Zásady ochrany osobních údajů

1. Definice pojmů

Osobní údaj

Jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitý, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

Citlivý údaj

Osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.

Subjekt údajů

Fyzická osoba, k níž se osobní údaje vztahují (např.: zákazník, klient, zaměstnanec)

Správce

Každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit jiného zpracovatele, pokud zvláštní zákon nestanoví jinak.

Zpracovatel

Každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona/pověření.

Zpracování osobních údajů

Jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.

Souhlas subjektu údajů

Souhlasem subjektu údajů se rozumí svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

GDPR

Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. Představuje aktualizovaný právní rámec ochrany osobních údajů v evropském prostoru, který od 25. května 2018 stanovuje pravidla pro zpracování osobních údajů, včetně práv subjektu údajů. V českém právním prostředí tak obecné nařízení nahradí zákon č. 101/2000 Sb., o ochraně osobních údajů práva při zpracování osobních údajů.

2. Kdo spravuje osobní údaje subjektu údajů resp., kdo je jejich správcem?

Správcem Vašich osobních údajů je AQE advisors, a.s., třída Kpt. Jaroše 1944/31, Černá Pole (Brno-střed), 602 00 Brno, IČO: 269 54 770, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl B, vložka 4997 (dále jen „Společnost“ nebo „správce“).

3. Kdo je kontaktní osobou pro ochranu osobních údajů a jaké jsou jeho kontaktní údaje?

Kontaktní osobou pro ochranu osobních údajů je osoba jmenovaná správcem nebo zpracovatelem osobních údajů na základě jeho profesních kvalit, která plní zákonem stanovené úkoly, zejména působí jako kontaktní místo pro subjekt, ve všech záležitostech souvisejících se zpracováním osobních údajů a výkonem práv subjektu údajů ve smyslu zákona. AQE advisors, a.s., IČO: 26954770 kratochvilova@AQE.cz, www.AQEacademy.cz 

V rámci Společnosti je kontaktní osobou pro zpracování a ochranu osobních údajů:

Mgr. Lucie Kratochvílová
třída Kpt. Jaroše 1944/31, 602 00 Brno
e-mail: kratochvilova@AQE.cz
tel:
+420 776 890 486

4. Jaké jsou účely zpracování osobních údajů a právní základ pro jejich zpracování (důvod zpracování)?

Zpracování osobních údajů je po celou dobu prováděno výhradně v nezbytně nutném rozsahu a způsobem, který vede k dosažení předem stanoveného účelu. Jakmile je účel zpracování naplněn, Společnost osobní údaje v souladu se zásadou minimalizace údajů (zpracování osobních údajů je přiměřené, relevantní, omezené na nezbytný rozsah ve vztahu k účelu zpracování) a omezení uložení (osobní údaje jsou uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou osobní údaje zpracovávány) vymazává, pokud je není třeba uchovávat pro jiný účel.

Před zahájením jakéhokoli zpracování osobních údajů Společnost stanovuje účel, pro který zpracovává osobní údaje. Účelem zpracování osobních údajů subjektu údajů je:
  • Poskytování služeb
  • Akreditované osoby v souvislosti se zajištěním odborných zkoušek pro uchazeče o zkoušku včetně související komunikace a procesů
  • Zasílání obchodních sdělení
  • Poskytování dalších služeb (např. školení, vzdělávacích kurzů a online kurzů) včetně související komunikace a procesů

Zpracováním se rozumí zejména shromažďování, uložení, kontrola, vyhledávání, nahlížení, použití, výmaz dat s cílem poskytovat subjektu údajů maximální kvalitu služeb.
Naše zákazníky nechceme obtěžovat zbytečnou a nevhodnou komunikací. Osobní údaje, které zpracováváme, využíváme především k plnění zákonných povinností a povinností, plynoucích nám ze smluv uzavřených se subjekty údajů nebo s jinými zpracovateli či správci osobních údajů, s nimiž si osobní údaje vyměňujeme za účelem zajištění požadovaných služeb nebo na základě výslovného souhlasu subjektu údajů.

