Zásady ochrany osobních údajů využívaných v software programovaném firmou ELBAS

Tento dokument vydává firma ELBAS, s.r.o., se sídlem Vysokomýtská 1202, 56501 Choceň, IČO: 25942484 (dále také „ELBAS“) jako informaci o zásadách využívání osobních údajů pro potřeby software programovaného firmou ELBAS.

Tímto dokumentem plní ELBAS svou informační povinnost vůči Subjektům osobních údajů (dále jen „subjekt údajů“) vyplývající z nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), v platném znění (dále jen „GDPR“);

Účel zpracování osobních údajů

ELBAS plně respektuje evropský právní rámec ochrany osobních údajů; hlavními zásadami, které v této souvislosti uplatňuje, jsou:

• Omezit shromažďování a používání osobních dat na nezbytné minimum
• Veškerá osobní data důsledně zabezpečovat a chránit proti zneužití.

ELBAS zpracovává osobní údaje subjektů údajů výhradně pro potřeby fungování software programovaného firmou ELBAS (dále jen „Software“), konkrétně pro:

• Přihlašování subjektů údajů do Software;

  veškerý Software využívá společný systém pro jednotné přihlašování uživatelů (dále jen „UserAdministration“).

• Registraci provedení úkonů, které:

  jsou sledované v rámci procesů Systému řízení kvality; mohou ovlivnit funkčnost a vlastnosti produktu (změna komponent, software, parametrů).

• Optimalizaci a zlepšování funkčnosti webových aplikací využíváním tzv. ‚cookies‘

Hlavními aplikacemi Software jsou:

• Databázové informační systémy s webovými klienty SYSEL, WayStory a SOR EBUS • Desktopové aplikace CAN Suite, CAN Tools, WireBook, ZrDataset, VecuSet, GwSet, ...

Některé z uvedených aplikací Software osobní údaje anonymizují pro statistické a analytické účely, výsledkem jsou informace, které nejsou osobními údaji.

Právní základ pro zpracování osobních údajů

Právním důvodem zpracování osobních údajů subjektu údajů je plnění smlouvy o poskytování Software, tj. jedná se zpracování ‚pro účely oprávněného zájmu‘. Pro subjekt údajů je proto poskytnutí potřebných osobních údajů povinné a k provádění zpracování není nutné mít jeho souhlas – viz GDPR čl. 6 až 8.

Zpracovávané osobní údaje

Za osobní údaje se podle GDPR považují veškeré informace o fyzické osobě (subjektu údajů), podle kterých lze subjekt údajů přímo či nepřímo identifikovat.

ELBAS získává osobní údaje potřebné pro fungování Software dvěma cestami:

• Přímo od subjektů údajů a to během řešení smlouvy (obvykle objednávky), což zahrnuje i registraci pro poskytnutí licence k Software
• Zprostředkovaně od firem, které využívají Software, a proto registrují svoje zaměstnance pro poskytnutí licence k Software

V obou případech se pro daný subjekt registrují v UserAdministration tyto údaje:

• Uživatelské jméno - údaj nutný pro vytvoření uživatelského účtu
• Jméno a příjmení - údaj nutný pro přiřazení uživatelského účtu fyzické osobě
• Kryptografický otisk hesla - údaj nutný pro zabezpečení uživatelského účtu
• Kontaktní e-mail - údaj nutný v případě požadavku na „vynulování“ hesla, případně pro zasílání hlášení ze Software
• Příslušnost k firmě - údaj nutný pro určení přístupových práv
• Seznam zpřístupněných softwarových aplikací - údaj nutný pro určení přístupových práv
• Telefonní číslo pro zasílání SMS - údaj nepovinný, pro zasílání hlášení ze Software
• Datum a čas posledního přihlášení - automaticky generovaný údaj, případně používaný pro ladění problémů s přihlašováním

Způsob zpracování osobních údajů a jejich zabezpečení

Zpracování probíhá výhradně v elektronické formě v zabezpečených počítačových systémech a aplikacích.

Osobní údaje jsou umístěny na serverech a datových úložištích, jež jsou ve vlastnictví ELBAS nebo pod jeho kontrolou. Hardware serverů a datových úložišť je udržován a spravován s veškerou nezbytnou odborností, zařízení mají zajištěnou adekvátní úroveň technického zabezpečení.

