dnes je 18.11.2018
Input:

Postup při přípravě, implementaci a aplikaci GDPR ve firemní a personální praxi

12.2.2018, , Zdroj: Verlag Dashöfer

2018.04.01
Postup při přípravě, implementaci a aplikaci GDPR ve firemní a personální praxi

JUDr. Dušan Srp, Ph.D.

ÚVOD DO PROCESU PŘÍPRAVY NA GDPR

V úvodu nejprve připomeneme základní informace ke GDPR.

Co je GDPR?

GDPR je Obecné nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (zkráceně obecné nařízení o ochraně osobních údajů). V anglickém jazyce je GDPR zkrácený výraz od General Data Protection Regulation. V textu tohoto článku budeme používat označení GDPR.

V České republice GDPR nahradí dosud platný zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, který implementoval směrnici Evropského parlamentu a Rady 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Česká republika připravuje v návaznosti na GDPR nový zákon o ochraně osobních údajů; v době přípravy tohoto článku existuje text nového zákona o ochraně osobních údajů ve formě návrhu připraveného Ministerstvem vnitra. Nový zákon o ochraně osobních údajů však bude jen doplňovat komplexní právní úpravu danou v GDPR, a to v oblastech, které nejsou Obecným nařízením upraveny a kde GDPR umožňuje či přímo předpokládá, že členské státy provedou vlastní právní úpravu na vnitrostátní úrovni. Spolu s novým zákonem o ochraně osobních údajů bude v České republice ještě přijat změnový zákon.

Jak je GDPR právně závazné?

GDPR je jako nařízení EU právně závazné v celém rozsahu a přímo účinné (použitelné) ve všech členských státech Evropské unie. Je třeba jej tedy chápat tak, jako by to byl zákon přijatý Parlamentem České republiky. Pokud jde o stanovení práv a povinností, není mezi nařízením EU a vnitrostátním zákonem rozdíl, oba dva právní předpisy přímo adresátům stanovují povinnosti a práva. Pro účel výkladu nařízení EU je třeba upozornit na tzv. recitály, což jsou ustanovení předcházející vlastnímu textu nařízení EU a jsou v některých případech výkladem či důvodovou zprávou k některým ustanovením vlastního textu nařízení. Při práci s GDPR proto bude třeba číst i jednotlivé recitály týkající konkrétního článku či institutu GDPR.

Kde platí GDPR a pro koho?

GDPR je účinné (použitelné) ve všech státech Evropské Unie a dále na Islandu, v Norsku a Lichtenštejnsku.

Z hlediska místní působnosti se GDPR vztahuje na zpracování osobních údajů v souvislosti s činnostmi provozovny správce nebo zpracovatele v Evropské unii bez ohledu na to, zda zpracování probíhá v Evropské unii či mimo ni. GDPR se dále vztahuje na zpracování osobních údajů subjektů údajů, které se nacházejí v Evropské unii, správcem nebo zpracovatelem, který není usazen v Evropské unii, pokud činnosti zpracování souvisejí:

  • s nabídkou zboží nebo služeb těmto subjektům údajů v Evropské unii bez ohledu na to, zda je od subjektů údajů požadována platba; nebo

  • s monitorováním jejich chování, pokud k němu dochází v rámci Evropské unie.

Kdy bude GDPR účinné?

GDPR je nyní již platné, ale stanovilo dvouletou lhůtu do účinnosti, která slouží členským státům a všem správcům a subjektů na přípravu na GDPR. GDPR je účinné (použitelné) ode dne 25. května 2018. Od tohoto dne se tedy všechny subjekty zainteresované na zpracování osobních údajů v Evropské unii budou muset řídit GDPR.

Na co a na koho se GDPR vztahuje?

Z hlediska věcné působnosti se GDPR vztahuje na zcela nebo částečně automatizované zpracování osobních údajů a na neautomatizované zpracování těch osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Evidencí se rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.

