Politika ochrany osobních údajů skupiny CPI

 

Shrnutí

Tato Politika ochrany osobních údajů skupiny CPI („Politika ochrany osobních údajů“) stanovuje pravidla ochrany osobních údajů ve skupině CPI PROPERTY GROUP a jejích spřízněných společnostech („společnosti CPIPG“) včetně souvisejících povinností společností CPIPG. Politika ochrany osobních údajů odráží pravidla ochrany osobních údajů vyžadované GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů. Společnosti CPIPG berou ochranu osobních údajů vážně a s osobními údaji při výkonu své podnikatelské činnosti nakládají s dostatečnou opatrností a odpovědností. Porušení zabezpečení osobních údajů může mít vážné právní a ekonomické důsledky pro společnosti CPIPG, jejich zaměstnance a subjekty údajů, a rovněž může poškodit dobrou pověst společností CPIPG. Implementací Politiky ochrany osobních údajů napříč společnostmi CPIPG budou minimalizována rizika porušení zabezpečení osobních údajů i rizika z něj vyplývající.

Rozsah

Tato Politika ochrany osobních údajů je závazná pro společnosti CPIPG a jejich zaměstnance. Týká se veškerého zpracování osobních údajů, na které se vztahuje GDPR a národní legislativa členských států.

 

1. Postupy a kompetence

Následující odstavce popisují postupy, které společnosti CPIPG dodržují při zpracování osobních údajů. Dále obsahují stručný popis rozdělení kompetencí a klíčových rolí ve společnostech CPIPG v oblasti zpracování osobních údajů.

1.1 Všeobecné povinnosti

Společnosti CPIPG zavedly a budou nadále zavádět vhodná technická a organizační opatření, která zajistí ochranu osobních údajů před jejich zneužitím, ztrátou či poškozením, a budou s údaji zacházet v souladu s GDPR a národní legislativou členských států v oblasti ochrany osobních údajů. Ochrana osobních údajů se vztahuje na zpracování osobních údajů partnerů a zaměstnanců společností CPIPG, jejich rodinných příslušníků, uchazečů o zaměstnání, zákazníků a dalších fyzických osob, jejichž osobní údaje jsou zpracovávány společnostmi CPIPG.

1.2 Základní zásady ochrany osobních údajů

Společnosti CPIPG při zpracování osobních údajů respektují základní zásady stanovené v GDPR. Příslušné základní zásady jsou uvedeny níže:

  • zásada zákonnosti – před zpracováním osobních údajů musí být stanoven alespoň jeden právní základ zpracování,
  • zásada účelového omezení – zpracování osobních údajů pouze za předem stanoveným účelem,
  • zásada minimalizace údajů – zpracování pouze osobních údajů nutných, relevantních a přiměřených danému legitimnímu účelu,
  • zásada korektnosti a transparentnosti – otevřenost a transparentnost zpracování vůči subjektům údajů,
  • zásada integrity a důvěrnosti, aplikace principu přístupu pouze k nezbytným informacím – implementace nutných organizačních a technických opatření za účelem zajištění omezení přístupu k osobním údajům, aby nemohlo docházet k jejich neoprávněnému nebo protiprávnímu zpracování,
  • zásada přesnosti – zpracování přesných a aktuálních osobních údajů,
  • režim kontrolovaného řízení změn – změna současného systému zpracování na nový způsob podléhá zvážení pověřencem pro ochranu osobních údajů („pověřenec“) nebo správcem, a případné následné přípravě posouzení vlivu na ochranu osobních údajů, a
  • definice rolí osob zúčastněných na ochraně osobních údajů ve společnostech CPIPG.

 

1.3 Právní základy zpracování a účely zpracování osobních údajů

Zpracování osobních údajů je vždy založeno na právních základech zpracování, mezi které patří souhlas se zpracováním osobních údajů, splnění právní povinnosti, splnění smlouvy, oprávněný zájem, veřejný zájem nebo ochrana zájmů subjektu údajů.

1.4 Zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se trestních věcí

Zvláštní kategorie osobních údajů a osobní údaje týkající se trestních věcí jsou obzvláště citlivé, a tudíž se na ně vztahuje vysoký stupeň ochrany. Jakékoli zpracování zvláštních kategorií osobních údajů je konzultováno s pověřencem.

