Článek I.
Úvodní ustanovení
- Společnost RECRUITMENT FACTORY s.r.o., se sídlem Vavrečkova 5262, 760 01 Zlín, IČ: 17314623, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 129569 (dále též jen „provozovatel“, „poskytovatel“ nebo „dodavatel“) poskytuje služby spojené s aplikací Kariérní kompas pouze na základě smlouvy s uživatelem (nebo jeho zákonným zástupcem) nebo s objednatelem, kterým se rozumí výchovný či kariérní poradce, škola, územní samosprávný celek (obec, kraj) nebo jiná instituce. Tyto Zásady pro zpracování osobních údajů (dále též jen „Zásady“) jsou nedílnou součástí každé smlouvy, jejímž předmětem je poskytování služeb spojených s aplikací Kariérní kompas.
- Tyto Zásady obsahují pravidla pro ochranu a zpracování osobních údajů v souvislosti s poskytováním služeb spojených s aplikací Kariérní kompas.
- Tyto Zásady vycházejí a jsou formulovány tak, aby byly v souladu s aplikovatelnými právními předpisy, zejména s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále též jen „GDPR“) a se zákonem č. 110/2019 Sb., o zpracování osobních údajů.
Článek II.
Rozsah, účel a doba zpracování osobních údajů poskytovatelem
- Na základě právního titulu daného nezbytností pro splnění uzavřené smlouvy poskytovatel jako správce zpracovává následující osobní údaje smluvní strany, se kterou uzavřel smlouvu, jejímž předmětem je poskytování služeb spojených s aplikací Kariérní kompas (uživatel, zákonný zástupce, objednatel):
- Identifikační údaje v rozsahu jméno a příjmení, datum narození, pohlaví
- Kontaktní údaje v rozsahu adresy bydliště, e-mailové adresy a telefonního čísla
- Přihlašovací údaje a identifikační údaje elektronického zařízení užívaného pro přístup do aplikace
- Údaje potřebné pro uskutečnění platby za službu, zejména bankovní spojení.
- Osobní údaje uvedené v předchozím odstavci jsou užívány pro účely plnění uzavřené smlouvy, zejména zřízení a správy uživatelského nebo administrátorského účtu, samotné poskytování služby a placení za službu, a to po dobu trvání uzavřené smlouvy a z důvodu oprávněného zájmu poskytovatele pak po dobu tří let ode dne zániku smlouvy.
- Osobní údaje uvedené v odstavci 1 jsou dále užívány pro splnění právních povinností poskytovatele v oblasti ochrany spotřebitele, účetnictví, daní a archivnictví, a to po dobu stanovenou příslušnými právními předpisy.
- Na základě souhlasu smluvní strany mohou být identifikační a kontaktní údaje užívány k zasílání obchodních sdělení, přičemž užívání pro tento účel bude ukončeno, pokud smluvní strana sdělí poskytovateli e-mailem, že si nepřeje nadále obchodní sdělení od poskytovatele dostávat.
- Na základě právního titulu daného nezbytností pro splnění uzavřené smlouvy poskytovatel jako správce dále zpracovává data zadaná uživatelem do aplikace a výsledky testu profesní orientace generované aplikací na základě testování uživatele. Tyto osobní údaje uvedené v předchozí větě jsou poskytovatelem uchovávány po dobu 2 let a jsou v aplikaci zpřístupněny uživateli a pokud byla smlouva o poskytnutí služby uzavřena mezi poskytovatelem a zákonným zástupcem uživatele, pak rovněž jeho zákonnému zástupci.
Článek III.
Pravidla pro zpracování osobních údajů zpracovatelem
- Pouze na základě výslovného souhlasu uživatele nebo jeho zákonného zástupce, pokud byla smlouva o poskytnutí služby uzavřena mezi poskytovatelem a zákonným zástupcem uživatele, mohou být poskytovatelem jako správcem data zadaná uživatelem do aplikace a výsledky testu profesní orientace generované aplikací na základě testování uživatele, zpřístupněna objednateli, kterým se rozumí výchovný či kariérní poradce, škola, územní samosprávný celek (obec, kraj) nebo jiná instituce. Objednatel v této souvislosti vystupuje v postavení zpracovatele osobních údajů a není oprávněn uchovávat osobní údaje po dobu delší než 2 roky od jejich obdržení od poskytovatele. Uživatel nebo jeho zákonný zástupce jsou oprávněni udělený souhlas kdykoliv odvolat.
