GDPR, ochrana osobních údajů

Základní informace a poučení o právech a povinnostech v souvislosti se zpracováním osobních údajů

Správce osobních údajů:
ArcelorMittal Distribution Czech Republic, s.r.o., IČO: 25743244 Sídlem Praha 1 - Nové Město, Biskupský dvůr 1146/7, PSČ 11000 Zapsaná v OR vedeném Městským soudem v Praze, Oddíl C, vložka 66195,

e-mailová adresa: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
datová schránka: dn2m3wx
Web: www.amdcz.cz
Tel: +420 773 641 081

Kontaktní osoba ve všech záležitostech týkajících se zpracování osobních údajů: Ing. Ivana Radomská

dále také jen „správce“

ArcelorMittal Distribution Czech Republic, s.r.o., IČO: 25743244, Sídlem Praha 1 - Nové Město, Biskupský dvůr 1146/7, PSČ 11000, Zapsaná v OR vedeném Městským soudem v Praze, Oddíl C, vložka 66195, jakožto správce osobních údajů, které mu jsou poskytnuty, nebo které získal v souvislosti se svojí činností, tímto informuje subjekty údajů o tom, že tyto osobní údaje zpracovává v souladu s příslušnými právními předpisy, především Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – GDPR, dále též jen nařízení GDPR), a zák. o zpracování osobních údajů č. 111/2019 sb., vše ve znění pozdějších předpisů.

Správce je součástí skupiny podniků ArcelorMittal, která je tvořena společností ArcelorMittal S.A. a jejími dceřinými společnostmi, které v souladu s čl. 47 a násl. nařízení GDPR přijala závazná podniková pravidla, která jsou právně závazná pro všechny členy skupiny podniků a jsou veřejně přístupná pod odkazem data-protection-procedure-2016.pdf (windows.net) (dále jen „závazná podniková pravidla“).

Hlavní zásady při zpracování osobních údajů:

Zákonnost, korektnost, transparentnost: Zpracovávat osobní údaje je možné pouze korektním, zákonným a transparentním způsobem, a to pouze na základě právních titulů definovaných v nařízení. Správci je uložena povinnost zajišťovat v co největší míře informovanost subjektů údajů a postupovat při zpracování osobních údajů otevřeně a v souladu s GDPR.

Účelové omezení: Účel zpracování osobních údajů určuje rámec operací, které lze v daném účelu zpracování provádět. Vymezení účelu je klíčovou povinností správce. Je zakázáno zpracovávat osobní údaje za jinými účely, než za kterými byly shromážděny. Z tohoto existují výjimky (např. pokud k tomu dá subjekt údajů souhlas, pokud je nový účel zpracování slučitelný s původním apod.). Zpracování za jinými účely je tzv. dalším zpracováním.

Minimalizace údajů: Zpracovávají a shromažďují se pouze ty osobní údaje, které jsou relevantní a přiměřené vzhledem k účelu zpracování, a pouze v takovém rozsahu, který je nezbytný pro naplnění vymezeného účelu. Pokud by bylo možné dosáhnout účelu i bez zpracování některých osobních údajů, je nutné tyto nadbytečné osobní údaje přestat zpracovávat.

Přesnost: Zpracované údaje musí být přesné a musí odpovídat skutečnosti a v případě potřeby (dle povahy daného zpracování) je správce povinen provádět jejich aktualizaci. Jakmile správce či zpracovatel zjistí, že údaje jsou nepřesné, přijme veškerá rozumná opatření k tomu, aby nepřesné údaje opravil nebo zlikvidoval. Přesnost musí být zajišťována v průběhu zpracování i shromažďování údajů v rozsahu rizika případné újmy subjektu údajů. Správce neodpovídá za nepřesnost údaje, pokud mu subjekt údajů poskytne údaj nepravdivý.

Omezení a forma uložení: Osobní údaje se uchovávají pouze po dobu, která je nezbytná pro účely, pro které jsou osobní údaje zpracovávány. Po skončení této doby se správci ukládá povinnost osobní údaje zlikvidovat (vymazat či anonymizovat), to neplatí, pokud je dána některá z výjimek stanovených v GDPR. Osobní údaje jsou uchovávány ve formě, která neumožňuje přístup neoprávněných osob k těmto údajům.

Integrita a důvěrnost: Osobní údaje se zpracovávají takovým způsobem, který zajistí jejich zabezpečení před neoprávněným či protiprávním zpracováním a dále také zničením, poškozením či ztrátou apod.

