INFORMACE KE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ÚČETNÍ FIRMOU
Podané v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohyby těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a dalšími závaznými právními předpisy mezi:
naše společnost jako zpracovatel:
Obchodní firma: AVE ECONOMIE s.r.o.
Sídlem: Šumavská 1677/12, 360 01 Karlovy Vary
IČO: 26364212
DIČ: CZ26364212
Zapsaná v obchodní rejstříku: vedeného Krajským soudem v Plzni, oddíl C, vložka 15589
Zastoupená: Bohuslavem Jiruškou, jednatelem
(dále jen „Zpracovatel“) vás tímto informuje
1.Zpracovatel osobních údajů informuje své klienty projevující zájem o provádění účetních a dalších služeb, na jejímž základě Zpracovatel jako externí účetní firma provádí pro Správce jako svého klienta sjednané účetní či jiné např. zprostředkovatelské služby (dále jen „Hlavní smlouva“). Při plnění předmětu Hlavní smlouvy dochází ke zpracování osobních údajů subjektů údajů Zpracovatelem pro Správce.
2. Dne 25.května 2018 nabylo účinnosti Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ ES (obecné nařízení o ochraně osobních údajů) (dále jen „Obecné nařízení“). Dle č. 28 Obecného nařízení je Správce povinen, pokud do zpracování zapojí Zpracovatele, se Zpracovatelem uzavřít písemnou smlouvu o zpracování osobních údajů s obsahem daným dle Obecného nařízení.
3. Smluvní strany jsou si vědomy a konstatují, že při výkonu činnosti Zpracovatele dle Hlavní smlouvy dochází ke zpracování osobních údajů (dále jen „Osobní údaje“) fyzických osob Zpracovatelem pro Správce (dále jen „Subjekty údajů“). Smluvní strany konstatují, že při zpracování Osobních údajů dle Hlavní smlouvy vystupuje Správce jako Správce Osobních údajů a Zpracovatel jako zpracovatel Osobních údajů dle pravidel Obecného nařízení.
4. Vzhledem k výše uvedenému uzavírají Smluvní strany tuto smlouvu o zpracování osobních údajů (dále jen „Smlouva“) dle pravidel daných v Obecném nařízení. Tato Smlouva plně nahrazuje mezi Smluvními stranami dosud platné ujednání či smlouvu o zpracování osobních údajů týkající se zpracování Osobních údajů dle Hlavní smlouvy. V případě rozporu mezi ujednáními o ochraně a zpracování osobních údajů v Hlavní smlouvě a v této Smlouvě mají přednost ujednání daná v této Smlouvě.
5. Pokud by Zpracovatel porušil tuto Smlouvu tím, že určí účely a prostředky zpracování, považuje se ve vztahu k takovému zpracování za Správce.
6. Smluvní strany se dohodly, že odměna za zpracování Osobních údajů dle Smlouvy je plně zahrnuta v odměně za plnění poskytovaná dle Hlavní smlouvy. Nárok na odměnu či hrazení nákladů za zpracování dle Smlouvy Zpracovateli v žádném případě nevzniká.
Čl. 1
1. Tato smlouva upravuje vztahy mez Správcem a Zpracovatelem při zpracování Osobních údajů dle Hlavní smlouvy. Ve Smlouvě je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ Osobních údajů a kategorie Subjektů údajů, povinnosti a práva Správce a Zpracovatele, další opatření požadovaná dle Obecného nařízení pro smlouvy o zpracování Osobních údajů a dále taková opatření, práva a povinnosti, na kterých se Smluvní strany dohodly.
2. Správce pověřuje Zpracovatele zpracováním Osobních údajů poskytnutých Správcem Zpracovateli za účelem a v rozsahu stanovenými v této Smlouvě a z důvodu provedení plnění Zpracovatele dle Hlavní smlouvy. Zpracovatel se zavazuje při zpracování Osobních údajů dodržovat podmínky stanovené touto Smlouvou.
3. Tato Smlouva se uzavírá ode dne její účinnosti na dobu trvání Hlavní smlouvy.
4. Zpracovatel potvrzuje a zaručuje se, že jakékoli zpracování Osobních údajů dle Smlouvy bude uskutečňováno výlučně na území Evropské unie nebo Evropského hospodářského prostoru. K jakémukoli předání Osobních údajů do třetí země mimo v předchozí větě vymezené území může dojít jen za předpokladu, že jsou splněny podmínky pro předání do třetí země stanovené Obecným nařízením a Zpracovatel Správce o předání do třetí země předem informoval a Správce s ním předem vyslovil písemně svůj souhlas.
