V "MI AMANTE" Ltd.

1. Zavedení

1.1. Obecná ustanovení

Tato politika ochrany osobních údajů (dále jen „Politika") upravuje činnosti zpracování osobních údajů společností „Ми Аманте" s.r.o., IČ 204519279, se sídlem a adresou: město Sofia 1408, oblast Lozenec, ul. "Sv. Osij Kordobski", bytová skupina „Jižní park", blok 113, kancelář 2, (dále jen „Společnost"), s cílem zajistit soulad s požadavky Nařízení (EU) 2016/679 Evropského parlamentu a Rady o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (Obecné nařízení o ochraně údajů, dále jen „Nařízení"), stejně jako se všemi dalšími platnými právními předpisy na ochranu osobních údajů. Tato Politika se vztahuje na otázky ochrany osobních údajů, pro které neexistuje jiná regulace podle jiných aktů Společnosti.

 

1.2. Politika má za cíl upravit a zvláště se zabývá následujícími otázkami:

 

činnosti zpracování osobních údajů, kategorie subjektů údajů, na které se Politika vztahuje, zásady a odpovědnosti související se zpracováním;

povinnosti osob jednajících pod vedením Společnosti při zpracování osobních údajů a jejich odpovědnost při nesplnění;

práva subjektů údajů a postup jejich uplatňování;

postup pro zpracování osobních údajů na základě souhlasu subjektů údajů;

pravidla pro reakci v případě porušení bezpečnosti osobních údajů;

přijatá technická a organizační opatření na ochranu osobních údajů.

 

1.3. Informace o Společnosti

 

Společnost „Mi Amante" s.r.o.

Údaje o zápisu zapsaném v obchodním rejstříku a rejstříku právnických osob s neziskovým účelem u Agentury pro zápisy, s IČ 204519279

Sídlo a adresa řízení: město Sofia 1408, oblast Lozenec, ul. "Sv. Osij Kordobský", bytová skupina Jižní park, blok 113, byt kancelář 2,

Adresa pro kontakt: město Sofie 1330, Bul. „Nikola Mušanov” 116, 2. patro, kancelář 8

 

Předmět činnosti Výroba a obchod s kosmetikou, parfumerií a souvisejícími chemickými produkty, vnější a vnitřní obchod s potravinami a průmyslovým zbožím, obchodní zastoupení a zprostředkování a jakýkoli jiný druh podnikatelské činnosti, která není zakázána zákonem

Email pro kontakty office@miamantehair.com

 

2. Použité termíny a zkratky

 

Všechny termíny a zkratky, které nejsou výslovně definovány v Politice, mají význam stanovený v Nařízení.

 

3. Činnosti zpracování osobních údajů

 

3.1. Principy zpracování osobních údajů

 

Zpracování osobních údajů Společností se řídí zásadami zákonnosti, poctivosti a transparentnosti a minimalizace údajů. Zpracovávané osobní údaje jsou omezeny na nezbytné v souvislosti s cíli, pro které jsou zpracovávány. Osobní údaje jsou shromažďovány pro konkrétní, výslovně stanovené a legitimní účely a nejsou dále zpracovávány způsobem neslučitelným s těmito účely. Osobní údaje jsou přesné a v případě potřeby jsou udržovány aktuální. Osobní údaje jsou uchovávány v takové formě, která umožňuje identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou osobní údaje zpracovávány. Osobní údaje jsou zpracovávány způsobem, který zaručuje odpovídající úroveň bezpečnosti osobních údajů, včetně ochrany proti neoprávněnému nebo nezákonnému zpracování a proti náhodné ztrátě, zveřejnění, zničení nebo poškození, přičemž jsou uplatňována vhodná technická nebo organizační opatření, s dodržením zásad trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb pro zpracování.

