Informační povinnost správce v oblasti ochrany údajů
1. Zásady zpracování osobních údajů
CreditCall, s.r.o. se sídlem Račianska 66, 831 02 Bratislava, IČO 36 677 922 (dále jen „Správce“) v souladu s nařízením 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“) a zákonem č. 101/2000 Sb. 18/2018 Sb. o ochraně osobních údajů a o změně a doplnění některých zákonů (dále jen „zákon“) vypracoval bezpečnostní opatření, která jsou pravidelně aktualizována. Definují rozsah a způsob bezpečnostních opatření nezbytných k eliminaci a minimalizaci hrozeb a rizik působících na informační systém s cílem zajistit:
- dostupnost, integritu a spolehlivost systémů řízení s využitím nejmodernějších informačních technologií,
- chránit osobní údaje před ztrátou, poškozením, odcizením, změnou, zničením.
a zachovat jejich důvěrnost, - identifikovat potenciální problémy a zdroje narušení a předcházet jim.
Kontakt na pověřence pro ochranu osobních údajů (DPO): dpo@creditcall.sk
2. Zásady ochrany osobních údajů
Vaše osobní údaje budou uloženy bezpečně v souladu s bezpečnostní politikou správce.
a pouze po dobu nezbytnou k naplnění účelu zpracování. Přístup k vašim osobním údajům bude umožněn pouze osobám pověřeným správcem ke zpracování vašich osobních údajů, které je zpracovávají na základě pokynů správce a v souladu s jeho bezpečnostní politikou. Vaše osobní údaje budou zálohovány v souladu se zásadami uchovávání údajů správce. Vaše osobní údaje budou ze záložního úložiště co nejdříve zcela vymazány v souladu s pravidly zálohování. Osobní údaje uložené na záložním úložišti slouží k prevenci bezpečnostních incidentů, zejména narušení dostupnosti dat v důsledku bezpečnostního incidentu.
3. Definice
3.1. „osobním údajem“ jakákoli informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou se rozumí osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, online identifikátor, nebo odkazem na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
3.2. „zpracováním“ operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, sdělování přenosem, šíření nebo jiné zpřístupňování, seřazování nebo kombinování, omezování, výmaz nebo zničení, a to automatizovanými nebo neautomatizovanými prostředky.
3.3. „omezením zpracování“ se rozumí označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
3.4. „profilováním“ se rozumí jakákoli forma automatizovaného zpracování osobních údajů, která spočívá v použití těchto osobních údajů k vyhodnocení určitých osobních aspektů týkajících se fyzické osoby, zejména k analýze nebo předvídání aspektů dotčené fyzické osoby týkajících se pracovního výkonu, finanční situace, zdraví, osobních preferencí, zájmů, spolehlivosti, chování, polohy nebo pohybu;
3.5. „pseudonymizací“ se rozumí zpracování osobních údajů takovým způsobem, že osobní údaje již nelze přiřadit ke konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a podléhají technickým podmínkám.
a organizační opatření, která zajistí, aby osobní údaje nebyly přiřazeny identifikované nebo identifikovatelné fyzické osobě;
3.6. „informačním systémem“ jakýkoli organizovaný soubor osobních údajů, který je přístupný podle stanovených kritérií, ať už je systém centralizovaný, decentralizovaný nebo distribuovaný na funkčním či geografickém základě;
3.7. „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; pokud jsou účely a prostředky takového zpracování stanoveny v právu Unie nebo v jiných právních předpisech.