1.5 Předávání osobních údajů

Společnosti CPIPG mohou osobní data zpřístupnit třetím stranám (včetně předávání osobních údajů v rámci skupiny) pouze za určitých podmínek. Osobní údaje mohou být zpřístupněny třetí straně v postavení zpracovatele na základě smlouvy o zpracování osobních údajů. Osobní údaje mohou být rovněž zpřístupněny jiné třetí straně v postavení správce nebo společného správce na základě příslušných smluvních ujednání.


V případě požadavků na opravu nebo výmaz osobních údajů nebo omezení zpracování, informují společnosti CPIPG za určitých podmínek příslušné třetí strany, jimž byly osobní údaje zpřístupněny, s výjimkou situací, kdy takové informování není proveditelné nebo vyžaduje nepřiměřené úsilí. Společnosti CPIPG informují subjekt údajů o třetích stranách, jimž byly dotčené osobní údaje zpřístupněny, pouze na žádost subjektu údajů.


Za určitých podmínek mohou společnosti CPIPG osobní údaje předávat také do třetích zemí mimo EHP nebo Evropskou unii nebo mezinárodním organizacím. Při posuzování zákonných podmínek, za nichž je možné předání osobních údajů do třetích zemí nebo mezinárodním organizacím, se společnosti CPIPG radí s pověřencem.
 

1.6 Práva subjektů údajů

Společnosti CPIPG podnikají všechny kroky nutné k tomu, aby subjekty údajů mohly vykonávat svá práva stanovená GDPR. Ve vztahu ke zpracování osobních údajů patří mezi práva subjektů údajů právo na přístup k osobním údajům, právo na opravu, omezení zpracování, přenositelnost nebo výmaz osobních údajů, právo vznést námitku proti zpracování osobních údajů a právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování osobních údajů.


Subjekty údajů mohou uplatnění svých práv požadovat prostřednictvím písemné nebo ústní žádosti. Za účelem zajištění dostatečné ochrany osobních údajů zpracovávaných společnostmi CPIPG a s cílem předcházet zneužití osobních údajů přijaly společnosti CPIPG níže uvedená pravidla pro ověření totožnosti subjektů údajů.
 

Písemné žádosti
Pro písemnou žádost o uplatnění určitého práva subjekt údajů vyplní formulář žádosti, který tvoří přílohu této Politiky ochrany osobních údajů a který je dostupný u pověřence. Podpis subjektu údajů na formuláři musí být úředně ověřený. V závislosti na místním právu může být podpis ověřen např. v notářské kanceláři, na poště, v advokátní kanceláři, na konzulátu či na obecním / krajském úřadě. Podpis musí být úředně ověřen v zemi, ve které je žádost dané společnosti CPIPG podána osobně na adrese sídla příslušné společnosti CPIPG, nebo ze které byla žádost odeslána poštou prostřednictvím poskytovatele poštovních služeb nebo ověřenými elektronickými prostředky (např. datové schránky v České republice). Zejména v případě, že subjekt údajů odešle žádost poštou prostřednictvím poskytovatele poštovních služeb ze zemí mimo Evropský hospodářský prostor nebo Evropskou Unii, může být příslušnou společností CPIPG kontaktován za účelem dalšího ověření jeho totožnosti.

Ústní žádosti
Uplatnění určitého práva mohou subjekty údajů požadovat také osobně na adrese sídla příslušné společnosti CPIPG. Vaše totožnost bude ověřena pověřeným zaměstnancem (např. na recepci) na základě předložení jednoho z následujících dokumentů: občanského průkazu, cestovního pasu nebo dalšího dokumentu s fotografií dostatečně způsobilou k tomu, aby umožnila Vaši jasnou identifikaci.
Výkonem práv subjektů údajů nesmí být dotčena práva třetích osob. V případě, že žádosti subjektů údajů budou zjevně neopodstatněné nebo nepřiměřené, zejména z důvodu jejich opakující se povahy, mohou společnosti CPIPG pro zodpovězení žádosti požadovat přiměřený poplatek nepřekračující nezbytné náklady na poskytnutí informací uvedených výše nebo na zajištění uplatnění práv subjektů údajů.
Společnosti CPIPG zajišťují dostatečnou komunikaci a spolupráci tak, aby byly všechny přijaté žádosti zpracovány v přiměřené době. Společnosti CPIPG úzce spolupracují na tom, aby danému subjektu údajů poskytly odpověď v předepsané lhůtě.
 

