Směrnice pro nakládání s osobními údaji 247Gym

Constat s.r.o., IČO 284 31 855, se sídlem U smaltovny 1334/22, Holešovice, 170 00 Praha 7, zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze pod spisovou značkou C 141034 („247Gym“) 

1. Úvodní ustanovení

Cílem této směrnice je úprava postupu pověřených osob při nakládání, zpracování a ochraně osobních údajů zpracovávaných v rámci činnosti 247Gym dle Nařízení Evropského Parlamentu a Rady (EU) 2016/679 („Nařízení“) a dalších právních předpisů upravujících ochranu osobních údajů. 

Zásady zde uvedené se vztahují na veškeré zpracování osobních údajů, ke kterému v rámci činnosti 247Gym dochází. Zejména se jedná o zpracování osobních údajů smluvních partnerů, klientů a případně zaměstnanců 247Gym (pokud jsou), zpracovávané oprávněnými osobami 247Gym, kteří 247Gym jako správce těchto osobních údajů při jejich zpracování zastupují. 

Zabezpečení ochrany osobních údajů má ve společnosti 247Gym vysokou prioritu. S osobními údaji je v rámci 247Gym vždy nakládáno v souladu s Nařízením a dalšími právními předpisy s cílem zajištění jejich důvěrnosti a bezpečnosti. Osobní údaje jsou vždy zpracovávány na základě platného právního důvodu ve smyslu čl. 6 Nařízení.

2. Vymezení základních pojmů 

Vymezení pojmů dle čl. 4 Nařízení:

a) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

b) „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

c) „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

d) „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

3. Povaha osobních shromažďovaných a zpracovávaných údajů 

247Gym shromažďuje a zpracovává osobní údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu (identifikační údaje) a osobní údaje umožňující kontakt se subjektem (kontaktní údaje). Rozsah zpracovávaných údajů se u jednotlivých skupin subjektů může odlišovat dle účelu zpracování. 247Gym u jednotlivých subjektů zpracovává pouze ty údaje, které jsou nezbytné pro naplnění účelu jejich shromažďovaní. 247Gym neshromažďuje a nezpracovává citlivé osobní údaje, s případnou výjimkou údajů zpracovávaných pro účely plnění povinností a výkonu zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany.

Identifikačními údaji se pro účely této směrnice rozumí zejména jméno, příjmení, datum narození, bydliště, číslo průkazu, fakturační údaje a heslo a případně daňové identifikační číslo a IČO. Kontaktními údaji se pro účely této směrnice rozumí zejména uvedené telefonní číslo, e-mailová adresa a IP adresa, cookie a jiné obdobné informace. 

4. Subjekty osobních údajů, zdroj osobních údajů a účel zpracování

247Gym shromažďuje a zpracovává osobní údaje následujících skupin subjektů: 

  • zaměstnanci 247Gym a uchazeči o zaměstnání v rámci 247Gym (pokud jsou v konkrétní době takoví)

V případě svých zaměstnanců 247Gym shromažďuje a zpracovává identifikační a kontaktní údaje k účelům personálním, pracovněprávním, daňovým, sociálního zabezpečení, nemocenského pojištění a k dalším účelům podle zvláštních právních předpisů, a to po dobu trvání pracovního poměru a dále po dobu nezbytnou k plnění zákonných povinností 247Gym jakožto zaměstnavatele. Právním důvodem pro tyto formy zpracování je plnění pracovní či obdobné smlouvy, případně je zpracování nezbytné pro plnění právní povinnosti vztahující se na správce pro účely jeho oprávněných zájmu nebo pro účely plnění povinností a výkonu zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany (souhlas se zpracováním není vyžadován) – účel „ADMIN“. Údaje jsou získávaný výlučně od subjektů údajů. 