 

3.2. Kategorie subjektů údajů. Kategorie osobních údajů a účely zpracování.

 

3.2.1. Společnost má právo zpracovávat osobní údaje svých klientů, zaměstnanců a dalších subjektů údajů, a to následovně:

 

klienti (fyzické osoby) Společnosti v její hlavní činnosti nabízení a obchodování s kosmetickými produkty, ohledně kterých mohou být zpracovávány osobní údaje jako IP adresa, e-mailová adresa, telefonní číslo, MAC adresa, adresa (poštovní a dodací), informace o fakturaci a přijímání bankovních plateb a další. Cíle zpracování pro tuto kategorii subjektů zahrnují: (i). přijetí, zpracování a realizaci objednávek nabízených produktů a/nebo služeb Společnosti, včetně využívání webových stránek Společnosti; (II). uchovávání daňové a účetní evidence; (III). plnění legislativních požadavků; (IV). cíle související s legitimními zájmy Společnosti; (v). cíle, pro které subjekt údajů dal souhlas se zpracováním svých údajů;

potenciální, současní a/nebo bývalí zaměstnanci Společnosti a fyzické osoby, které jsou nebo byly ve smluvních právních vztazích se Společností na základě občanských smluv; uchazeči o zaměstnání nebo o uzavření občanské smlouvy jako externí dodavatelé – fyzické osoby, které nejsou ve pracovních nebo smluvních právních vztazích se Společností, ale chtějí do nich vstoupit, vůči nimž mohou být zpracovávány osobní údaje jako tři jména, rodné číslo/číslo občanského průkazu/služební číslo, datum narození; adresa, údaje o předchozích pracovních nebo profesních zkušenostech, vzdělání a kvalifikaci, uplatněná disciplinární odpovědnost; informace o bankovních účtech (IBAN, při platbě bankovním převodem), kontaktní údaje: telefonní číslo; e-mailová adresa; další údaje požadované podle platné legislativy pro uzavření a plnění pracovních nebo občanských smluv; údaje přímo související s činností plnění uzavřených smluv s těmito osobami (např.: údaje z logů nebo aktivity osob v systémech spravovaných Společností, s ohledem na plnění svěřených funkcí (např. systémy pro zadávání objednávek), IP adresa atd. Cíle zpracování vůči této kategorii subjektů zahrnují: (i) zkoumání možnosti uzavření a plnění pracovních nebo občanských smluv se subjekty údajů; (ii) uchovávání daňové a účetní evidence; (iii) plnění zákonných požadavků; (iv) cíle související s legitimními zájmy Společnosti; (v) cíle, pro které subjekt údajů dal souhlas se zpracováním svých údajů.

 

smluvní partneři a partneři – fyzické osoby, na základě smluv o reklamě a propagaci produktů nabízených Společností, pro které může Společnost shromažďovat osobní údaje i ve formě fotografických snímků. Cíle zpracování týkající se této kategorie subjektů zahrnují: (i) plnění smluv o reklamě nebo propagaci; (ii) cíle související s oprávněnými zájmy Společnosti; (iii) cíle, pro které subjekt údajů dal souhlas se zpracováním svých údajů;

 

jiné fyzické osoby a fyzické osoby-zástupci nebo kontaktní osoby právnických osob, které mají kontakt se Společností (včetně, ale nejen dodavatelů, obchodních kontaktů, subdodavatelů, obchodních partnerů apod.) za účelem plnění a/nebo řízení činnosti Společnosti;

 

jiné fyzické osoby, zástupci podle zákona nebo plné moci fyzických osob – klientů Společnosti.

 

3.2.2. Společnost uchovává osobní údaje po delší z období, které jsou nezbytné buď k dodržení platných zákonů a podzákonných předpisů, nebo jiného období podle požadavků platných pro obchodní činnost Společnosti či její činnost jako zaměstnavatele nebo zadavatele podle občanskoprávních smluv. Zpracování osobních údajů je založeno na principu minimalizace údajů, v závislosti na účelu a pro účely poskytování služeb, které daný klient využívá.