ZÁKLADNÍ POJMY:

„osobními údaji“ se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor, nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

„zvláštní kategorií osobních údajů“ osobní údaje vypovídající o etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení nebo členství v odborech, jakož i genetické údaje, biometrické údaje, údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby;

„subjektem údajů“ fyzická osoba, které se osobní údaje týkají (může se jednat o zaměstnance, zákazníka, člena orgánu správce, zástupce dodavatele, odběratele apod.);

„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů; jedná se např. o shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení (toto však není vyčerpávající seznam);

„dalším zpracováním“ zpracování osobních údajů za jiným účelem, než pro který byly původně shromážděny, např. další zpracování volně dostupných údajů (veřejných údajů z katastru nemovitostí, které byly původně shromážděny za účelem vedení evidence katastru nemovitostí apod.);

„správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám, nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;

„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce; za určitých podmínek může být správce i v pozici zpracovatele nebo se může jednat např. o subjekt, který pro správce zajišťuje účetnictví, IT služby apod.;

„skupinou podniků“ skupina zahrnující řídící podnik a jím řízené podniky;

„závaznými podnikovými pravidly“ koncepce ochrany osobních údajů, kterou dodržuje správce nebo zpracovatel usazený na území členského státu při jednorázových nebo souborných předáních osobních údajů správce nebo zpracovateli v jedné nebo více třetích zemích v rámci skupiny podniků nebo uskupení podniků vykonávajících společnou hospodářskou činnost.

KATEGORIE OSOBNÍCH ÚDAJŮ:

1) Obecné: - adresní a identifikační údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, titul, příp. rodné číslo, datum narození, adresa trvalého pobytu, IČ, DIČ) a údaje umožňující kontakt se subjektem údajů (kontaktní údaje – např. kontaktní adresa, číslo telefonu, číslo faxu, e-mailová adresa a jiné obdobné informace) - popisné údaje (např. bankovní spojení) - další údaje nezbytné pro plnění smlouvy - údaje poskytnuté nad rámec příslušných zákonů zpracovávané v rámci uděleného souhlasu ze strany subjektu údajů (zpracování fotografií, použití osobních údajů za účelem personálních řízení aj.)

2) Zvláštní: - Osobní údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby

Zpracování zvláštní kategorie osobních údajů je obecně zakázáno s výjimkami uvedenými v čl. 9 odst. 2 nařízení GDPR.
Správce zpracovává zvláštní kategorii údajů jen v minimální míře, vždy na základě oprávněného zákonného titulu (zejména při pracovním úrazu zaměstnance apod.).

ZDROJE OSOBNÍCH ÚDAJŮ

Správce získává osobní údaje:
- přímo od subjektů údajů (získané při jednání o uzavírání smlouvy, formou osobní, e-mailovou, telefonickou, přes chat, webové stránky, vizitky aj.)
- distributoři, dodavatelé, odběratelé, jiní správci apod. – při jednání o uzavření smlouvy
- veřejně přístupné rejstříky, seznamy a evidence (např. obchodní rejstřík, živnostenský rejstřík, Katastr nemovitostí, veřejný telefonní seznam apod.)

PRÁVNÍ ZÁKLAD PRO ZPRACOVÁNÍ:

Osobní údaje lze zpracovávat jen na základě těchto právních titulů:

1) zpracování je nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů či jejíž zástupcem je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
2) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
3) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektů údajů nebo jiné fyzické osoby;
4) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů;
5) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
6) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů

Osobní údaje správce zpracovává vždy na základě oprávněného právního titulu, zejména na základě plnění smlouvy, plnění zákonné povinnosti, či oprávněného zájmu.

ÚČEL A ROZSAH ZPRACOVÁNÍ

Účelem zpracování je zejména plnění smluvních povinností dle uzavřené smlouvy a plnění zákonných povinností u zaměstnanců.

Účelem zpracování může rovněž být:
-účely obsažené v rámci souhlasu subjektu údajů
- jednání o smluvním vztahu
- plnění smlouvy
- ochrana práv správce, příjemce nebo jiných dotčených osob (např. vymáhání pohledávek správce) - archivnictví vedené na základě zákona
- výběrová řízení na volná pracovní místa
- plnění zákonných povinností ze strany správce
- ochrana životně důležitých zájmů subjektu údajů

Osobní údaje jsou správcem zpracovány v rozsahu, v jakém je příslušný subjekt údajů správci poskytl, a to v souvislosti s uzavřením smluvního či jiného právního vztahu se správcem, nebo které správce shromáždil jinak a zpracovává je v souladu s platnými právními předpisy či k plnění zákonných povinností správce či v jeho oprávněném zájmu.

PŘÍJEMCI osobních údajů mohou být:

Subdodavatelé služeb
Orgány veřejné moci (např. soudy, správní orgány, aj.úřady)
Další podniky v rámci skupiny podniků (nabídky volných pracovních pozic)
Další příjemci dle potřeb a pokynů zákazníka v souvislosti se splněním smlouvy
Zpracovatelé osobních údajů - poskytovatelé údržby informačního systému, externí účetní, poskytovatelé cloudových software, externí dopravci aj.

Správce je povinen zajistit, že úroveň ochrany OÚ zajištěná tímto Dokumentem a závaznými podnikovými pravidly zůstane minimálně stejná i v případě mezinárodního přenosu OÚ. Jde-li o předávání OÚ v rámci skupiny podniků, je o de-li o přenos OÚ v rámci EU, pak správce ani skupina podniků nejsou povinni zajistit přijetí žádných dodatečných opatření nad rámec daný závaznými podnikovými pravidly a tohoto Dokumentu. Pakliže by OÚ měly být předávaný příjemci mimo EU, pak je skupina podniků povinna předem ověřit, že při přenosu OÚ bude zajištěna odpovídající úroveň právní ochrany v třetí zemi (rozhodnutí Evropské komise o odpovídající ochraně, závazná podniková pravidla, standardní smluvní ustanovení, kodex chování apod.). Jakýkoliv člen skupiny podniků přitom není oprávněn přenést jakýkoliv OÚ do třetí země, pokud by v této třetí zemi nebyla zajištěna odpovídající úroveň ochrany práv a svobod subjektu OÚ ve vztahu ke zpracování jejich OÚ.