V případě uchazečů o zaměstnání 247Gym shromažďuje a zpracovává identifikační a kontaktní údaje nutné k vyhodnocení žádosti subjektu a další komunikaci. V případě údajů poskytnutých aktivním úkonem subjektu vůči 247Gym (např. zasláním životopisu či motivačního dopisu), subjekt údajů tímto úkonem požaduje provedení opatření – vyhodnocení životopisu – před uzavřením pracovní nebo obdobné smlouvy s 247Gym ve smyslu čl. 6 odst. 1 písm. b) Nařízení (souhlas se zpracováním není vyžadován) – účel „ADMIN“. Údaje jsou získávaný výlučně od subjektů údajů.

  • obchodní partneři a klienti 247Gym

U svých obchodních partnerů a klientů 247Gym shromažďuje a zpracovává identifikační a kontaktní údaje primárně pro účely plnění svých smluvních povinností a výkonu svých smluvních práv. Právním důvodem pro tuto formu zpracování je plnění smlouvy uzavřené s těmito subjekty (souhlas se zpracováním není vyžadován) – účel „SML“, a dále oprávněný zájem 247Gym jako správce osobních údajů vycházející z dřívějšího kontaktu, komunikace a spolupráce s těmito osobami (souhlas se zpracováním není vyžadován) – účel „KOM“. Údaje jsou získávány výlučně od subjektů údajů. 247Gym dále shromažďuje a zpracovává identifikační a kontaktní údaje pro účely ověřování spokojenosti, hodnocení a marketing (na základě souhlasu) – účel „MKT“.

Pokud jsou osobní údaje zpracovávány mimo Českou republiku budou dodržovány veškeré právní předpisy a plněny veškeré povinnosti, které příslušný zákon ukládá.

5. Pověřené osoby a jejich povinnosti při nakládání s osobními údaji 

Pověřenými osobami, které jsou oprávněny zpracovávat osobní údaje, jsou:

  • jednatel 
  • zaměstnanci zařazeni na pozice administrativních a technických pracovníků, účetních, PR manažerů
  • externisté pověření 247Gym
  • poskytovatelé administrativních, účetních a marketingových služeb

Jednatel 247Gym odpovídá za celkový chod 247Gym, včetně pravidel uvedených v této směrnici.

Jednatel, případně pověření zaměstnanci a další oprávněné subjekty jsou povinni nakládat s osobními údaji výhradně za účelem plnění svých pracovních povinností, a to pouze v rozsahu nezbytném pro naplnění účelů, pro které jsou tyto údaje zpracovávány. Jsou povinni takto činit v souladu s povinnostmi stanovenými právními předpisy touto směrnicí a pokyny zaměstnavatele. Jsou povinni chránit osobní údaje před změnou, zničením, ztrátou, neoprávněnými přenosy, jiným neoprávněným zpracováním, jakož i jiným zneužitím. Nejsou oprávněni osobní údaje zpřístupňovat třetím osobám mimo pověřené osoby. 

Osoba pověřená zabezpečením ochrany osobních údajů uložených na serverech, v osobních počítačích, včetně přenosných, zajišťuje, aby data byla chráněna v souladu s aktuálními technickými požadavky na počítačovou bezpečnost.

Je-li pověřenou osobou osoba mimo 247Gym nebo jiná osoba, která při plnění úkolů nebo poskytování služeb pro 247Gym využívá třetích osob, je společnost 247Gym povinna veškeré povinnosti vyplývající z této směrnice přenést na tyto třetí osoby a zavázat je k plnění povinností k ochraně osobních údajů a poskytování dostatečných záruk ochrany osobních údajů ve smyslu čl. 28 Nařízení.

247Gym a příslušné pověřené osoby jsou povinny vést záznamy o činnostech zpracování; aktualizované záznamy jsou udržovány jednatelem 247Gym.  

6. Bezpečnost zpracovávaných osobních údajů 

Písemnosti a digitální záznamová média, která obsahují osobní údaje, musí být zabezpečena v uzamykatelných prostorách 247Gym, popř. na jiných místech, kde je možno zajistit jejich ochranu. To platí i pro kopie písemností obsahujících osobní údaje. 