Čl. 2
1. Při výkonu činnosti Zpracovatel dle Hlavní smlouvy dochází ke zpracování Osobních údajů Subjektů údajů. Osobními údaji se dle této Smlouvy rozumí:
– identifikační údaje (např. jméno, příjmení, RČ, datum narození),
– kontaktní údaje (např. adresa, e-mail, telefon),
– finanční údaje (např. výše mzdy, odměn),
– rodinné (např. údaje o manželovi, partnerovi, dětech),
– citlivé (např. zdravotní údaje, biometrické, členství v odborech),
– jiné
2. Subjekty údajů se dle této Smlouvy rozumí fyzické osoby:
– v pracovněprávním vztahu ke Správci (včetně rodinných příslušníků a osob blízkých),
– členové orgánů Správce (včetně rodinných příslušníků a osob blízkých),
– dodavatelé a odběratelé Správce,
– obchodní partneři Správce,
– zástupci (zákonní či smluvní) spolupracujících právnických osob,
– jiné
ČL. 3
1. Správce je odpovědný za to, že s Osobními údaji disponuje v souladu s platnými právními předpisy a na základě a v rozsahu právních důvodů dle Obecného nařízení. Správce provádí oznámení o zpracování osobních údajů Subjektům údajů. Pokud by zpracování bylo založeno na souhlasu Subjektu údajů a Subjekt údajů by souhlas se zpracováním odvolal, Správce informuje Zpracovatele bez odkladu a Zpracovatel ihned po oznámení příslušné Osobní údaje přestane zpracovávat a provede jejich výmaz.
2. Zpracovatel užívá Osobní údaje a nakládá s nimi v souhlasu se Smlouvou a plněním dle Hlavní smlouvy, v souladu s pokyny Správce, a to za účelem stanoveným ve Smlouvě a Hlavní smlouvě.
3. Zpracovatel zpracovává Osobní údaje na základě pokynů Správce. Pokyny mohou být uděleny písemně nebo e-mailem. Pokyny udělené ústně musí být doloženy písemně nebo e-mailem, jinak mají jen informativní charakter. Zpracovatel informuje bez odkladu Správce v případě, že podle jeho názoru určitý pokyn porušuje Obecné nařízení nebo jiné právní předpisy; Zpracovatel je oprávněn takovýto pokyn neprovést, přičemž Správce spolu s neprovedením pokynu informuje písemně o rozporu pokynu s Obecním nařízením nebo jinými právními předpisy; Zpracovatel není v tomto případě odpovědný Správci za případně vzniklou újmu.
4. Zpracovatel provádí zpracování s Osobními údaji manuálně ve fyzické podobě, elektronicky, i automatizovaně.
5. Zpracovatel je povinen zajistit, aby se osoby oprávněné zpracovávat Osobní údaje u Zpracovatele zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
6. Zpracovatel je oprávněn zapojit dalšího zpracovatele (dále jen „Další zpracovatel“) jen za předpokladu, že k tomu získal předem písemné svolení Správce a že s Dalším zpracovatelem uzavře písemnou smlouvu, kterou mu uloží stejné povinnosti na ochranu osobních údajů, které jsou dány Zpracovateli dle Smlouvy, zejména zavede vhodná technická a organizační opatření, aby zpracování splňovalo povinnosti dle Obecného nařízení a Smlouvy.
7. Zpracovatel je povinen přijmout při zpracování všechny opatření k zabezpečení Osobních údajů, jak je vyžaduje tato Smlouva a Obecné nařízení, a je Správci nápomocen při zajišťování souladu s povinnostmi podle článků 32 až36 Obecného nařízení (tj. při zabezpečení osobních údajů a posouzení vlivu na ochranu osobních údajů a předchozích konzultací), a to při zohlednění povahy zpracování a informací, jež má Zpracovatel k dispozici.
8. Zpracovatel je povinen zohlednit povahu zpracování, je Správci nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv Subjektu údajů ( tj. práva Subjektu údajů při jejich informování a výkonu práv Subjektu údajů, právo Subjektu údajů požadovat od Správce přístup k osobním údajům týkajícím se Subjektu údajů, právo na opravu nebo výmaz údaje, právo na omezení zpracování, právo vznést námitku proto zpracování a právo na přenositelnost údajů a práva Subjektu údajů v rámci automatizovaného individuálního rozhodování). Pokud Subjekt údajů uplatní své výše uvedené právo u Zpracovatele, Zpracovatel bez odkladu předá žádost Subjektu údajů Správci, nebo pokud Zpracovatel sám, dle vhodnosti, vyřídí žádost Subjektu údajů (např. provede opravu údaje), Správce informuje o vyřízení žádosti Subjektu údajů; v pochybnostech při rozhodování o postupu při uplatnění práva Subjektu údajů si Zpracovatel vyžádá pokyn Správce.