 

4. Kategorie příjemců dat

 

Společnost může zveřejňovat osobní údaje následujícím osobám:

 

poskytovatelé služeb – konzultanti, právníci, účetní, IT specialisté a další, v souvislosti s uzavíráním smluv z hlavní činnosti Společnosti, plněním zákonných požadavků, technickou podporou a dalšími;

 

subdodavatelé – při poskytování služeb jménem Společnosti (distributoři a další), v souvislosti s uzavíráním a plněním smluv o obchodování s produkty nabízenými Společností;

 

osoby poskytující služby poskytování a údržby zařízení, softwaru a hardwaru používaného pro zpracování (včetně ukládání) osobních údajů, pro vykazování plateb a další;

 

banky za zpracování plateb ze strany subjektů údajů;

 

veřejné a/nebo soudní orgány, v rozsahu povoleném a/nebo vyžadovaném zákonem.

 

5. Povinnosti společnosti

 

Společnost má následující povinnosti:

 

určuje zásady a postupy pro ochranu zpracovávaných osobních údajů v souladu s platnou legislativou;

 

zavádí vhodná technická a organizační opatření s ohledem na účinné uplatňování zásad ochrany osobních údajů, a také aby zajistil, že se ve výchozím nastavení zpracovávají pouze osobní údaje nezbytné pro příslušný účel zpracování;

 

zajišťuje uplatňování práv subjektů na ochranu osobních údajů;

 

aktualizuje podporované databáze a provádí kontrolu dodržování požadavků na ochranu, zjišťuje okolnosti související s porušením ochrany a přijímá opatření k jejich odstranění;

 

uchovává osobní údaje v podobě, která umožňuje identifikaci příslušných subjektů po dobu ne delší, než je nezbytné pro účely, pro které jsou tyto údaje zpracovávány;

 

informovat zaměstnance o účelnosti v otázkách ochrany osobních údajů;

 

poskytuje pomoc při provádění kontrolních funkcí Komise pro ochranu osobních údajů (dále jen „KZLD“);

 

určuje práva zaměstnanců na přístup k osobním údajům v informačních systémech v souladu s cíli zpracování;

 

používá zpracovatele osobních údajů, kteří poskytují dostatečné záruky prostřednictvím uplatňování vhodných technických a organizačních opatření na ochranu;

 

dodržuje určitá pravidla v případě porušení bezpečnosti osobních údajů;

 

dokumentuje porušení bezpečnosti osobních údajů v souladu s platnou legislativou;

 

provádí hodnocení rizik v souladu s požadavky nařízení, případně hodnocení dopadů, pokud podle nařízení existují podmínky pro toto.

 

6. Povinnosti zaměstnanců Společnosti. Odpovědnost. Důvěrnost

 

6.1. Zaměstnanci Společnosti začínají zpracovávat osobní údaje po seznámení s:

 

právní úprava v oblasti ochrany osobních údajů;

 

Politika a další vnitřní akty Společnosti týkající se ochrany osobních údajů;

 

rizika pro osobní údaje zpracovávané Společností.

 

Zaměstnanci Společnosti jsou povinni:

 

dodržovat požadavky Nařízení, ostatní platnou legislativu v oblasti ochrany osobních údajů, Politiku a další vnitřní předpisy Společnosti související s ochranou osobních údajů;

 

zpracovávat osobní údaje pouze za podmínky zákonného zpracování, a to: zákonný důvod pro zpracování; nebo důvod pro zpracování vyplývající ze smluvních vztahů s osobou nebo nezbytný pro případné uzavření smluvních vztahů s osobou; nebo důvod pro zpracování vyplývající z výslovného souhlasu osoby; nebo důvod pro zpracování vyplývající z oprávněného zájmu Společnosti nebo třetí strany v souladu s požadavky Nařízení;

 

používat osobní údaje v souladu s účely, pro které jsou shromažďovány, a nezpracovávat je dále způsobem, který není kompatibilní s těmito účely;

 

nepoužívají osobní údaje, ke kterým mají přístup jako zaměstnanci Společnosti, pro jakékoli osobní účely;

 

dodržovat pravidlo vyhýbání se možnosti neoprávněného přístupu k osobním údajům a nezanechávat osobní údaje bez dozoru na příslušném pracovišti. V prostorách, do kterých mají přístup cizí osoby, jsou příslušní zaměstnanci povinni přijmout opatření tak, aby cizí osoby neměly žádný neoprávněný přístup k dokumentům obsahujícím osobní údaje, včetně možnosti je prohlížet, kopírovat nebo fotografovat technickými prostředky;

