služeb nám pomáhají soubory cookies. Používáním našich služeb vyjadřujete souhlas s našim používáním souborů cookies. Souhlasím