GDPR se nevztahuje na zpracování osobních údajů prováděné:

  • při výkonu činností, které nespadají do oblasti působnosti práva Evropské unie;

  • členskými státy při výkonu činností, které spadají do oblasti působnosti hlavy V kapitoly 2 Smlouvy o EU;

  • fyzickou osobou v průběhu výlučně osobních či domácích činností;

  • příslušnými orgány za účelem prevence, vyšetřování, odhalování či stíhání trestných činů nebo výkonu trestů, včetně ochrany před hrozbami pro veřejnou bezpečnost a jejich předcházení.

Lze konstatovat, že většina zpracovatelských operací v komerční a i veřejné sféře bude GDPR podléhat.

GDPR stanoví povinnosti správcům a zpracovatelům.

Správcem je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce:

  • před samotným zpracováním osobních údajů je povinen v případech daných v GDPR provést posouzení vlivu na ochranu osobních údajů;

  • má povinnost vést záznamy o všech zpracováních, za které nese správce zodpovědnost. GDPR počítá s výjimkami z povinnosti vést dokumentaci zpracování pro podniky s méně než 250 zaměstnanci. Nicméně i malé podniky mohou zpracovávat velký objem dat a provádět vysoce rizikové zpracování, a proto je výjimka omezena pouze na taková zpracování, která nelze kvalifikovat jako riziková.

  • má povinnost hlásit místně příslušnému dozorovému orgánu únik či porušení zabezpečení osobních údajů, a to ve lhůtě maximálně 72 hodin.

Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo které vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.

PRAKTICKÝ POSTUP PŘI PŘÍPRAVĚ, IMPLEMENTACI A APLIKACI GDPR

Implementace GDPR by rozhodně neměla být podniky podceněna. Podívejme se na to, jaké kroky je vhodné učinit ve Vaší firmě při přípravě, implementaci a aplikaci GDPR.

Krok 1 – Informování vedení společnosti, určení pracovního týmu, vyčlenění technických a finančních prostředků pro účely projektu

Nejdříve doporučuji promluvit si s vedením podniku o GDPR, zjistit, zda jsou si členové vedení vědomi GDPR a zda vědí, jaký dopad může mít zavedení pravidel GDPR na podnik a podnikové oblasti, které jsou jimi vedeny.

Dále bude třeba vyčlenit zaměstnance či vytvořit tým zaměstnanců, který bude odpovědný za zajištění souladu zpracovatelských operací správce s GDPR. Toto bude nutné i tehdy, když bude realizací pověřen externí dodavatel. V týmu by měl být zastoupen pracovník zejména oddělení právního, personálního a IT.

Těmto vyčleněným pracovníkům se poskytnou veškeré informace týkající se zpracování osobních údajů v podniku, aby byli schopni se zorientovat v příslušné problematice.

Jde-li o nadnárodní koncern, bude třeba na počátku vyřešit a rozhodnout, v jakém rozsahu je implementace GDPR prováděna na centrální koncernové úrovni a v jakém na lokální úrovni a jak bude lokální tým spolupracovat s centrálou.

Krok 2 – Udělejte si interní audit současného stavu zpracování osobních údajů

Implementaci GDPR nejlépe začnete, když si uděláte pořádek v osobních údajích, které zpracováváte, a ve zpracovatelských operacích prováděných nyní, tedy ještě před účinností GDPR, podle stávající právních předpisů a aktuální praxe v podniku. Vhodné je provést si datový a bezpečnostní audit, který tyto zpracovatelské procesy zmapuje a upozorní na případné nedostatky.