 

když provádění příslušné činnosti umožňuje, omezit používané osobní údaje na maximální možnou míru;

 

zajišťují a garantují dodržování práv subjektů v souvislosti se zpracováním osobních údajů;

 

nepřipouštět, nepodporovat ani nevytvářet podmínky pro porušování bezpečnosti při zpracování osobních údajů;

 

nebudou sdílet nebo poskytovat mezi sebou nebo třetím osobám informace zásadního významu pro bezpečnost dat (svá uživatelská jména, přístupová hesla k systémům apod.);

 

neukládejte soubory s firemními informacemi obsahujícími osobní údaje na přenosné médium v nešifrované (nebo nezabezpečené heslem) podobě;

 

nezasílat e-mailem na e-mailové adresy mimo Společnost informace obsahující významné objemy osobních údajů nebo jakékoli zvláštní kategorie osobních údajů či jiné osobní údaje, k nimž neoprávněný přístup může představovat vysoké riziko pro práva a zájmy subjektů údajů, kterých se týkají, v souborech bez ochrany heslem nebo v nešifrované či jinak pseudonymizované podobě.

 

nepublikovat osobní údaje o klientech nebo zaměstnancích Společnosti na veřejných stránkách a podobně, bez existence adekvátního právního důvodu pro to;

 

6.2. Odpovědnost zaměstnanců

 

6.2.1. Veškeré činnosti, které vedou nebo mohou vést k neoprávněnému vymazání, zničení nebo změně osobních údajů přijatých společností v elektronické podobě nebo na papírovém nosiči, stejně jako neoprávněné sdílení/odhalení osobních údajů ze strany zaměstnanců společnosti, jsou zakázány a mohou vést k uplatnění odpovědnosti příslušného zaměstnance (disciplinární, správně-sankční a/nebo trestní, a/nebo občanskoprávní).

 

6.3. Společnost:

 

zajišťuje podepsání prohlášení o důvěrnosti a nezveřejňování osobních údajů všemi zaměstnanci, kteří s ním osobní údaje zpracovávají.

 

informuje zaměstnance, kteří zpracovávají osobní údaje, o jejich povinnostech souvisejících s tímto zpracováním.

 

7. Vedení registru činností zpracování osobních údajů jako správce

 

V souladu s požadavky čl. 30 odst. 1 Nařízení vede Společnost Registr činností zpracování jako správce, který obsahuje název a kontaktní údaje Společnosti. Registr zahrnuje podrobný popis všech činností zpracování osobních údajů podle čl. 30 odst. 1 Nařízení, včetně následujících charakteristik: název činnosti (obchodního procesu, funkce) zpracování; účely zpracování; kategorie fyzických osob, jejichž osobní údaje jsou zpracovávány; kategorie osobních údajů zpracovávaných v dané činnosti; třetí strany, které získávají nebo jinak se podílejí na zpracování osobních údajů v dané činnosti; pokud je to relevantní, předání osobních údajů do třetí země mimo EU; plánované doby uchovávání a vymazání různých kategorií osobních údajů, pokud je to možné; obecný popis technických a organizačních bezpečnostních opatření, pokud je to možné.

 

8. Vedení registru činností zpracování osobních údajů jako zpracovatel

 

V případě, že vzhledem k činnostem Společnosti vznikne potřeba vést Registr činností zpracování osobních údajů jako zpracovatel podle čl. 30 odst. 2 Nařízení, Společnost takový Registr vytvoří a bude jej vést v požadovaném rozsahu, formě a obsahu podle platné legislativy.

 

9. Úředník pro ochranu osobních údajů

 

Společnost určí pověřence pro ochranu osobních údajů (dále jen „DPO“), pokud je jmenování takové osoby nezbytné nebo se stane nezbytným v souladu s platnými legislativními požadavky na ochranu osobních údajů.