5. Jaké osobní údaje zpracováváme?

Zpracováváme osobní údaje, které jsou pro výše uvedené účely zpracování nezbytné. Jedná se zejména o tyto:
  • identifikační údaje (např.: tituly, jméno, příjmení, datum narození či rodné číslo, IČO, DIČ);

  • kontaktní údaje (např.: adresa trvalého pobytu nebo sídla podnikání, korespondenční adresa, email);
  • další údaje pro plnění smlouvy (např.: číslo účtu, daňové doklady)
  • údaje o využívaných službách (např.: typ zkoušky, rozsah zasílaných informací požadovaný subjektem údajů, výsledky zkoušek, příprava na zkoušku/využívání služeb);
  • lokalizační údaje: IP adresa
  • Údaje zpracovávané v rámci umístění kamerového systému nebo audiovizuálního systému: průběh odborné zkoušky pro distanční dohled komisařů dle Zkouškového řádu

6. Z jakých zdrojů tyto informace pocházejí?

Zpracovávané osobní údaje pocházejí především od subjektů údajů:
  • z vyplněného webového formuláře, emailem nebo telefonicky při přihlašování na zkoušku nebo na jiný vzdělávací kurz,

  • při různých společenských příležitostech (např.: konference finančně poradenských firem, PR stáncích, kampaních),
  • nebo od smluvních obchodních partnerů, kteří Společnosti předávají osobní údaje subjektů údajů. V takovém případě jde o poskytování služeb a s nimi související činnosti, které vyplývají z existujícího smluvního vztahu, případně z postupu směřujícího ke vzniku smluvního vztahu jako je vytvoření účtu, může jít o poskytování sjednaných služeb, případně řešení stížností. V takovémto případě je souhlas s obchodními podmínkami vyžadován až po přihlášení subjektu údajů do uživatelského účtu.


Subjekt údajů je o pravidlech zpracování uvedených v memorandu o zpracování osobních údajů informován vždy před vlastním zpracováním osobních údajů
  • v rámci obchodních podmínek,

  • v rámci udělení souhlasu se zpracováním osobních údajů,
  • zpřístupněním pravidel na společenských akcích atp.

7. Kdo může osobní údaje subjektu údajů zpracovávat?

Zákonná úprava ochrany osobních údajů dává jejich správci možnost pověřit zpracováním osobních údajů další zpracovatele. Zpracovatelem osobních údajů je každá fyzická nebo právnická osoba, která na základě právního předpisu nebo pověření správcem zpracovává osobní údaje. Pro zpracování osobních údajů subjektů údajů Společnost využívá pouze prověřené zpracovatele, kteří splňují standardy ochrany osobních údajů minimálně na stejné úrovni jako ve Společnosti. Zpracovatelé splňují právními předpisy stanovené podmínky pro výkon činnosti zpracovatele. Zpracovatelé, které společnost využívá ke zpracování osobních údajů subjektů údajů, jsou následující:
  • Zaměstnanci nebo smluvní partneři vykonávající pro subjekt údajů smluvně dohodnutou službu k prvotním či druhotně slučitelným účelům zpracování osobních údajů.
  • Poskytovatelé nebo provozovatelé informačních technologií.

8. Po jakou dobu budou Vaše osobní údaje uloženy?

Osobní údaje, které Společnost získala, uchovává po celou dobu smluvního vztahu a po dobu následujících 3 let po jeho ukončení nebo po dobu delší, pokud jí to ukládá zvláštní právní předpis. Po této lhůtě budou osobní údaje vymazány, anonymizovány nebo zpracovávány pouze v rozsahu a pro účely, ke kterým Společnost zavazuje příslušný právní předpis.

9. Přehled práv subjektu údajů

Při zpracování osobních údajů nedochází k automatizovanému rozhodování a profilování.

Právo na přístup k osobním údajům

Subjekt údajů může Společnost požádat o přístup k osobním údajům, které se ho týkají nebo které o něm Společnost zpracovává; Společnost poskytne subjektu údajů nejpozději do jednoho měsíce po obdržení žádosti kopii zpracovávaných osobních údajů. S ohledem na složitost nebo počet případů lze lhůtu prodloužit o další dva měsíce, o čemž je subjekt údajů informován včetně důvodu prodloužení. Za druhou a další kopii je Společnost oprávněna účtovat přiměřený poplatek na základě administrativních nákladů.

Informace jsou subjektu údajů předávány tak, aby nebyla dotčena práva svobod jiných subjektů údajů

Právo na opravu

Subjekt údajů může společnost požádat o opravu nepřesných nebo nekompletních osobních údajů, které se ho týkají. Společnost přijímá žádosti subjektu údajů o opravu nepřesných údajů, opravuje bez zbytečného odkladu nepřesné nebo neúplné osobní údaje. Zároveň oznamuje jednotlivým příjemcům údajů veškeré opravy osobních údajů s výjimkou případů:
  • kdy se to ukáže jako nemožné,
  • kdy to vyžaduje nepřiměřené úsilí.