v právu členského státu, může být hospodářský subjekt nebo konkrétní kritéria pro jeho určení stanovena právem Unie nebo právem členského státu;
3.8. „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje jménem správce;
3.9. „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterému jsou osobní údaje sděleny, ať už se jedná o třetí stranu, či nikoli. Orgány veřejné moci, které mohou získat osobní údaje v souvislosti s konkrétním průzkumem v souladu s právem Unie nebo členského státu, se však nepovažují za příjemce; zpracování těchto údajů těmito orgány veřejné moci se provádí v souladu s platnými pravidly ochrany údajů v závislosti na účelu zpracování;
3.10. „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo subjekt jiný než subjekt údajů, správce, zpracovatel a osoby, které jsou pověřeny zpracováním osobních údajů z přímého pověření správce nebo zpracovatele;
3.11. „souhlasem subjektu údajů“ se rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů, kterým subjekt údajů souhlasí prostřednictvím prohlášení nebo jednoznačného potvrzujícího úkonu se zpracováním osobních údajů, které se ho týkají;
3.12. „porušením zabezpečení osobních údajů“ se rozumí porušení zabezpečení, které má za následek náhodné nebo protiprávní zničení, ztrátu, změnu, neoprávněné zveřejnění nebo neoprávněný přístup k přenášeným, uloženým nebo jinak zpracovávaným osobním údajům;
3.13. „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických charakteristik fyzické osoby, které poskytují jedinečné informace o fyziologii nebo zdraví této fyzické osoby a které vyplývají zejména z analýzy biologického vzorku této fyzické osoby;
3.14. „biometrickými údaji“ se rozumí osobní údaje, které jsou výsledkem zvláštního technického zpracování týkajícího se fyzických, fyziologických nebo behaviorálních charakteristik fyzické osoby a které umožňují nebo potvrzují jedinečnou identifikaci této fyzické osoby, například zobrazení obličeje nebo daktyloskopické údaje;
3.15. „údaji souvisejícími se zdravím“ se rozumí osobní údaje týkající se fyzického nebo duševního zdraví fyzické osoby, včetně údajů souvisejících s poskytováním zdravotních služeb, které vypovídají o jejím zdravotním stavu;
3.16. „zástupcem“ fyzická nebo právnická osoba usazená v Unii, která byla písemně jmenována správcem nebo zpracovatelem podle článku 27 a která zastupuje správce nebo zpracovatele v souvislosti s jeho povinnostmi podle tohoto nařízení;
3.17. „podnikem“ fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně partnerství nebo sdružení, která pravidelně vykonávají hospodářskou činnost;
3.18. „orgánem dozoru“ se rozumí nezávislý orgán veřejné moci zřízený členským státem podle čl;
3.19. „dotčeným dozorovým úřadem“ se rozumí dozorový úřad, kterého se zpracování osobních údajů týká, protože:
(a) správce nebo zpracovatel je usazen na území členského státu tohoto orgánu dozoru;
(b) subjekty údajů s bydlištěm v členském státě tohoto dozorového úřadu jsou nebo mohou být zpracováním podstatně dotčeny; nebo
(c) stížnost byla podána u tohoto dozorového úřadu;
3.20. „přeshraničním zpracováním“ se rozumí:
(a) zpracování osobních údajů, ke kterému dochází v Unii v rámci činností provozoven správce nebo zpracovatele ve více než jednom členském státě, pokud je správce nebo zpracovatel usazen ve více než jednom členském státě, nebo
(b) zpracování osobních údajů, které probíhá v Unii v rámci činností jediné provozovny správce nebo zpracovatele v Unii, ale které významně ovlivňuje nebo může významně ovlivnit subjekty údajů ve více než jednom členském státě;
3.21. „relevantní a odůvodněnou námitkou“ se rozumí námitka proti návrhu rozhodnutí ohledně toho, zda došlo k
porušení tohoto nařízení nebo zda je zamýšlené opatření ve vztahu ke správci nebo zpracovateli v souladu s tímto nařízením, což musí jasně prokázat závažnost rizik, která návrh rozhodnutí představuje, pokud jde o základní práva a svobody subjektů údajů a případně volný pohyb osobních údajů v Unii;
3.22. „službou informační společnosti“ se rozumí služba definovaná v čl. 1 odst. 1 písm. a) bodě i) nařízení (ES) č. …/…. (b) směrnice Evropského parlamentu a Rady (EU) 2015/1535;
3.23. „mezinárodní organizací“ se rozumí organizace a jí podřízené subjekty, které se řídí mezinárodním právem veřejným, nebo jakýkoli jiný subjekt zřízený dohodou mezi dvěma nebo více zeměmi nebo na jejím základě.
4. Účely zpracování osobních údajů
4.1. Poskytování služeb call centra prostřednictvím informačního systému
Zpracováváme osobní údaje fyzických osob ve smyslu čl.6 odst. 1 lit. (a) a c) nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Rozsah osobních údajů, které můžeme zpracovávat v rámci:
- Článek 6, odst. 1 lit. c) nařízení 2016/679 GDPR: Název. Jméno, příjmení, adresa, datum narození, rodné číslo, číslo účtu, telefon, e-mail. Osobní údaje jsou uchovávány po dobu 5 let od ukončení smlouvy.