- V souvislosti s poskytováním služby a s užíváním aplikace dále mohou být ze strany objednatele, kterým se rozumí výchovný či kariérní poradce, škola, územní samosprávný celek (obec, kraj) nebo jiná instituce, jako správce, předány poskytovateli, který v tomto případě vystupuje jako zpracovatel osobních údajů, předány osobní údaje uživatele nebo zákonného zástupce, a to jejich identifikační údaje a kontaktní údaje pro účely zpřístupnění aplikace uživatelům určeným objednatelem.
- V tomto ustanovení Zásad jsou ve smyslu čl. 28, odst. 3 GDPR upravena práva a povinnosti správce a zpracovatele v souvislosti se zpracováním osobních údajů poskytnutých zpracovateli správcem podle předchozích dvou odstavců.
- Zpracovatel se zavazuje, že bude zpracovávat osobní údaje předané správcem v souladu s příslušnými právními předpisy, zejména GDPR a v souladu s pokyny správce vydanými v souladu s příslušnými právními předpisy a v každém případě tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a zavazuje se dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů. Nebude-li zpracovatel moci z jakýchkoli důvodů zajistit dodržování povinností stanovených právními předpisy, zavazuje se o tom neprodleně informovat správce, který je v takovém případě oprávněn pozastavit předávání údajů. Zpracovatel současně bere na vědomí své povinnosti stanovené právními předpisy, dle kterých je mimo jiné povinen (i) zpracovávat pouze přesné osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu, (ii) nesdružovat osobní údaje, které byly získány k rozdílným účelům či (iii) oprávněn uchovávat osobní údaje předané správcem pouze po dobu, která je nezbytná k účelu jejich zpracování.
- Zpracovatel prohlašuje, že před zpracováním osobních údajů obdržených od správce přijal organizační a technická bezpečnostní opatření v souladu s čl. 32 GDPR, jakož i ta uvedená v těchto Zásadách. Zpracovávání osobních údajů bude prováděno zaměstnanci a oprávněnými zástupci zpracovatele v prostorách zpracovatele automatizovaně prostřednictvím prostředků výpočetní techniky, případně mechanickými prostředky v listinné podobě. Zpracovatel dále prohlašuje, že uvědomil veškeré jeho zaměstnance a další případné zástupce, kteří zpracovávají osobní údaje nebo u zpracovatele přicházejí do styku s osobními údaji obdrženými od správce, o jejich povinnosti zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.
- Zpracovatel nesmí v rámci zpracovávání osobních údajů údaje jakýmkoliv způsobem zpřístupňovat dalším osobám k jakémukoliv zpracování (s výjimkou osob poskytujících zpracovateli IT služby a webhostingové služby), zejména není oprávněn osobní údaje předávat dalším osobám, zpřístupňovat, zveřejňovat, či jakkoliv šířit, pokud k tomu nebude písemně zmocněn správcem. Zpracovatel není oprávněn, ve smyslu čl. 28 GDPR, zapojit do zpracování osobních údajů dalšího zpracovatele (zákaz řetězení zpracovatelů), bez předchozího schválení a písemného souhlasu správce (s výjimkou osob poskytujících zpracovateli IT služby a webhostingové služby). Tato povinnost dále neplatí vůči příslušným státním úřadům či jiným subjektům podle zvláštních právních předpisů, pokud tak stanoví zvláštní právní předpisy.
- Zpracovatel je povinen umožnit, na základě písemné odůvodněné žádosti správce, přezkoumání činností spojených se zpracováním údajů. Kontrola bude provedena správcem přiměřeným způsobem za přítomnosti zástupce zpracovatele.
- Zpracovatel se zavazuje oznámit správci neprodleně veškeré případy získání náhodného nebo neoprávněného přístupu k osobním údajům předaných správcem. Zpracovatel je povinen a zavazuje se k veškeré součinnosti se správcem, o kterou bude požádán v souvislosti se zpracováním osobních údajů nebo která mu přímo vyplývá z GDPR. Zpracovatel je povinen na vyžádání zpřístupnit správci svá písemná technická a organizační bezpečnostní opatření a umožnit mu případnou kontrolu dodržování předložených technických a organizačních bezpečnostních opatření.
