Zásady ochrany osobních údajů RB Associates s.r.o.
dle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále „GDPR“) včetně příslušného zákona (zákonů), který (které) toto nařízení provede v českém právním řádu poté, co vstoupí v účinnost a veškerých právní předpisů a nařízení obsahujících pravidla pro ochranu subjektů údajů s ohledem na zpracování osobních údajů včetně požadavků na zabezpečení osobních údajů a jejich volného pohybu.
1. Úvod a definice
Tento dokument popisuje, jak RB Associates s.r.o. , společnost zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze, spisová značka C 256358, se sídlem Údolní 1724/59, 147 00 Praha 4, IČ 04966261. (dále „Red Button” nebo „Správce“) nakládá s osobními údaji fyzických osob jako Správce a zpracovatel osobních údajů a poskytuje informace o způsobu a rozsahu zpracování a ochraně poskytnutých osobních údajů. Dokument je určen Vám – našim zákazníkům, uživatelům, dodavatelům a obchodním partnerům.
Osobní údaje – veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále Subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Citlivé osobní údaje – zvláštní kategorie osobních údajů, které by mohly odhalit rasový nebo etnický původ, náboženské vyznání, politické nebo filozofické přesvědčení, členství v odborech, informace o vašem zdravotním stavu nebo sexuálním životě, genetické údaje nebo biometrické údaje pro účely jedinečné identifikace osoby.
Zpracování – jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Zpracovatel – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný Subjekt, který zpracovává osobní údaje pro Správce.
Příjemce – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný Subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.
Subjekt údajů – fyzická osoba, k níž se osobní údaje vztahují, může se jednat i o Vaše zaměstnance, členy orgánů obchodních korporací, fyzické osoby s Vámi spolupracující.
2. Rozsah zpracování
Red Button zpracovává osobní údaje o Vás, resp. o Subjektech údajů, které jste poskytli nám – Správci při obchodních jednáních, před vznikem nebo v průběhu smluvního vztahu (za účelem realizace smluvního vztahu) nebo které jste nám poskytli v rámci Vaší přihlášky k účasti či vlastní účasti na akcích pořádaných Red Buttonem nebo v rámci Vaší registrace k využívání některého z online nástrojů provozovaných Red Buttonem či při přihlášení odběru informačních materiálů rozesílaných Red Buttonem. Dále může jít o Vaše kontaktní údaje, které jste poskytli některému z našich zaměstnanců v rámci obchodních jednání.
Red Button zpracovává tyto osobní údaje ve smyslu čl. 4 odst. 1 GDPR:
- identifikační údaje, například titul, jméno, příjmení, pracovní pozice, název zaměstnavatele,
- kontaktní údaje, například kontaktní adresa, telefonní čísla a e-mailové adresy,
- informace ze vzájemné komunikace, například informace obsažené v e-mailech, zápisy z jednání, záznamy z kontaktních formulářů nebo žádostí podaných prostřednictvím HelpDesku či kontaktního formuláře
- fakturační a transakční údaje, například číslo bankovního účtu, informace objevující se na fakturách, informace o přijatých platbách,
- Informace o obsahových preferencích či informace o využívání online nástrojů Red Buttonu (např. platformy Red Button EDU) a z nich vzniklých statistických dat
- podobizny a obrazové snímky ve formě společných fotografií z akcí Red Buttonu
3. Účel a právní základ zpracování osobních údajů
Red Button shromažďuje, zpracovává a používá Vámi poskytnuté osobní údaje za účelem:
- plnění smlouvy/objednávky, která bude nebo byla mezi Vámi a Red Buttonem uzavřena ve smyslu čl. 6 odst. 1 písm. b) GDPR v rozsahu nezbytném pro tento účel zpracování.