V případě žádosti subjektu údajů Společnost informuje subjekt údajů o tom, kterým příjemcům zaslal oznámení o opravách osobních údajů. Povinností subjektu údajů je informovat Společnost o změnách osobních údajů vyžadujících opravu

Právo na výmaz

Subjekt údajů může Společnost požádat, aby vymazala jeho osobní údaje, pokud dojde k některé z následujících situací:
  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
  • byl odvolán souhlas, na jehož základě byly osobní údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování;
  • byla subjektem údajů vznesena námitka proti tomu být předmětem rozhodování založeného na automatizovaném zpracování osobních údajů a neexistují žádné převažující oprávněné důvody pro jejich takovéto zpracování nebo byla vznesena námitka proti zpracování osobních údajů pro účely přímého marketingu;
  • osobní údaje subjektu údajů byly zpracovány protiprávně;
  • osobní údaje subjektu údajů musí být vymazány k datu splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
  • osobní údaje subjektu údajů byly shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti.


Výjimky, kdy se právo na výmaz osobních údajů neuplatní:
  • zpracování je nezbytné pro výkon práva na svobodu projevu a informace,
  • zpracování je nezbytné pro splnění právní povinnosti (vyžadované právem EU nebo ČR),
  • zpracování je nezbytné pro plnění úkolů ve veřejném zájmu
  • zpracování je nezbytné pro plnění úkolů při výkonu veřejné moci,
  • zpracování je nezbytné pro určení, výkon a obhajobu právních nároků,
  • zpracování je nezbytné ve veřejném zájmu v oblasti veřejného zdraví pro:

- účely preventivního a pracovního lékařství,

- posouzení pracovní schopnosti zaměstnance,
- účely lékařské diagnostiky, a na základě práva EU nebo ČR nebo podle smlouvy se zdravotnickým pracovníkem,
- poskytování zdravotní péče,
- poskytování sociální péče,
 - řízení systémů a služeb zdravotní péče,
- řízení systémů a služeb sociální péče,
  • zpracování je nezbytné na základě práva EU nebo ČR a z důvodů veřejného zájmu v oblasti veřejného zdraví:

- při ochraně před vážnými přeshraničními zdravotními hrozbami,

- při zajištění norem kvality a bezpečnosti zdravotní péče, při zajištění norem kvality a bezpečnosti léčivých přípravků
- při zajištění norem kvality a bezpečnosti zdravotnických prostředků,
- údaje mohou být zpracovávány také pracovníkem, na něhož se vztahuje povinnost mlčelivosti na základě služebního tajemství podle práva EU nebo ČR, na vlastní odpovědnost podle práva EU nebo ČR, na základě pravidel stanovených vnitrostátními orgány, na základě pravidel stanovených jinou osobou,
- jinou osobou, na niž se vztahuje povinnost mlčelivosti podle práva EU nebo ČR podle pravidel stanovených příslušnými vnitrostátními orgány,
  • zpracování je nezbytné pro účely vědeckého a historického výzkumu, pro statistické účely, pokud:

- není možné, aby účely byly splněny zpracováním, které neumožňuje identifikovat subjekty údajů,

- je pravděpodobné, že by výmaz osobních údajů znemožnil nebo vážně ohrozil splnění cílů uvedeného zpracování,
- jsou zavedena technická a organizační opatření k zajištění vhodných záruk za práva svobod subjektů údajů, k zajištění minimalizace zpracovávaných údajů.

Společnost přijímá žádosti o výmaz osobních údajů od subjektu údajů. Společnost vymaže osobní údaje, pokud zpracování nepodléhá výjimce. Pokud údaje byly zveřejněny, přijímá Společnost (s ohledem na dostupnou technologii a náklady) přiměřené kroky, aby informovala další správce osobních údajů, kteří údaje také zpracovávají, že je subjekt údajů žádá, aby vymazaly: 
  • veškeré kopie,
  • replikace,
  • odkazy na tyto údaje,
  • došlo k informování správců, které osobní údaje zpracovávají, že subjekt údajů žádá výmaz údajů (odkazy, kopie, replikace).



Správce příjemcům údajů oznamuje výmaz osobních údajů, s výjimkou případů:
  • kdy se to ukáže jako nemožné,
  • kdy to vyžaduje nepřeměřené úsilí,



V případě žádosti subjektů údajů, správce informuje subjekt údajů o tom, kterým příjemcům zaslal oznámení o výmazu osobních údajů.