 

10. Práva subjektů údajů

 

Společnost zajišťuje uplatňování následujících práv subjektů údajů:

 

právo na informace při shromažďování osobních údajů od subjektu údajů;

 

právo na přístup k údajům subjektu údajů a konkrétně: (i). potvrzení, zda jsou osobní údaje subjektu údajů zpracovávány Společností; (ii). poskytnutí přístupu k údajům prostřednictvím kopie údajů, které jsou zpracovávány, stejně jako informace o účelech zpracování; kategoriích osobních údajů; příjemcích nebo kategoriích příjemců, kterým jsou nebo budou osobní údaje zpřístupněny; lhůtách uchovávání osobních údajů; existenci práva na opravu nebo vymazání osobních údajů nebo omezení zpracování osobních údajů, nebo na námitku proti zpracování; právo podat stížnost u Úřadu pro ochranu osobních údajů; zdrojích osobních údajů; existenci automatizovaného rozhodování, včetně profilování.

 

právo na opravu - požadovat opravu nebo doplnění svých osobních údajů, pokud jsou nepřesné nebo neúplné;

 

právo na vymazání osobních údajů, pokud jsou splněny podmínky stanovené v Nařízení;

 

právo omezit zpracování;

 

právo na přenositelnost dat;

 

právo na námitku;

 

právo subjektu údajů, aby nebyl předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má právní následky nebo jej jinak významně ovlivňuje;

 

poskytnutí, změna nebo odvolání souhlasu se zpracováním osobních údajů, pokud je právním základem zpracování souhlas subjektu údajů.

 

Subjekty údajů mohou uplatňovat svá práva podáním písemné žádosti společnosti jedním z následujících způsobů:

 

prostřednictvím e-mailu na výše uvedenou e-mailovou adresu Společnosti pomocí kvalifikovaného elektronického podpisu, v souladu se zákonem o elektronickém dokumentu a elektronických certifikačních službách (dále jen „KEP“);

 

poštou na kontaktní adresu Společnosti zasláním notářsky ověřené žádosti za účelem zajištění identifikace žadatele, a v případech, kdy je žádost podána zákonným zástupcem žadatele, nebo prostřednictvím zmocněnce s notářsky ověřenou plnou mocí žadatele, žádost musí také obsahovat notářsky ověřený podpis podepsané osoby.

 

Žádosti jsou vyřizovány bez zbytečného odkladu. Do jednoho měsíce od podání žádosti společnost informuje subjekt údajů o opatřeních přijatých v souvislosti s žádostí, případně o důvodech, proč nebyla přijata žádná opatření, a o možnosti podat stížnost dozorčímu orgánu a hledat ochranu soudní cestou. Pokud jsou v souvislosti s žádostí přijata opatření, lhůta pro informování subjektu údajů o těchto opatřeních může být prodloužena až na celkem tři měsíce, přičemž se zohledňuje složitost a počet žádostí. V takovém případě společnost informuje subjekt údajů o prodloužení lhůty v rámci původní jedno měsíční lhůty.

 

Informace (která se může lišit v závislosti na tom, které právo subjektu údajů bylo uplatněno) je poskytována na papírovém nosiči osobně subjektu údajů nebo jeho zákonnému či zmocněnému zástupci s výslovně notářsky ověřenou plnou mocí. Pokud bylo podání podáno e-mailem, informace je rovněž poskytována prostřednictvím e-mailu na e-mailovou adresu, ze které bylo podání odesláno, v souborech chráněných heslem.

  

11. Souhlas subjektu údajů jako základ pro zpracování

 

11.1. Nadace

 

V případech, kdy je právním základem pro zpracování osobních údajů souhlas podle nařízení, musí být souhlas udělen osobně prostřednictvím písemného prohlášení, v elektronické formě nebo jiným způsobem stanoveným Společností, který zajistí, že souhlas je svobodně udělený, konkrétní, informovaný a jednoznačný.

 

11.2. Subjekty údajů

 

Společnost může shromažďovat souhlasy pro všechny kategorie subjektů údajů, pro které se provádí zpracování osobních údajů, včetně klientů, zaměstnanců a osob, se kterými má společnost uzavřené občanskoprávní smlouvy o poskytování služeb nebo zakázek, a další.