ZPŮSOBY ZPRACOVÁNÍ A OCHRANA OSOBNÍCH ÚDAJŮ

Zpracování osobních údajů provádí správce.
Zpracování je prováděno v jeho provozovnách, pobočkách a sídle správce jednotlivými pověřenými zaměstnanci správce, příp. zpracovatelem. V případě, že jsou osobní údaje předávány na základě platného titulu jiných osobám – zpracovatelům, má správce s těmito osobami uzavřené písemné zpracovatelské smlouvy v souladu s nařízením GDPR.

Ke zpracování u správce dochází zejména prostřednictvím výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů. Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.

Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.

Správce informuje subjekty údajů, že nedochází k automatickému rozhodování ani profilování při zpracování osobních údajů. Osobní údaje správce rovněž nepředává do třetích zemí.

DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Osobní údaje jsou správcem zpracovány v co nejužším rozsahu, po dobu nezbytně nutnou, a to dobu uvedenou ve spisovém a skartačním řádu správce, či v příslušných právních předpisech, či po dobu nutnou k uplatnění práv a ochraně oprávněného zájmu správce.

Osobní údaje jsou vždy zpracovávány po dobu nezbytně nutnou k zajištění práv a povinností plynoucích jak ze závazkového vztahu, tak i z příslušných právních předpisů.

Správce dbá na aktualizaci údajů a žádá tímto subjekty údajů v případě změny o nahlášení.

Skartace a likvidace se řídí vnitřním předpisem správce a příslušnými právními předpisy.

PRÁVA SUBJEKTŮ ÚDAJŮ

Obecné nařízení GDPR přiznává subjektům údajů řadu práv, týkající se zpracování osobních údajů. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům, což znamená, že subjekt údajů má právo od správce – získat informace o tom, zda zpracovává jeho osobní údaje, a pokud ano, o jaké údaje se jedná a jakým způsobem jsou zpracovávány.

Subjekt údajů má také právo na sdělení:
• účelu zpracování,
• kategorii dotčených osobních údajů,
• příjemců nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
• o plánované době, po kterou budou osobní údaje uloženy,
• veškeré dostupné informace o zdroji osobních údajů,
• pokud nejsou získány od subjektu údajů, skutečnosti, zda dochází k automatizovanému rozhodování, včetně profilování.

Subjekt údajů má zejména právo na to být informován.

Neúplné či nepřesné osobní údaje má subjekt údajů právo kdykoli doplnit nebo opravit.

Dalším právem je právo na výmaz osobních údajů – v případě, že jsou splněny podmínky dle čl. 17 nařízení GDPR, představuje povinnost správce zlikvidovat osobní údaje, které o subjektu zpracovává a subjekt o to požádá.

Subjekt má právo, aby správce v určitých případech stanovených v čl. 18 nařízení GDPR omezil zpracování jeho osobních údajů.
Proti zpracování, které je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, nebo je založeno na oprávněných zájmech správce, třetí strany, má subjekt právo kdykoli vznést námitku. Při vznesení námitky proti zpracování pro účely přímého marketingu, se již dále osobní údaje nesmí pro tyto účely zpracovávat.

Právo na přenositelnost údajů dává subjektu možnost získat osobní údaje, které správci poskytl, v běžném a strojově čitelném formátu. Tyto údaje může následně předat jinému správci, nebo pokud je to technicky možné, žádat, aby si je správci předali mezi sebou (mimo výjimek uvedených v GDPR nařízení).

Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem dotýká (mimo stanovených výjimek v GDPR nařízení).

V případě zpracování na základě souhlasu má subjekt právo kdykoli odvolat souhlas se zpracováním osobních údajů.

Uplatnění práv, žádost, informace:

V případě, že bude subjekt požadovat jakékoli informace týkají se zpracování jeho osobních údajů správcem, může se primárně obrátit se žádostí přímo na správce, a to na:
email
: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.
nebo písemně na adresu: ArcelorMittal Distribution Czech Republic, s.r.o., Ivana Radomská, ul. Míru 3267, 738 01 Frýdek-Místek

Žádost subjektu bude vyřízena bezodkladně, nejpozději do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž bude subjekt případně ze strany správce informován, včetně důvodů prodloužení.

Subjekt údajů se také může obrátit se stížností na Úřad pro ochranu osobních údajů.

Více informací o dalších právech subjektu údajů naleznete také na internetových stránkách Úřadu pro ochranu osobních údajů. (https://www.uoou.cz/6-prava-subjektu-udaj/d-27276), případně se neváhejte obrátit s dotazem na správce.

Toto prohlášení je veřejně přístupné na internetových stránkách správce www.amdcz.cz