- Zpracovatel je povinen přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům obdrženým od správce, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Zpracovatel prohlašuje, že v rámci zpracování osobních údajů obdrženým od správce přijal následující technická a organizační opatření:
- Prostory, ve kterých budou osobní údaje zpracovávány, budou mechanicky zabezpečeny a/nebo elektronicky zabezpečeny alarmem a/nebo napojením na pult centralizované ochrany.
- Přístupová práva do automatizovaného systému zpracování osobních údajů budou mít k dispozici pouze zaměstnanci a zástupci zpracovatele, kteří budou proškoleni na zacházení s osobními údaji a budou s osobními údaji přímo nakládat. Tito zaměstnanci a zástupci budou mít přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby. Zpracovatel zajistí systém antivirové ochrany zařízení na zpracování údajů, užití technických prostředků pro kontrolu přístupu do sítě, kde se nacházejí osobní údaje a dále systém bezpečnostního zálohování údajů.
Článek IV.
Předání osobních údajů poskytovatelem jiným subjektům
- Poskytovatel je oprávněn předávat osobní údaje subjektů údaje pouze v nezbytném rozsahu poskytovatelům webhostingových a dalších služeb zajišťujících chod webových stránek poskytovatele a fungování aplikace, jakož i dalších IT systémů poskytovatele a dále osobám zajišťujícím služby platebního styku.
- Poskytovatel bude při předávání osobních údajů podle předchozího odstavce dbát na zabezpečení osobních údajů a zajistí smluvně u třetích osob odpovídající úroveň ochrany osobních údajů.
Článek V.
Práva subjektů údajů
- Subjekty údajů, tj. uživatelé, jejich zákonní zástupci a objednatelé, mají zejména tato práva:
- Právo na přístup k osobním údajům
- Subjekt údajů má právo získat od správce potvrzení, zda jsou či nejsou osobní údaje subjektu údajů zpracovávány a pokud jsou zpracovávány, má subjekt údajů právo tyto osobní údaje získat (v případě jeho vysloveného zájmu formou kopie jeho zpracovávaných osobních údajů) a zároveň má právo získat následující informace o jeho zpracovávaných osobních údajích:
- za jakým účelem jsou zpracovávány,
- jaké jsou kategorie dotčených osobních údajů,
- kdo jsou příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména pokud by se jednalo o země mimo EU (třetí země) nebo mezinárodní organizace,
- plánovaná doba, po kterou budou osobní údaje uloženy, nebo kritéria pro určení této doby,
- existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
- právo podat stížnost u dozorového úřadu,
- veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů (např. z informačních systémů jiných správců, katastru nemovitostí atd.),
- skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
- Právo na opravu nepřesných osobních údajů
- Právo na výmaz
- Právo na výmaz (právo být zapomenut) znamená povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
- subjekt údajů odvolá souhlas a neexistuje žádný další právní základ pro zpracování,
- subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
- osobní údaje byly zpracovávány protiprávně,
- osobní údaje musí být vymazány ke splnění právní povinnosti.
- Právo na výmaz se neuplatní, pokud je zpracování nezbytné pro splnění právní povinnosti, která se na správce vztahuje, nebo pro splnění úkolu ve veřejném zájmu nebo výkonu veřejné moci a pro účely archivace ve veřejném zájmu.
- Právo na omezení zpracování
- Právo na přenositelnost
Podstatou uplatnění práva na přenositelnost je možnost získat za určitých podmínek osobní údaje, které se týkají subjektu údajů a které subjekt údajů správci poskytl, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud požádá, i právo na to, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správci, je-li to technicky proveditelné.
- Právo vznést námitku
- Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, jehož právním titulem je:
- zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen,
- zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany.
- Subjekty údajů mohou shora uvedená práva uplatňovat písemně na adrese sídla poskytovatele nebo e-mailem na následující e-mailové adrese poskytovatele: info@kariernikompas.cz
- Pokud má subjekt údajů za to, že jsou porušována jeho práva, má možnost podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (https://uoou.gov.cz/).
Článek VI.
Závěrečná ustanovení
- Tyto Zásady mohou být čas od času provozovatelem měněny. O změnách těchto Zásad provozovatel informuje formou zveřejnění změn na svých webových stránkách s uvedením data, od kterého tyto změny nabývají účinnosti.
- Tyto Zásady nabývají platnosti a účinnosti dne 1.9.2024