 

11.3. Odnětí

 

Společnost poskytuje subjektům údajů možnost snadno změnit nebo odvolat svůj souhlas, aniž by to mělo nepříznivé právní důsledky pro ně, pokud je to objektivně možné. Změny nebo odvolání souhlasu provádějí subjekty údajů podle postupu pro shromažďování souhlasů. V případě částečného nebo úplného odvolání souhlasu, pokud je zpracování osobních údajů prováděno na tomto základě, může společnost být schopna poskytnout požadovanou službu klientovi nebo vykonat činnost, pro kterou bylo nezbytné příslušné poskytnutí osobních údajů. Odvolání souhlasu neovlivňuje zákonnost zpracování na základě daného souhlasu do okamžiku jeho odvolání.

 

11.4. Shromažďování souhlasů

 

Souhlasy se shromažďují jedním z následujících způsobů:

 

osobně, v kanceláři pro kontakty - pro klienty Společnosti;

 

elektronickou služební poštou - pro současné zaměstnance;

 

prostřednictvím licencovaného poštovního operátora s notářsky ověřeným prohlášením o souhlasu; nebo

 

podepsáno s KEP prohlášení o souhlasu, odeslané e-mailem.

 

11.5. Poskytování a odvolávání souhlasů online

 

V případech, kdy je vyžadován souhlas se zpracováním osobních údajů ze strany Společnosti vzhledem k poskytovaným službám Společnosti, které jsou objednávány online, je tento souhlas získáván (případně odvoláván) také online.

 

11.6. Skladování

 

Souhlasy se zpracováním osobních údajů jsou evidovány a uchovávány Společností v odpovídajícím možném formátu a rozsahu pro takové uchovávání.

 

12. Zpracování osobních údajů Společností prostřednictvím zpracovatele osobních údajů

 

Pro vykonávání své činnosti může Společnost využívat třetí strany (subdodavatele, distributory, poskytovatele kurýrních služeb apod.), které jsou zpracovateli osobních údajů ve smyslu čl. 4, bod 8 Nařízení. Takovými zpracovateli mohou být:

 

obchodní společnosti;

 

fyzické osoby, zaměstnané na občanských smlouvách.

 

Při zadávání zpracování osobních údajů zpracovateli společnost dodržuje následující požadavky:

 

jsou vybíráni zpracovatelé, kteří poskytují dostatečné záruky pro uplatňování vhodných technických a organizačních opatření na ochranu osobních údajů;

 

podmínky ochrany osobních údajů jsou upraveny písemně mezi Společností a zpracovatelem.

 

Smlouvy/dohody, které Společnost uzavírá se zpracovateli osobních údajů, stanovují a upravují: předmět a dobu platnosti, cíle a povahu zpracování; kategorie subjektů údajů, jejichž osobní údaje jsou zpracovávány; druh osobních údajů, které zpracovatel bude zpracovávat jménem Společnosti; práva a povinnosti Společnosti a zpracovatele; požadavky na technická a organizační opatření na ochranu, která má zpracovatel uplatňovat (u zpracovatele není povoleno odchýlení od ustanovení této politiky); povinnost zpracovatele spolupracovat podle čl. 31-36 Nařízení; povinnost zpracovatele bez zbytečného odkladu informovat Společnost po zjištění porušení bezpečnosti; požadavky na zpracovatele a další povinné podmínky podle čl. 28 odst. 3 Nařízení.

 

13. Pravidla pro reakci v případě porušení bezpečnosti osobních údajů

 

13.1. Zjištění bezpečnostního porušení zaměstnancem

 

V případě bezpečnostního incidentu, který zjistí zaměstnanec Společnosti, zaměstnanec o tom neprodleně informuje vedení Společnosti nebo DLPD, pokud je takový určen, písemnou formou (a pokud možno i ústně), přičemž poskytne i informace, které o tom má - o povaze porušení, o předpokládaném čase vzniku / provedení porušení a další.