- oprávněného zájmu ve smyslu čl. 6 odst. 1 písm. f) GDPR v rozsahu nezbytném pro tento účel zpracování, tedy zařazení do databáze obchodních kontaktů pro řízení a rozvoj obchodních vztahů, zasílání obchodních sdělení, pozvánek na akce a informací o nových produktech a službách Red Buttonu online způsobem.
- zpracování na základě informovaného dobrovolného souhlasu ve smyslu čl. 6 odst. 1 písm. a) GDPR. Takovéto udělení souhlasu platí také pro Správcem pověřené zpracovatele. Zpracování je v rozsahu ukládání a zobrazování obrazových snímků ve formě společných fotografií z akcí Red Buttonu, referenčních textů a podobně.
Red Button může dále osobní údaje rovněž shromažďovat a zpracovávat i bez souhlasu pokud je to nezbytné kvůli jiným oprávněným účelům Red Buttonu, například:
- zajištění bezpečnosti a ochrany majetku Red Buttonu a dalších oprávněných zájmů Red Buttonu,
- prošetření potenciálních incidentů nebo porušení povinností vyplývajících z právních předpisů a/nebo interních předpisů,
- pokud je to nezbytné pro dodržování právních předpisů, například shromažďování a poskytování osobních údajů v souladu s regulatorními požadavky, daňovými zákony nebo na žádost policie,
- na základě povolení soudu nebo při výkonu či obhajobě zákonných práv Red Buttonu,
- pokud je to nezbytné k ochraně Vašich životně důležitých zájmů (nebo životně důležitých zájmů jiné osoby).
V případech, kdy není zpracování osobních údajů nezbytné pro splnění smlouvy nebo není požadováno zákonem, tak Vás může Red Button výslovně požádat o souhlas nebo o zajištění souhlasu s určitými způsoby použití osobních údajů ve smyslu čl. 6 odst. 1 písm. a) GDPR. O souhlas může Red Button požádat písemnou formou, emailem či odkazem do speciální aplikace, kde svůj souhlas potvrdíte. Pokud Red Button požádá o souhlas, máte vždy možnost odmítnout a pokud souhlas poskytnete, tak Subjekt údajů, který souhlas poskytl je pak oprávněn takový souhlas kdykoliv odvolat.
4. Odvolání souhlasu
Pokud Red Button zpracovává Vaše osobní údaje na základě souhlasu, tak máte jako Subjekt údajů právo kdykoliv odvolat svůj souhlas.
Svůj souhlas se zpracováním osobních údajů můžete kdykoliv odvolat e-mailem na adrese info@redbuttonedu.cz nebo písemně dopisem zaslaným na adresu sídla Red Button.
Pokud nebudete chtít od Red Buttonu nadále dostávat e-maily obsahující obchodních sdělení, pozvánky na akce a informace o nových produktech a službách Red Buttonu online způsobem, můžete se z odběru vždy odhlásit kliknutím v zápatí každého e-mailu. Odhlášení z odběru vždy považujeme za odvolání souhlasu ve smyslu čl. 7 odst. 3 GDPR nebo podání námitky podle čl. 21 GDPR. Takovéto odhlášení můžete provést také emailem na adrese info@redbuttonedu.cz nebo písemně dopisem zaslaným na adresu sídla Red Buttonu.
Odvolání souhlasu uděleného dle výše uvedených odstavců platí také pro Red Buttonem pověřené zpracovatele.
Další informace o Vašich právech naleznete v kapitole 7. Těchto zásad.
5. Příjemci osobních údajů a zpracovatelé
Red Button používá pro zpracování a uchování osobních údajů tyto třetí strany – zpracovatele na základě pověření ke zpracování osobních údajů nebo souhlasu s všeobecnými podmínkami
Zpracovatelé:
- Služby Google Suite, cloudová úložiště a další aplikace společnosti Google pro ukládání a zpracování emailů a dokumentů. Osobní údaje neopouští území Evropské unie.