Data obsahující osobní údaje, která jsou uložena v počítačích, musí být vhodným způsobem zabezpečena před volným přístupem neoprávněných osob, před změnou, zničením, ztrátou, neoprávněnými přenosy, jiným neoprávněným zpracováním, jakož i jiným zneužitím osobních údajů. 

Veškeré sdílené dokumenty jsou zajišťovány přes cloud providery a data konkrétně u Microsoft Azure SQL. Data jsou šifrována jak v tranzitu, tak po uložení. Jak na zdroji dat, tak na záložních discích se používá enkrypce – šifrování. Přístup ke složkám s osobními údaji je umožněn pouze omezenému a přesně určenému počtu osob na základě personalizovaného klíče (jméno a heslo, otisk prstu a podobně). Není přípustné, aby pověřená osoba svá hesla sdělovala jiným osobám a aby svůj počítač ponechala v režimu přihlášení bez dozoru. Dále je rovněž zakázáno, aby pověřená osoba pracovala s osobními údaji na počítači, ke kterému má přístup i neurčená třetí osoba (např. vzdálený přístup do systému 247Gym z nezabezpečených domácích počítačů).

Za plnění povinností stanovených výše jsou odpovědné pověřené osoby podle rozsahu svých oprávnění vyplývajících z pracovní smlouvy, pokynů zaměstnavatele nebo jiných smluvních závazků vůči 247Gym.

Všichni zaměstnanci i další spolupracovníci jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení pracovního poměru či jiného vztahu, a to bez časového omezení.

Zjistí-li kterákoliv z pověřených osob v rámci 247Gym informaci o porušení zabezpečení osobních údajů (ztráta, únik, zvýšené riziko atp.) je povinna o tom neprodleně informovat příslušného vedoucího pracovníka 247Gym případně jednatele 247Gym. 247Gym má následně povinnost, pokud možno, do 72 hodin informovat o incidentu dozorový orgán (Úřad pro ochranu osobních údajů). Tato povinnost 247Gym nevzniká, pokud se ukáže jako nepravděpodobné, že by porušení mělo za následek porušení práv a svobody fyzických osob. V případě, že následkem porušení je vysoké riziko dopadu do práv a svobod subjektu údajů, vzniká správci povinnosti informovat o události i subjekt údajů. 

7. Způsoby zpracování osobních údajů

  • obecné zásady

247Gym je povinna učinit vše proto, aby byly shromažďovány pouze aktuální a přesné údaje, a to v rozsahu nezbytně nutném pro zajištění účelu jejich zpracování. Pokud subjekt souhlas se zpracováním osobních údajů odvolá, je nutno listiny obsahující jeho osobní údaje skartovat, a jedná-li se o údaje v elektronické podobě, příslušné záznamy smazat; to neplatí, jedná-li se o listiny nebo záznamy, které je nutno podle zvláštních předpisů dále archivovat či je nutné údaje dále uchovávat za účelem určení, výkonu nebo obhajoby právních nároků. 

  • písemná podoba

Osobní údaje zaměstnanců jsou obsaženy v pracovních smlouvách. Osobní údaje obchodních partnerů a klientů jsou obsaženy v příslušných smlouvách, případně objednávkách. Osobní údaje žadatelů o zaměstnání mohou být obsaženy i v písemné podobě v případě, že uchazeč o pozici v 247Gym zaslal svoje podklady, tj. životopis, motivační dopis či jiný podklad, v písemné podobě. 

Fyzické nosiče osobních údajů uvedené výše jsou uchovávány na uzamykatelném místě, ke kterému má přístup pouze vymezený okruh pověřených osob.

  • elektronická podoba

Osobní údaje obchodních partnerů a klientů jsou zpravidla zpracovávány pouze v elektronické podobě. V elektronické podobě jsou zpracovávány i osobní údaje původně získané z písemných zdrojů a uvedené v předchozí sekci.