9. Zpracovatel je povinen v souladu dle rozhodnutí Správce po ukončení poskytování služeb spojených se zpracováním všechny osobní údaje buď vymazat, nebo vrátit Správci, a vymazat existující kopie, pokud právní předpisy nepožadují uložení daných Osobních údajů.
10. Zpracovatel je povinen poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené Zpracovateli ve Smlouvě a v Obecném nařízení (např. doložení jednání na základě pokynů Správce, dodržení povinnosti mlčenlivosti, dodržení podmínek zapojení Dalšího zpracovatele, pomoc při vyřizování práv Subjektů údajů aj.). Zpracovatel je povinen umožnit Správci provedení auditů, včetně inspekcí, prováděných Správcem nebo jiným auditorem, kterého Správce pověřil, s cílem kontrolovat činnost Zpracovatele při nakládání a ochraně osobních údajů dle Smlouvy a k těmto auditům přispěje plnou součinností. Audity či inspekce Správce jsou prováděny v pravidelných ročních intervalech, popř. i nepravidelně dle požadavku Správce. Audit či inspekce bude Správci umožněna na základě písemné žádosti Správce nejpozději do čtrnácti dní od doručení požadavku Správce Zpracovateli.
11. Zpracovatel je povinen vést záznamy o činnostech zpracování v rozsahu dle Obecného nařízení. Záznamy jsou vedeny písemně či elektronicky.
12. Záznam Zpracovatele obsahuje minimálně tyto údaje:
a) jméno a kontaktní údaje Zpracovatele, Dalšího zpracovatele a Správce, případného zástupce Správce nebo Zpracovatele a pověřence pro ochranu osobních údajů,
b) kategorie (tj. popis účelu) zpracování prováděného pro Správce,
c) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, doložení vhodných záruk,
d) obecný popis technických a organizačních bezpečnostních opatření k zabezpečení osobních údajů.
13. Zpracovatel je povinen poskytnout Správci součinnost při styku a jednáních s Úřadem na ochranu osobních údajů a dalšími státními a správními úřady a Subjekty údajů, vyžádá-li si to zpracování dle Smlouvy.
14. Smluvní strany konstatují a jsou srozuměné s tím, že:
a) Správce dodržuje kodex chování dle č. 40 Obecného nařízení a (nebo) schválený mechanismus pro vydávání osvědčení dle č. 43 Obecného nařízení.
b) Zpracovatel dodržuje kodex chování dle č. 40 Obecného nařízení a (nebo) schválený mechanismus pro vydávání osvědčení dle č. 43 Obecného nařízení.
ČL. 4
1. Zpracovatel je povinen zavést vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování dle Smlouvy je prováděno v souladu se Smlouvou a Obecným nařízením. Podle vhodnosti Zpracovatel provádí např. školení zaměstnanců, vnitřní směrnice k nakládání s osobními údaji, zajišťuje přistup k osobním údajům jen vybraným osobám, připraví postup pro skartaci a likvidaci osobních údajů, zabezpečuje používaná elektronická zařízení, využívá jen pravidelně aktualizované SW a podporovaný a aktuální HW, provádí pravidelné zálohování, aj. Tato opatření musí být Zpracovatelem pravidelně dle potřeby revidována a aktualizována. Cílem opatření je zajistit, aby nedošlo k neoprávněnému zpřístupnění předávaných, uložených nebo jinak zpracovávaných Osobních údajů, nebo k neoprávněnému přístupu k nim. Tato povinnost platí po celou dobu zpracování dle Smlouvy a i po ukončení zpracování. Zpracovatel informuje Správce o přijatých bezpečnostních opatřeních kdykoli bez zbytečného odkladu poté, kdy si tuto informaci Správce vyžádá.
2. Správce a Zpracovatel přijmou opatření pro zajištění toho, aby jakákoliv fyzická osoba, která jedná z pověření Správce nebo Zpracovatele a má přístup k Osobním údajům, zpracovávala tyto Osobní údaje pouze na pokyn Správce, pokud jí jejich zpracování již neukládá právní předpis.
3. Zpracovatel zpracovává a vede o přijatých a provedených technických a organizačních opatřeních k zajištění ochrany Osobních údajů záznamy v souladu s Obecným nařízením, viz. čl. 3 bod 12 Smlouvy.