- Emailingovou službu MailChimp a SmartEmailing pro zasílání hromadných sdělení a evidenci souhlasů. Osobní údaje jsou předávány společnosti MailChimp do USA, přičemž společnost MailChimp splňuje podmínky EU-U.S. Privacy Shield.
- Služby Pipedrive jako CRM řešení pro ukládání informací o obchodních kontaktech a průběhu obchodních jednání. Data jsou uložena v datovém centru ve Frankfurtu, SRN (viz https://www.pipedrive.com/en/privacy).
- Databáze Airtable - databázový systém pro ukládání identifikačních a obchodních kontaktů a transakčních dat. Osobní údaje jsou předávány společnosti Airtable do USA, přičemž společnost Airtable splňuje podmínky EU-U.S. Privacy Shield.
- Sociální sítě Facebook a LinkedIn pro sdílení informací o Red Button včetně ukládání a zobrazování obrazových snímků ve formě společných fotografií z akcí Red Button.
- Službu Solidpixels společnosti Breezy pro tvorbu webové prezentace Red Button včetně ukládání a zobrazování obrazových snímků ve formě společných fotografií z akcí Red Button. Data jsou uložena v České republice.
- Službu WordPress, využívané v rámci “General Public License” pro webové prezentace Red Buttonu včetně ukládání a zobrazování obrazových snímků ve formě společných fotografií z akcí Red Button. Data jsou uložena v EU.
- Službu ACTIVE24 pro hostování webových prezentací a dalších online služeb. Data jsou uložena v EU.
- Službu Typeform ke sběru dat prostřednictvím formulářů. Data neopouští území EU.
Red Button může poskytnuté osobní údaje sdílet také s třetími stranami – Zpracovateli, včetně:
- těch, kteří poskytují Red Button služby (například účetní, finanční, daňoví a právní poradci); jiných třetích stran, pokud se jedná o sdílení osobních údajů na základě Vašeho souhlasu, nebo je to nezbytné:
- k dodržování povinností vyplývajících z právních předpisů,
- k vypracování či podání skutečné či potenciální žaloby nebo k obhajobě před skutečnou či potenciální žalobou nebo
- k ochraně Vašich životně důležitých zájmů (nebo životně důležitých zájmů jiné osoby)
Osobní údaje jsou spravovány a zpracovávány v souladu se všemi aplikovatelnými právními předpisy, zejména v souladu s GDPR, ale i v souladu s právními předpisy na ochranu osobnosti fyzické osoby. Osoby nakládající s osobními údaji jsou vázány mlčenlivostí, dodržováním právních předpisů a dodržováním interních předpisů Red Buttonu.
6. Doba uchovávání údajů
Osobní údaje budou uchovány pouze po dobu nezbytně nutnou k naplnění účelů popsaných v těchto zásadách (nebo jiných účelů, které Vám byly sděleny) nebo účelů jinak požadovaných smlouvami uzavřenými s třetími stranami, příslušnými zákony či jinými vnitřními předpisy Red Buttonu.
7. Vaše práva - práva Subjektu údajů
V souvislosti se svými osobními údaji má každý Subjekt údajů právo na:
- přístup k osobním údajům (čl. 15 GDPR). Dle čl. 15 GDPR máte jako Subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od Red Button jako Správce osobních údajů:
- potvrzení, zda zpracovává osobní údaje,
- informace o účelech zpracování, kategoriích dotčených osobních údajů, příjemcích, kterým osobní údaje byly nebo budou zpřístupněny, plánované době zpracování, o existenci práva požadovat od Správce opravu nebo výmaz osobních údajů týkajících se Subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování, právu podat stížnost u dozorového úřadu, o veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od Subjektu údajů, skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, o vhodných zárukách při předání údajů mimo EU,
- v případě, že nebudou nepříznivě dotčena práva a svobody jiných osob i kopii osobních údajů.