- Článek 6, odst. 1 lit. a) nařízení 2016/679 GDPR: Název. Jméno, příjmení, adresa, telefon, e-mail. Osobní údaje nejsou předávány do třetí země. Osobní údaje nebudou použity k automatizovanému individuálnímu rozhodování, včetně profilování. Osobní údaje se uchovávají po dobu 5 let od data udělení souhlasu. Svůj souhlas se zpracováním osobních údajů máte právo kdykoli před uplynutím výše uvedené doby odvolat zasláním žádosti na adresu správce údajů. Správce prohlašuje, že v případě písemné žádosti subjektu údajů o ukončení zpracování osobních údajů před uplynutím výše uvedené lhůty budou osobní údaje vymazány do 30 dnů od obdržení odvolání souhlasu.
4.2. Poskytování pojišťovacích služeb jako samostatný finanční agent
Osobní údaje, které zpracováváme o našich zákaznících, jsou zpracovávány na základě zákona č. 186/2009 Sb. o finančním zprostředkování a finančním poradenství, ve znění pozdějších předpisů, ve smyslu § 6 odst. 1 lit. c) Nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Rozsah osobních údajů, které můžeme zpracovávat: Název. Jméno, příjmení, adresa, rodné číslo, datum narození, podpis, jméno a příjmení manžela/manželky, jméno a příjmení dítěte, zdravotní údaje, telefon, e-mail. Následně jsou uloženy v souladu se zákonem č. 395/2002 Sb. o archivech a registrech.
4.3. Kontrola zákazníků
Osobní údaje, které zpracováváme o našich zákaznících, jsou zpracovávány na základě zákona č. 297/2008 Sb. o ochraně proti praní peněz a financování terorismu a o změně některých zákonů ve smyslu čl. 6 odst. 1 Smlouvy o fungování Evropské unie, ve znění čl. 6 odst. 1 Smlouvy o fungování Evropské unie. 1 lit. c) Nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Rozsah zpracovávaných osobních údajů: Název. Jméno, příjmení, adresa, rodné číslo, číslo účtu, telefon, e-mail. Následně jsou uloženy v souladu se zákonem č. 395/2002 Sb. o archivech a registrech.
4.4. Marketing
Zpracování osobních údajů pro marketingové účely se provádí na základě „Souhlasu“ se zpracováním osobních údajů ve smyslu čl. 6 odst. 1 písm. a) zákona. a) nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, které nám subjekt údajů poskytl. Osobní údaje nejsou předávány do třetí země. Osobní údaje nebudou použity k automatizovanému individuálnímu rozhodování, včetně profilování. Osobní údaje se uchovávají po dobu 5 let od data udělení souhlasu. Svůj souhlas se zpracováním osobních údajů máte právo kdykoli před uplynutím výše uvedené doby odvolat zasláním žádosti na adresu správce údajů. Správce prohlašuje, že v případě písemné žádosti subjektu údajů o ukončení zpracování osobních údajů před uplynutím výše uvedené lhůty budou osobní údaje vymazány do 30 dnů od obdržení odvolání souhlasu.
4.5. Zpracování účetních dokladů
Zpracování je nezbytné pro splnění právní povinnosti správce ve smyslu čl.6 odst. 1 lit. c) Nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Rozsah zpracovávaných osobních údajů: titul, jméno, příjmení, adresa, podpis. Následně jsou uloženy v souladu se zákonem č. 395/2002 Sb. o archivech a registrech.
4.6. Stížnosti
V případě stížností jsou osobní údaje zpracovávány v souladu s čl.6 odst. 1 lit. c) Nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Rozsah zpracovávaných osobních údajů: titul, jméno, příjmení, adresa, telefon, e-mail. Následně jsou uloženy v souladu se zákonem č. 395/2002 Sb. o archivech a registrech.
4.7. Vymáhání pohledávek
V případě vymáhání pohledávek jsou osobní údaje zpracovávány ve smyslu čl. 6 odst. 1 písm. a) směrnice 95/46/ES. 1 lit. c) Nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Rozsah zpracovávaných osobních údajů: titul, jméno, příjmení, adresa, telefon, e-mail. Následně jsou uloženy v souladu se zákonem č. 395/2002 Sb. o archivech a registrech.
4.8. Exekuce
Zpracování osobních údajů je nezbytné pro splnění právní povinnosti správce ve smyslu čl.6 odst. 1 lit. c) Nařízení 2016/679 GDPR o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Rozsah zpracovávaných osobních údajů: titul, jméno, příjmení, rodné číslo, adresa,. Následně jsou uloženy v souladu se zákonem č. 395/2002 Sb. o archivech a registrech.