8. Oprávnění subjektu údajů

S výjimkou uvedených případů, kdy právní důvod pro zpracování je jiný, než souhlas se zpracováním údajů od jejich subjektů (souhlas se zpracováním není vyžadován), zpracovává 247Gym osobní údaje výhradně se souhlasem jejich subjektů. Subjekty osobních údajů jsou v tomto smyslu oprávněné svůj souhlas kdykoliv odvolat.

247Gym poskytuje subjektům osobních údajů veškeré informace (poučení) o účelu, způsobech a jiných charakteristikách zpracování, které jsou vyžadovány právními předpisy. Tyto informace jsou zároveň dostupné u jednatele 247Gym.  

Další oprávnění subjektu osobních údajů na základě Nařízení:

  • Právo na přístup k osobním údajům: Subjekt údajů má právo získat od 247Gym potvrzení, zda zpracovává jeho osobní údaje, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům.
  • Právo na opravu a výmaz, popřípadě omezení zpracování: Subjekt údajů má právo (v případech stanovených Nařízením) požádat 247Gym o opravu nebo doplnění nesprávných, resp. neúplných osobních údajů, požádat o výmaz osobních údajů, pokud odpadl nebo není dán důvod pro jejich zpracování, případně požádat omezení zpravování osobních údajů v souvislosti s řešením okolností zpracování osobních údajů u 247Gym.
  • Právo vznést námitku: Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoliv vznést u 247Gym námitku proti zpracování jeho osobních údajů zpracovávaných pro účely oprávněných zájmů 247Gym nebo jiných osob (dle Nařízení), oprávněnými zájmy dle Nařízení můžou být zejména případy ochrany práv a právních nároků 247Gym.
  • Právo na přenositelnost údajů: Subjekt údajů má (za podmínek stanovených v Nařízení) právo získat své osobní údaje od 247Gym a předat je jinému správci osobních údajů.
  • Svá práva plynoucí ze zpracování osobních údajů mohou subjekty osobních údajů kdykoliv uplatnit kontaktováním 247Gym na poštovní adrese uvedené výše či e-mailem na info@247gym.cz.
  • Právo podat stížnost u dozorového úřadu: V jakékoliv záležitosti týkající se zpracování osobních údajů má subjekt, pokud se domnívá, že zpracováním jeho osobních údajů bylo porušeno Nařízení, právo podat stížnost u dozorového úřadu. Tímto je pro subjekty s bydlištěm v České republice Úřad pro ochranu osobních údajů, se sídlem v Praze, Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: +420 234 665 111.

9. Přijetí a kontrola dodržování ustanovení směrnice a její revize

Tato směrnice byla přijata jednatelem 247Gym v rámci jeho pravomocí a pravidla zde uvedená jsou závazná pro všechny zaměstnance 247Gym a další osoby zde uvedené. 

Pověřené osoby zajistí kontrolu plnění povinností vyplývajících z ustanovení této směrnice pro nakládání s osobními údaji v mezích své působnosti. Porušení povinností zaměstnanců vyplývajících z této směrnice se považuje za závažné porušení pracovní kázně a může být důvodem k ukončení pracovního poměru.

Revize směrnice se provádí v případě potřeby, nejméně však jednou ročně. Za revizi a zapracování změn odpovídá jednatel 247Gym.

Tato směrnice je vyhotovena v českém a anglickém jazyce; v případě nesrovnalostí má přednost česká verze. 

Tato směrnice nabývá platnosti a účinnosti dnem 1. 1. 2024.

Kliknutím na „Přijmout všechny cookies“ souhlasíte s ukládáním souborů cookie ve vašem zařízení za účelem zlepšení navigace na webu, analýzy využití webu a pomoci v našich marketingových snahách. Zobrazte si naši Politiku cookies pro více informací.