Odpovězte si mimo jiné na tyto otázky:

  1. Jaké osobní údaje a jaké kategorie osobních údajů Vaše firma zpracovává a uchovává?
  2. Jaké zpracování a procesy zpracování podnik provádí?
  3. Proč a na základě jakého právního titulu osobní údaje zpracováváte?
  4. V jakém rozsahu se osobní údaje shromažďují?
  5. Provádí se zpracování podle stanoveného účelu?
  6. Jaké kategorie subjektů údajů jsou relevantní?
  7. Kdo jsou příjemci nebo jaké jsou kategorie příjemců osobních údajů?
  8. Jsou shromážděná data adekvátní, přesná a účelná? Nejsou nadbytečná?
  9. Zpracování je prováděno manuálně nebo automatizovaně?
  10. Je prováděno profilování?
  11. Na jakou dobu jsou osobní údaje ukládány pro zpracování? Uchovávají se osobní údaje pouze po dobu nezbytně nutnou? Kdy a jak se osobní údaje likvidují?
  12. Jsou shromážděné osobní údaje aktualizovány, jakým způsobem a jak často?
  13. Kde jsou osobní údaje uloženy, kdo k nim má přístup a jak se tento přístup monitoruje? Ukládají se informace o přístupech pro případnou pozdější kontrolu?
  14. S kým a jakým způsobem se osobní údaje sdílí?
  15. Jsou zpracovávané osobní údaje dostatečně chráněny? Zabraňují realizované technické prostředky a uplatňovaná organizační opatření nahodilému přístupu k osobním údajům, jejich změně, zničení nebo ztrátě?
  16. Existují postupy upravující práva subjektu údajů a určení práv subjektů dat s ohledem na jejich podnikem zpracovávaná data?
  17. Jaká interní dokumentace řeší zpracování osobních údajů v podniku?
  18. Existuje datový a bezpečnostní audit procesů zpracování?
  19. Kdo je v podniku odpovědný za zpracování osobních údajů a komunikaci se subjekty údajů, zaměstnanci, vedením podniku a s dozorovým úřadem?

Pokud při interním auditu najdete nepřesné nebo neúplné osobní údaje nebo jiné nedostatky v procesech zpracování, pak je třeba chybné údaje či nedostatky ihned opravit (nečekat na účinnost GDPR), a pokud je sdílíte s dalšími podniky či subjekty, je nutné je na to také upozornit. Nedostatky mohou spočívat např. v zpracování osobních údajů bez souhlasu subjektu údajů či v nepotřebných osobních údajích, které již není potřeba zpracovávat.

Krok 3 – Proveďte si analýzu nedostatků a nutných nových opatření v souvislosti s GDPR

Nejprve podnik musí posoudit, zda a jak splňuje v současnosti právní a technické požadavky na zpracování osobních údajů dle pravidel a požadavků budoucí GDPR. Nesoulad lze předpokládat tam, kde GDPR zavádí nové povinnosti nebo plnění povinností upravuje odlišně od stávající právní úpravy.

Firma by měla provést důkladnou analýzu stávajících interních postupů všech svých zainteresovaných oddělení (např. HR, IT, oddělení styku se zákazníky, oddělení vnitřní bezpečnosti, recepce, účetní oddělení apod.), pokud se dostávají do kontaktu s osobními údaji. Analyzovat je potřeba také veškeré dokumenty upravující zpracování osobních údajů, vnitřní směrnice, souhlasy se zpracováním osobních údajů a způsob a formu jejich udělení, smlouvy s dodavateli, smlouvy se zákazníky, smlouvy se zpracovatelem osobních údajů, smlouvy o zpracování osobních údajů, postupy při zpracování apod.

Po provedené analýze a posouzení nových povinností je vhodné vypracovat písemnou zprávu s uvedením nedostatků a navržení nutných nových opatření v souvislosti s GDPR. Tato zpráva bude určena pro interní potřebu podniku.

Vzhledem k novým povinnostem GDPR je třeba již v počátku posoudit a rozhodnout některé skutečnosti a také je třeba se seznámit s novými pravidly a povinnostmi dle GDPR. Zejména jde o tyto skutečnosti a otázky:

1. Musí podnik vést záznamy o činnostech zpracování?

Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Podniky nemusí vést záznamy o činnosti zpracování, pokud zaměstnávají méně než 250 osob, pokud zpracování osobních údajů není jejich hlavní činností a právům subjektů údajů u nich nehrozí žádné riziko, nezpracovávají citlivé údaje nebo se osobní údaje netýkají rozsudků v trestních věcech.