 

13.2. Vyšetřování bezpečnostního narušení a opatření

 

Bez zbytečného odkladu by měla Společnost prozkoumat fakta, provést analýzu a posouzení závažnosti porušení s ohledem na riziko pro práva a svobody subjektů, počet dotčených subjektů údajů apod., a navrhnout vhodná opatření k odstranění, a tam, kde to není možné – k minimalizaci identifikovaných rizik a případných nepříznivých důsledků.

 

13.3. Oznámení ÚOOÚ

 

V případě porušení bezpečnosti společnost informuje Úřad pro ochranu osobních údajů do 72 hodin od zjištění, pokud v konkrétním případě neexistuje žádná pravděpodobnost, že by porušení bezpečnosti mohlo představovat riziko pro práva a svobody fyzických osob.

 

13.4. Informování subjektů údajů

 

Když může bezpečnostní incident vést k vysokému riziku pro práva a svobody fyzických osob, Společnost bez zbytečného odkladu oznámí porušení bezpečnosti osobních údajů dotčeným subjektům údajů. V oznámení je popsána povaha bezpečnostního incidentu a uvedeny alespoň: jméno a kontaktní údaje Společnosti; popis možných důsledků porušení; popis opatření přijatých nebo navržených Společností k řešení porušení.

 

Společnost má právo neinformovat dotčené subjekty údajů o porušení, pokud:

 

(I). přijalo předem vhodná technická a organizační opatření k ochraně a tato opatření byla aplikována (např. šifrování); a/nebo

 

(II). následně přijalo opatření, která zaručují, že již není pravděpodobné, že by se vysoké riziko pro práva a svobody subjektů údajů mohlo uskutečnit; a/nebo

 

(III). takové oznámení by vedlo k nepřiměřenému úsilí. V tomto případě společnost zveřejní oznámení na svých webových stránkách a/nebo vhodným způsobem prostřednictvím sdělovacích prostředků o porušení.

  

13.5. Skladování

 

Signály o porušení bezpečnosti osobních údajů jsou zaznamenávány a uchovávány Společností.

  

14. Technická a organizační opatření na ochranu osobních údajů

 

14.1. Technická a organizační opatření Společnosti jako správce

 

V činnosti Společnosti jsou plánována nezbytná technická a organizační opatření na ochranu osobních údajů před náhodným nebo nezákonným zničením, nebo před náhodnou ztrátou, před neoprávněným přístupem, změnou nebo šířením, stejně jako před jinými nezákonnými formami zpracování. Druhy ochrany jsou fyzická, personální, dokumentární, ochrana automatizovaných informačních systémů a/nebo sítí, kryptografická ochrana. Technická a organizační opatření, která Společnost uplatňuje, jsou podrobně uvedena v Příloze 1 k této Politice, která může být předmětem periodických aktualizací.

 

14.2. Technická a organizační opatření Společnosti jako zpracovatele

 

V případě, že Společnost zpracovává osobní údaje jako zpracovatel pro jiné správce, konkrétní technická a organizační opatření, která Společnost jako zpracovatel uplatňuje, jsou stanovena v individuálních dohodách s příslušným správcem. Pokud takové určení chybí, Společnost se bude řídit technickými a organizačními opatřeními, která uplatňuje jako správce.

 

15. Přenos osobních údajů mimo Evropský hospodářský prostor (EHP)

Společnost může provádět mezinárodní přenos dat pocházejících z Evropského hospodářského prostoru (EHP), pokud Evropská komise uznala danou zemi mimo EHP za zajišťující odpovídající úroveň ochrany dat. Pro přenosy do zemí mimo EHP, jejichž úroveň ochrany nebyla uznána Evropskou komisí, se společnost bude odvolávat buď na určitou výjimku platnou pro konkrétní situaci podle Nařízení, nebo bude uplatňovat některou z záruk stanovených příslušnou legislativou. V ostatních případech, pro přenos osobních údajů mimo EHP, se tento provádí na základě výslovného souhlasu subjektu údajů s navrhovaným přenosem dat, získaného v souladu s požadavky Nařízení.