4.9. Evidence uchazečů o zaměstnání
Zpracování osobních údajů uchazečů o zaměstnání ve společnosti probíhá na základě „Souhlasu“ se zpracováním osobních údajů ve smyslu čl. 6 odst. 1 písm. a) zákona. (a) předpisy, které má uchazeč předložit.
Provozovatel bude kontaktovat pouze úspěšné uchazeče.
Osobní údaje nejsou předávány do třetí země.
Osobní údaje nebudou použity k automatizovanému individuálnímu rozhodování, včetně profilování.
Osobní údaje se uchovávají po dobu 12 měsíců od data udělení souhlasu. Svůj souhlas se zpracováním osobních údajů máte právo kdykoli před uplynutím výše uvedené doby odvolat zasláním žádosti na adresu správce údajů. Správce prohlašuje, že v případě písemné žádosti subjektu údajů o ukončení zpracování osobních údajů před uplynutím výše uvedené lhůty budou osobní údaje vymazány do 30 dnů od obdržení odvolání souhlasu.
5. Práva subjektu údajů
5.1. Právo odvolat souhlas – pokud zpracováváme vaše osobní údaje na základě vašeho souhlasu, máte právo tento souhlas kdykoli odvolat. Svůj souhlas můžete odvolat elektronicky na adrese odpovědné osoby, písemně, oznámením o odvolání souhlasu nebo osobně v našem sídle. Odvolání souhlasu nemá vliv na zákonnost zpracování osobních údajů, které jsme o vás na základě tohoto souhlasu zpracovávali.
5.2. Právo na přístup – máte právo na poskytnutí kopie osobních údajů, které o vás uchováváme.
k dispozici, stejně jako informace o tom, jak vaše osobní údaje používáme. Ve většině případů vám budou vaše osobní údaje poskytnuty v písemné papírové podobě, pokud nepožádáte o jiný způsob poskytnutí. Pokud jste o tyto informace požádali elektronickou cestou, budou vám poskytnuty elektronicky, pokud to bude technicky možné.
5.3. Právo na opravu – podnikáme přiměřené kroky, abychom zajistili přesnost, úplnost a správnost
a aktuálnost informací, které o vás máme. Pokud se domníváte, že námi uchovávané informace jsou nepřesné, neúplné nebo zastaralé, neváhejte nás požádat o jejich změnu, aktualizaci nebo doplnění.
5.4. Právo na výmaz (být zapomenut) – máte právo nás požádat o vymazání vašich osobních údajů, například pokud osobní údaje, které jsme o vás shromáždili, již nejsou nezbytné pro splnění původního účelu zpracování. Vaše právo však musí být posouzeno s ohledem na všechny relevantní okolnosti. Můžeme mít například určité právní a regulační povinnosti, což znamená, že nebudeme moci vyhovět vaší žádosti.
5.5. Právo na omezení zpracování – za určitých okolností máte právo nás požádat, abychom vaše osobní údaje přestali používat. Například pokud se domníváte, že osobní údaje, které o vás uchováváme, mohou být nepřesné, nebo pokud se domníváte, že vaše osobní údaje již nepotřebujeme používat.
5.6. Právo na přenositelnost údajů – za určitých okolností máte právo nás požádat o předání osobních údajů, které jste nám poskytli, jiné třetí straně podle vašeho výběru. Právo na přenositelnost se však vztahuje pouze na osobní údaje, které jsme od vás získali na základě souhlasu nebo na základě smlouvy, jejíž jste smluvní stranou.
5.7. Právo vznést námitku – máte právo vznést námitku proti zpracování na základě našich oprávněných zájmů. Pokud nemáme závažný oprávněný důvod pro zpracování a vy vznesete námitku, nebudeme vaše osobní údaje dále zpracovávat.
Pokud se domníváte, že osobní údaje, které o vás máme, jsou nesprávné nebo neúplné, kontaktujte nás.
Pokud chcete vznést námitku proti způsobu, jakým zpracováváme vaše osobní údaje, obraťte se na odpovědnou osobu e-mailem nebo písemně na adresu správce. Naše pověřená osoba vaši námitku přezkoumá a bude s vámi spolupracovat na vyřešení této záležitosti.
Pokud se domníváte, že jsou vaše osobní údaje zpracovávány nespravedlivě nebo nezákonně, můžete podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů Slovenské republiky, Hraničná 12, 820 07 Bratislava 27; tel. Číslo: +421 /2/ 3231 3214; mail: statny.dozor@pdp.gov.sk, https://dataprotection.gov.sk.