2. Musí podnik provést či doplnit opatření k zabezpečení osobních údajů?

Podnik je povinen s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob, jež s sebou zpracování nese, provést jak v době určení prostředků pro zpracování, tak v době zpracování vhodná technická a organizační opatření (jako je např. pseudonymizace), aby byla zajištěna úroveň zabezpečení odpovídající danému riziku, byla ochráněna práva subjektů údajů a byly plněny všechny požadavky GDPR.

Proto všechny vnitropodnikové procesy týkající se zabezpečení osobních údajů, které nepochybně každý podnik v určitém rozsahu má zavedeny, je třeba překontrolovat a případně doplnit dle požadavků GDPR.

3. Musí podnik provést posouzení vlivu na ochranu osobních údajů?

Posouzením vlivu na ochranu osobních údajů (v angličtině Data Protection Impact Assessment či zkráceně DPIA) se rozumí provedení posouzení vlivu na ochranu osobních údajů správcem před provedením zpracování. Správce jej musí provést tehdy, pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Při provádění posouzení vlivu na ochranu osobních údajů si správce vyžádá posudek pověřence pro ochranu osobních údajů, byl-li jmenován.

Posouzení vlivu na ochranu osobních údajů je nutné zejména v těchto případech:

  • systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

  • rozsáhlé zpracování zvláštních kategorií údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů, nebo

  • rozsáhlé systematické monitorování veřejně přístupných prostorů.

Pokud by z posouzení vlivu vyplývala vysoká rizika při zpracování v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, provádí správce před zpracováním předchozí konzultace s dozorovým úřadem.

4. Musí podnik jmenovat pověřence pro ochranu osobních údajů?

Podnik musí prověřit a rozhodnout, zda bude muset ke dni účinnosti GDPR jmenovat pověřence pro ochranu osobních údajů. Správce a zpracovatel zajistí, aby byl pověřenec pro ochranu osobních údajů náležitě a včas zapojen do veškerých záležitostí souvisejících s ochranou osobních údajů.

Pověřencem pro ochranu osobních údajů (anglicky Data Protection Officer či zkráceně DPO) je osoba, kterou musí správce či zpracovatel jmenovat v těchto případech:

  • zpracování provádí orgán veřejné moci či veřejný subjekt s výjimkou soudů jednajících v rámci svých soudních pravomocí;

  • hlavní činnosti správce či zpracovatele spočívají v operacích zpracování, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů; nebo

  • hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů a osobních údajů týkajících se rozsudků v trestních věcech.

Skupina podniků může jmenovat jediného pověřence, avšak ten musí být pro každý podnik snadno dosažitelný.

Pověřenec musí být osoba disponující profesními kvalitami a odbornou znalostí práva a praxe v oblasti ochrany osobních údajů a musí dostatečně ovládat GDPR. GDPR nestanovuje certifikaci pověřence jako předpoklad výkonu funkce pověřence. Může to být pracovník správce či zpracovatele nebo pracuje na základě smlouvy o poskytování služeb. Úkolem pověřence je zejména poskytování informací a poradenství správci či zpracovateli, jakož i jejich zaměstnancům, kteří se na zpracování podílejí, sledování souladu zpracování s GDPR a spolupráce s dozorovým úřadem.

5. Je-li podnik součástí koncernu, nejde o případ společných správců?

GDPR počítá s existencí tzv. společných správců, kdy účel a prostředky zpracování stanoví společně dva nebo více správců. Společní správci si mezi sebou transparentním ujednáním vymezí své podíly na odpovědnosti za plnění povinností dle GDPR, zejména pokud jde o výkon práv subjektu údajů, a své povinnosti poskytovat informace dle GDPR. Společní správci si mohou v ujednání určit kontaktní místo pro subjekty údajů, jejich úlohy a vztahy vůči subjektům údajů.