- opravu osobních údajů (čl. 16 GDPR). Dle čl. 16 GDPR má Subjekt údajů právo na opravu nepřesných osobních údajů, které o něm bude Správce osobních údajů zpracovávat. Subjekt údajů má rovněž povinnost oznamovat změny svých osobních údajů a doložit, že k takové změně došlo. Zároveň je povinen poskytnout součinnost, bude-li zjištěno, že osobní údaje, které o něm Správce zpracovává, nejsou přesné. Oprava bude provedena bez zbytečného odkladu, vždy však s ohledem na dané technické možnosti.
- výmaz osobních údajů (čl. 17 GDPR). Dle čl. 17 Nařízení má Subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud Správce osobních údajů neprokáže oprávněné důvody pro zpracování těchto osobních údajů.
- omezení zpracování osobních údajů (čl. 18 GDPR). Dle čl. 18 GDPR má Subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.
- přenositelnost osobních údajů (čl. 20 GDPR). Dle čl. 20 GDPR má Subjekt údajů právo na přenositelnost údajů, které se ho týkají a které poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat Správce osobních údajů o předání těchto údajů jinému Správci. Pokud v souvislosti se smlouvou nebo na základě souhlasu poskytne Subjekt údajů osobní údaje a jejich zpracování se provádí automatizovaně, má právo získat takové údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Bude-li to technicky proveditelné, lze údaje předat i určenému správci, bude-li řádně určena osoba jednající za příslušného Správce a bude-li možné ji autorizovat. V případě, že by výkonem tohoto práva mohlo dojít k nepříznivému dotčení práv a svobod třetích osob, nebude možné žádosti Subjektu údajů vyhovět.
- vznést námitku proti zpracování osobních údajů (čl. 21 GDPR). Dle čl. 21 GDPR má Subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu Správce osobních údajů. V případě, že Správce osobních údajů neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami Subjektu údajů, Správce osobních údajů zpracování na základě námitky ukončí bez zbytečného odkladu.
- nebýt předmětem automatizovaného rozhodování (čl. 22 GDPR). Dle čl. 22 GDPR má subjekt údajů právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
- odvolání souhlasu se zpracováním osobních údajů. Pokud Správce zpracovává osobní údaje na základě souhlasu, tak má Subjekt údajů právo kdykoliv odvolat svůj souhlas.
- podání stížnosti v případě, že se domnívá, že bylo porušeno jeho právo na ochranu osobních údajů v České republice u Úřadu pro ochranu osobních údajů se sídlem Pplk. Sochora 727/27, 17000 Praha 7 – Holešovice, tel.: 234 665 111, email: posta@uoou.cz.
Upozorňujeme, že v souvislosti s výše popsanými právy Subjektu údajů mohou existovat omezení nebo výjimky z možnosti uplatnit práva. Red Button se bude snažit se Subjektem údajů spolupracovat a projednat případné výjimky nebo omezení v případě, že bude ze strany Subjektu údajů vznesen požadavek na uplatnění práva.
Máte-li jakýkoliv dotaz ohledně práv Subjektu údajů nebo chce-li vznést jako Subjekt údajů požadavek ohledně výkonu svých práv v souvislosti s osobními údaji uvedenými v těchto zásadách, obraťte se na nás emailem na adrese info@redbuttonedu.cz nebo písemně na adresu sídla RB Associates s.r.o., Údolní 1724/59, 147 00 Praha.
8. Red Button jako zpracovatel osobních údajů
Red Button je v rámci poskytování svých produktů a služeb zpracovatelem osobních údajů pro své zákazníky – Správce osobních údajů. Takovéto zpracování probíhá vždy na základě a za podmínek stanovených Smlouvou o zpracování osobních údajů nebo podobnou smlouvu, uzavřenou vždy s každým zákazníkem – Správcem osobních údajů jednotlivě.
9. Závěr
Tyto zásady nabývají účinnosti ke dni 30. 9. 2020. Red Button je oprávněn kdykoliv změnit text těchto zásad s tím, že novou verzi zveřejní na svých webových stránkách.