4. Jakmile Zpracovatel zjistí porušení zabezpečení Osobních údajů (dále jen „Bezpečnostní incident“), je povinen jej bez zbytečného odkladu, nejpozději však do čtyřiceti osmi hod., oznámit Správci, a to na e-mailovou adresu. Zpracovatel poskytne Správci při Bezpečnostním incidentu veškerou součinnost.
Čl. 5
1. Zpracovatel je za újmu způsobenou zpracováním odpovědný v případě, že nesplnil povinnosti stanovené Obecným nařízením konkrétně pro Zpracovatele nebo že jednal nad rámec zákonných pokynů Správce nebo v rozporu s nimi.
2. Odpovědnost za škodu a náhrada újmy se řídí ustanoveními občanského zákoníku, zákonu č. 89/2012 Sb.
Čl. 6
1. Tato Smlouva nabývá platnosti okamžikem odeslání vyplněného dotazníku zpracovateli.
2. Postoupení práv a povinností z této Smlouvy se řídí ustanoveními o postoupení práv a povinností Smluvních stran danými v Hlavní smlouvě.
3. Jakékoli dodatky k této Smlouvě musí být uzavřeny v písemném a číslovaném dodatku ke Smlouvě.
4. Písemnosti dle Smlouvy se doručují na adresy uvedené v záhlaví Smlouvy nebo na jinou Smluvní stranou oznámenou korespondenční adresu. Smluvní strany jsou povinny si bez odkladu písemně oznámit změnu korespondenční adresy včetně e-mailové komunikační adresy.
5. Právní jednání Smluvních stran dle Smlouvy jsou činěny v písemné formě, což zahrnuje i formu elektronickou. E-mailové adresy Smluvních stran pro komunikaci dle Smlouvy jsou:
– pro Správce: info@realitykv.cz
– pro Zpracovatele: info@ave-economie.cz
Není-li Smluvní stranou oznámena jiná e-mailová komunikační adresa.
Následují základní informace pro klienta:
Informujeme Vás v souladu s Nařízením 2016/679 (GDPR), že Vaše společnost jako zaměstnavatel zpracovává osobní údaje svých zaměstnanců v rozsahu identifikačních a kontaktních údajů, údajů nezbytných pro výpočet mzdy, údajů související s pracovněprávním vztahem a výkonem práce, tedy údajů o plnění pracovních povinností, o pracovním zařazení, je-li to odůvodněno povahou práce také údaje o trestní bezúhonnosti, a to pro účely vzniku pracovněprávního vztahu a jeho trvání a ukončení, vnitřní administrativní potřeby a evidence, pro ochranu práv a právních nároků, zajištění bezpečnosti a ochrany majetku a osob. Osobní údaje zpracováváme v rámci a na základě plnění našich zákonných povinností, plnění smlouvy a vzájemně oprávněných zájmů.
Proti zpracování na základě našich oprávněných zájmů máte právo kdykoliv podat námitku. Více informací o zpracování Vašich osobních údajů a výkonu Vašich práv, zejména právu na informace o zpracování, právu na přístup a opravu Vašich osobních údajů, je dostupné v Memorandu o zpracování osobních údajů zaměstnanců zpracovatelem mezd, tedy účetní kanceláří.
Zpracováním údajů pro účely propagace
Oznamujeme Vám, že bez vašeho souhlasem nebudou zpracovány Vaše identifikační údaje pro naše propagační a marketingové účely, zejména zveřejněním na našich webových stránkách, sociálních sítích, v tisku a dalších mediích.
ZAJIŠTĚNÍ AGEND MEZD A PERSONALISTIKY
Čl. 6 odst. 1 písm. C) – zpracování nezbytné pro splnění právní povinnosti, zejména:
Zákon č. 262/2006 Sb., zákoník práce, zákona č. 586/1992 Sb., o daních z příjmů, zákon č 563/1991 Sb., o účetnictví, zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, zákon č. 582/1992 Sb., o pojistném na sociálním zabezpečení a příspěvku na státní politiku zaměstnanosti, zákon č. 592/1992 Sb., o pojistném na veřejné zdravotní pojištění, zákon č. 48/1997 Sb., o veřejném zdravotním pojištění , zákon č. 435/2005 Sb., o zaměstnanosti, prováděcí právní předpisy k uvedeným zákonům.
Zahrnuje všechny údaje v rozsahu mzdových listů, evidence pro účely sociálního a zdravotního pojištění, pro potřeby Úřadu práce a dalších orgánů veřejné moci.
Čl. 6 odst. 1 písm. b) GDPR – zpracování nezbytné pro splnění smlouvy zejména:
Všechny údaje pro evidenci docházky, absencí a jejich důvodů, zpracování mezd a jejich výplatu, poskytování cestovních náhrad apod.