1.7 Role a povinnosti

Společnosti CPIPG a jejich statutární orgány jsou odpovědné za zajištění souladu s GDPR a příslušnou národní legislativou členských států v oblasti ochrany osobních údajů.

1.8 Pověřenec pro ochranu osobních údajů

Společnosti CPIPG uvedené v příloze jmenovaly pověřence s funkční a organizační odpovědností za soulad s právními předpisy a interními předpisy společností CPIPG v oblasti ochrany osobních údajů.
Pověřence je možné kontaktovat e-mailem dpo@cpipg.com nebo poštou na adrese Vladislavova 1390/17, 110 00 Praha 1, Česká republika.

1.9 Povinnosti vlastníků údajů a všech zaměstnanců

Všichni vlastníci údajů v rámci společností CPIPG a všichni zaměstnanci mají povinnost osobní údaje zpracovávat v souladu s interními předpisy společností CPIPG, GDPR a další národní legislativou členských států v oblasti ochrany osobních údajů.

1.10 Ohlašování případů porušení zabezpečení osobních údajů

Společnosti CPIPG oznamují domnělé porušení zabezpečení osobních údajů příslušnému pověřenci okamžitě, v každém případě nejpozději do 24 hodin. Pokud porušení zabezpečení osobních údajů splňuje požadavky na ohlášení příslušnému dozorovému úřadu a/nebo subjektům údajů, pověřenec tuto povinnost splní do 72 hodin od porušení zabezpečení osobních údajů.

1.11 Výmaz osobních údajů

Společnosti CPIPG zpracovávají osobní údaje pouze po nezbytnou dobu. Za následujících okolností se osobní údaje vymazávají nebo anonymizují:

  • zánik účelu zpracování osobních údajů, aniž by pro dané osobní údaje existoval jiný účel zpracování,
  • osobní údaje již nejsou potřeba pro účely, pro které byly zpracovávány,
  • odvolání souhlasu subjektu údajů, aniž by pro dané osobní údaje existoval jiný právní základ zpracování,
  • námitka subjektu údajů proti zpracování, aniž by existovaly jiné převažující oprávněné důvody,
  • protiprávní zpracování osobních údajů.
     

Společnosti CPIPG při výmazu a anonymizaci kladou důraz na dodržování nezbytných bezpečnostních opatření.

1.12 Zveřejňování osobních údajů ve veřejných médiích a na intranetu

Společnosti CPIPG mohou osobní údaje zveřejnit na intranetu, internetu nebo v jakémkoli jiném médiu pouze se souhlasem dotčeného subjektu údajů, pokud v konkrétním případě neexistuje jiný právní základ zpracování.

 

2. Základní termíny/zkratky

Subjekt údajů Identifikovaná nebo identifikovatelná fyzická osoba, jejíž osobní údaje se zpracovávají; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Správce údajů Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Osobní údaje Veškeré informace o identifikované nebo identifikovatelné fyzické osobě.
Zvláštní kategorie osobních údajů  Osobní údaje vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Národní legislativa členských států v oblasti ochrany osobních údajů Legislativa v oblasti ochrany osobních údajů přijatá členskými státy v souladu s GDPR.
GDPR Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Zpracování osobních údajů  Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Pověřenec Pověřenec pro ochranu osobních údajů (DPO).
Anonymizované informace  Informace, které se netýkají identifikované či identifikovatelné fyzické osoby, včetně osobních údajů anonymizovaných tak, že subjekt údajů není nebo již přestal být identifikovatelným.
Třetí strana Jakákoli právnická nebo fyzická osoba, která není zaměstnancem společnosti, s výjimkou subjektů údajů.
Souhlas  Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.