Osobní údaje mohou být předávány mezi jednotlivými technologickými a výpočetními zařízeními (včetně serverů a datových úložišť) a výhradně formou šifrované komunikace zabezpečené platným certifikátem. Servery jsou chráněné firewallem.

Primárně jsou osobní data subjektů údajů uložena v databázi UserAdministration. Ta je součástí zabezpečené serverové aplikace, která výhradně předává potřebné informace jednotlivým Software v roli klientů; přímý přístup Software k informacím v databázi není možný.

Doba zpracování osobních údajů

Po registraci subjektu údajů v UserAdministration je aktivován příslušný uživatelský účet; v návaznosti na aktivitu tohoto účtu pak mohou vznikat záznamy obsahující informace, uvedené výše v kapitole Účel zpracování osobních údajů.

V případě ukončení smlouvy, na jejímž základě byla registrace subjektu údajů provedena, nebo na žádost firmy, která o registraci daného subjektu požádala, ELBAS neprodleně zablokuje příslušný přístupový účet; tím je blokována i možnost vzniku záznamů o aktivitě tohoto účtu. Registrační údaje zůstanou v databázi uloženy ještě po dobu 2 let pro případy řešení reklamací nebo stížností na provedené úkony. Poté budou pořízené záznamy anonymizovány a registrační údaje nevratně smazány.

Příjemci osobních údajů a jejich případné předání jiné straně

Osobní data registrovaná v UserAdministration mohou být sdílena výhradně s firmou, která požádala o jejich registraci a osobní data se týkala zaměstnance této firmy.

V žádném případě nemohou a nesmějí být tato data předána jiné straně.

Práva subjektu v souvislosti se zpracováním jeho osobních údajů

Subjekt údajů může vůči ELBASu uplatňovat níže uvedená práva v rozsahu a za podmínek uvedených v GDPR kap. 3:

• Osobně či písemně: ELBAS, s.r.o., Vysokomýtská 1202, 56501 Choceň
• E-mailem: gdpr@elbas.cz

Práva subjektu údajů jsou:

• Právo na přístup k osobním údajům

  Při uplatnění obdrží subjekt údajů individualizovaný přehled osobních údajů, které jsou registrovány v UserAdministration; formát přehledu bude upřesněn při použití.

• Právo na opravu

  Na základě upozornění subjektu údajů, obsahujícím opravené osobní údaje, ELBAS zajistí neprodlenou opravu v registraci.

• Právo na výmaz

  Vzhledem k tomu, že osobní údaje pro potřeby Software jsou zpracovávány výhradně pro účely oprávněného zájmu, není možné osobní údaje vymazat jen na základě žádosti; nejprve je nutné ukončit příslušnou smlouvu, následně vstoupí v platnost ustanovení kapitoly Doba zpracování osobních údajů.

• Právo na omezení zpracování

  Na základě požadavku subjektu údajů na omezení zpracování ELBAS neprodleně zablokuje příslušný přístupový účet a to až do doby, kdy tento požadavek bude zrušen.

• Právo na přenositelnost údajů

  Na základě požadavku subjektu údajů mu poskytne ELBAS registrované osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu.

• Právo podat stížnost u dozorového úřadu

  Subjekt údajů může podat stížnost Úřadu pro ochranu osobních údajů („ÚOOÚ“), který sídlí na adrese Pplk. Sochora 27, 170 00 Praha 7, tel.: 234 665 111 (ústředna).

ÚOOÚ provozuje internetové stránky www.uoou.cz uvádějící bližší informace pro takové případy.

O výsledku a opatřeních přijatých na základě žádosti o uplatnění práv ELBAS informuje subjekt údajů bez zbytečného odkladu, v každém případě do jednoho měsíce od obdržení žádosti.

V určitých případech stanovených GDPR není ELBAS povinen zcela nebo zčásti žádosti vyhovět. Bude tomu tak zejména tehdy, bude-li žádost zjevně nedůvodná nebo nepřiměřená zejména z důvodu opakování. V takových případech můžeme uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo s učiněním požadovaných úkonů, případně odmítnout žádosti vyhovět.

Informace o tom, že subjekt údajů uplatnil svoje práva a jak byla žádost řešena je po dobu 4 let uložena za účelem dokladování této skutečnosti, pro statistické účely a ochrany práv ELBASu.