Čl.6 odst.1písm. e) – zpracování nezbytné pro účely oprávněných zájmů, např.
Osvědčení o způsobilosti k výkonu práce, plnění hygienických a bezpečnostních požadavků, v případě zdůvodnitelného zájmu ověření bezúhonnosti apod.
OSLOVENÍ, HODNOCENÍ A VÝBĚR Z UCHAZEČŮ O ZAMĚSTNÁNÍ
Čl. 6 odst. 1 písm. b) GDPR – zpracování nezbytné pro uzavření smlouvy
Identifikační údaje, kontaktní údaje, údaje o kvalifikaci (vzdělání, schopnosti a dovednosti, pracovní zkušenosti) a další údaje obsažené v životopise či požadované pro konkrétní pozici.
II. Katergorie subjektů údajů
1)Zaměstnanci kmenoví, agenturní, členové statutárních orgánů nebo společníci vykonávající činnosti pro korporaci.
2)Rodinní příslušníci výše uvedených osob a osoby žijící s nimi ve společné domácnosti v případě ochrany právních nároků subjektů údajů (daňové zvýhodnění, slevy na dani apod. )
3)Uchazeči o zaměstnání
III. Zpracovávané kategorie osobních údajů
Základní údaje v rozsahu mzdových listů, údaje z životopisu, doklady o vzdělání, osvědčení o zdravotním stavu a dalších podklady potřebné ke vzniku pracovně právního vztahu a jeho trvání, zejména údaje potřebné pro personální evidence, zpracování mezd a pro plnění povinností zaměstnavatele vůči orgánům, finanční správy, sociálního zabezpečení, zdravotním pojišťovnám, Úřadu práce, Úřadu inspekce práce, stanicím hygienické kontroly ad.
Údaje o zdravotní způsobilosti a údaje o zdravotním stavu nezbytné pro naplňování práv a povinností správce subjektu údajů ve vztahu k pracovnímu zařazení a požadavkům na výkon práce.
Údaje o zdravotním postižení zaměstnance nebo rodinných příslušníků potřebné pro prokazování zřízení pracovního místa pro osobu se zdravotním postižením, uplatnění právních nároků na daňové a jiné zvýhodnění atd.
IV: Kategorie příjemců
Orgány veřejné moci, zejména finanční správy, orgány sociálního zabezpečení, zdravotní pojišťovny, Úřad práce, Pilicie ČR. Závodní lékař, daňový poradce, školitel bezpečnosti práce a řidičů, Státní zkušební ústav.
V. Plánové lhůty pro výmaz kategorií osobních údajů
Údaje jsou zpracovávány po dobu trvání právního vztahu se subjektem údajů a po jeho skončení po dobu nezbytnou se zřetelem k případným kontrolám plnění povinností správce anebo k uplatňování práv subjektů údajů. Použity jsou skartační lhůty vycházející z obecně závazných právních předpisů nebo oprávněných zájmů správce, zejména:30 let pro mzdové listy a účetní záznamy s údaji pro potřeby důchodového pojištění v souladu s § 35a zákona č. 582/1991 Sb., lhůta pro ELDP činí 3 roky
–10 let daňové doklady podle § 35 a § 35a zákona č. 235/2004 Sb.,
–5 let účetní doklady, 10 let účetní závěrky dle § 31 zákona č. 563/1991 Sb.,
–10 let pro doklady pro potřeby daňového řízení v souladu s § 148 zákona č. 280/2009 Sb.
Údaje neúspěšných uchazečů o zaměstnání jsou smazány po skončení výběrového řízení nebo je vyžádán souhlas se zpracováním po dobu jednoho roku od okamžiku udělení souhlasu.
VI. Obecný popis technických a organizačních bezpečnostních opatření
K osobním údajům mají přistup pouze osoby v rámci plnění svých pracovních povinností v oblasti mezd a personalistiky nebo v nezbytném rozsahu pro plnění své vedoucí a kontrolní funkce (např. jednatel, účetní, personalista).
Přístup k zařízení (PC, notebook ad. ) s osobními údaji je zabezpečen hesly, zálohy dat a listinná dokumentace jsou umístěny v uzamykatelných prostorách. Bylo nastaveno šifrování dat na firemních serverech a logování přístupu uživatelů.
Při vyplňování webových formulářů je respektováno nastavení soukromí v prohlížeči, byla přidána informace a používání cookies, IP adresy již nejsou zpracovávány. Předávání údajů je prováděno buď v rámci osobního kontaktu anebo na dohodnuté a odsouhlasené adresy elektronické pošty. Informace obsahující osobní údaje nejsou poskytovány telefonicky.