Právo na omezení zpracování

Subjekt údajů může Společnost požádat, aby omezila zpracování jeho osobních údajů, pokud dojde k některé z následujících situací:

  • subjekt údajů popřel přesnost osobních údajů, a to na dobu potřebnou k tomu, aby Společnost mohla přesnost osobních údajů ověřit;
  • zpracování osobních údajů je protiprávní, ale subjekt údajů odmítá výmaz těchto údajů a místo toho žádá o omezení jejich použití;
  • Společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  • Subjekt údajů vznesl námitku proti zpracování osobních údajů podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.


Pokud došlo k omezení zpracování údajů, osobní údaje mohou být zpracovávány pouze se souhlasem subjektu údajů, s výjimkou uložení osobních údajů.

Pokud subjekt údajů požádá o omezení zpracování osobních údajů, jeho údaje mohou být zpracovávány bez jeho souhlasu pouze z důvodu:
  • určení, výkonu a obhajoby právních nároků,

  • ochrany práv jiné fyzické nebo právnické osoby,

  • veřejného zájmu EU nebo jejího členského státu.



Společnost oznamuje jednotlivým příjemcům osobních údajů omezení zpracování osobních údajů s výjimkou případů:
  • kdy se to ukáže jako nemožné,
  • kdy to vyžaduje nepřiměřené úsilí, V případě žádosti subjektu údajů Společnost informuje subjekt údajů o tom, kterým příjemcům zaslala oznámení o omezení zpracování osobních údajů.


Společnost musí ověřit přesnost osobních údajů v případě, že ji subjekt popírá. Pokud dochází ke zrušení omezení zpracování, musí na to být upozorněn subjekt údajů (který dosáhl omezení).

Právo na přenositelnost údajů
Subjekt údajů má právo získat osobní údaje, které se ho týkají a které poskytl Společnosti, ve strukturovaném, běžně používaném a strojově čitelném formátu s tím, že tímto právem nesmí být nepříznivě dotčena práva a svobody jiných subjektů údajů.
Výjimky, kdy se právo na přenositelnost osobních údajů neuplatní:
  • zpracování, kterými je správce pověřen a která jsou nezbytná pro plnění úkolů ve veřejném zájmu,

  • zpracování, kterými je správce pověřen a která jsou nezbytná při výkonu veřejné moci,
  • zpracování zvláštních kategorií osobních údajů, kde se právo na přenositelnost osobních údajů neuplatní, protože právo EU nebo ČR stanoví, že výslovný souhlas subjektů údajů nelze uplatnit. Uplatněním práva není dotčeno právo na výmaz údajů.

Právo na odvolání souhlasu

Subjekt údajů má právo souhlas se zpracováním osobních údajů pro účel, pro který dal souhlas, kdykoliv odvolat; odvoláním souhlasu není dotčeno zpracování osobních údajů před jeho odvoláním.

Subjekt údajů může využít tohoto práva doručením vyplněného formuláře Odvolání souhlasu se zpracování osobních údajů https://www.vectorcertifikace.cz/wp-content/uploads/Odvolánísouhlasu_se_zpracováním_osobních_údajů.pdf

  • osobně do sídla společnosti 
  • poštou na adresu sídla společnosti – AQE advisors, a.s., třída Kpt. Jaroše 1944/31, 602 00 Brno
  • emailem na adresu - kratochvilova@AQE.cz
  • odvolání souhlasu dle informace v zápatí emailu

Právo vznést námitku

Subjekt údajů může kdykoliv vznést námitku proti zpracování osobních údajů, které se jej týkají. Společnost osobní údaje dále nezpracovává, pokud neprokáže závažné oprávnění důvodu pro zpracování, které převažuje nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Právo podat stížnost

Subjekt údajů má právo podat stížnost u Společnosti, na adrese AQE advisors, a.s., třída Kpt. Jaroše 1944/31, 602 00 Brno nebo u dozorového orgánu, kterým je Úřad na ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

10. Ohlášení porušení zabezpečení osobních údajů

Společnost AQE advisors, a.s., má zpracován vnitřní proces pro ohlašování porušení ochrany osobních údajů subjektů údajů, řádně respektuje plnění ohlašovací a oznamovací povinnosti Úřadu pro ochranu osobních údajů (ÚOOÚ) a v případech takového porušení je připravena k součinnosti k následným korektivním opatřením se všemi zúčastněnými stranami.

11. Závěrečná ustanovení

Aktuální znění memoranda o zpracování osobních údajů je k dispozici na webových stránkách Společnosti https://www.vectorcertifikace.cz/dokumenty/#zpracovani-osobnich-udaju nebo v sídle společnosti a jejích pobočkách.
Created with