6. Zpracovává podnik zvláštní kategorie osobních údajů?

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Výčet zvláštní kategorie osobních údajů je téměř totožný s výčtem citlivých údajů v zákoně č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, až na údaj o odsouzení za trestný čin, který má zvláštní režim.

GDPR poskytuje zpracování zvláštních kategorií osobních údajů zvýšenou ochranu. Ta se projevuje zejména ve stanovení zvláštních právních důvodů, na základě kterých je lze zpracovávat, dále jejich rozsáhlé zpracování způsobuje nutnost posouzení vlivu a ustavení pověřence, je kladen důraz na jejich zvýšené zabezpečení atd.

7. Provádí podnik profilování?

Profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu. Profilování se skládá ze tří prvků:

  • musí jít o automatizovanou formu zpracování;

  • musí být prováděno s osobními údaji;

  • předmětem profilování musí být vyhodnocování osobních aspektů týkajících se fyzických osob.

Profilování je nová definice v GDPR, avšak k profilování dochází již nyní. Profilování je běžné např. u bank, které profilují klienta žádajícího o hypotéku a hodnotí si jeho schopnost splácet.

8. Předává či plánuje podnik předávat osobní údaje do třetích zemí?

Volný pohyb osobních údajů v Evropské unii není z důvodu ochrany fyzických osob v souvislosti se zpracováním osobních údajů omezen ani zakázán, protože v zemích Evropské Unie platí GDPR. Samozřejmě v ostatním platí pro předání osobních údajů všechny podmínky GDPR (tj. např. nutnost existence právního důvodu, apod.).

K jakémukoli předání osobních údajů, které jsou předmětem zpracování nebo které jsou určeny ke zpracování po

.
  1. Smlouva o poskytnutí užívacích práv k On-line produktu (dále také jen   "smlouva") se uzavírá na dobu určitou, a to na dobu předplatného uvedenou v objednávce a ve faktuře. 
  2. Dojde-li k objednání On-line produktu nakladatelství přes internet, vzniká smlouva mezi objednatelem a nakladatelstvím okamžikem odeslání objednávky učiněné v internetovém obchodu nakladatelství. Podmínkou odeslání objednávky je odsouhlasení těchto všeobecných obchodních podmínek pro On-line produkty (dále také "VOP-O"), které se tak stávají právně závazné pro obě smluvní strany. 
  3. V případě objednání On-line produktu jakýmkoli jiným způsobem vzniká smlouva mezi objednatelem a nakladatelstvím zaplacením zálohové faktury. Úhradou zálohové faktury se stávají VOP-O právně závaznými pro obě smluvní strany. 
  4. Ke vzniku smlouvy mezi nakladatelstvím a objednatelem dojde vždy s výhradou ztráty schopnosti nakladatelství smlouvu plnit. 
  5. Objednateli vzniká právo užívat On-line produkt po uzavření smlouvy, zaplacení ceny (předplatného) On-line produktu  a aktivaci přístupu objednatele do On-line produktu provedené nakladatelstvím.
    O aktivaci přístupu do On-line produktu je objednatel nakladatelstvím informován emailem a současně jsou mu zaslány pokyny k přihlášení do On-line produktu. Rozhodne-li se objednatel svého práva na užívání On-line produktu nevyužít, nemá tato skutečnost vliv na platnost smlouvy a povinnost objednatele platit cenu On-line produktu (předplatné). 
  6. Smlouva se vždy automaticky prodlužuje o další předplatné období, jehož délka je shodná s délkou předcházejícího  předplatného období, nedoručí-li nejpozději 6 týdnů před uplynutím předplaceného období uvedeného na faktuře jakákoli ze smluvních stran druhé smluvní straně emailem nebo dopisem učiněné oznámení, že o automatické prodloužení předplatného nemá zájem. V případě jednoměsíčního předplatného se šestitýdenní lhůta pro doručení oznámení zkracuje na 15 dní a ust. čl. 8 VOP-O se nepoužije. Obě smluvní strany s automatickým prodlužováním smlouvy výslovně souhlasí. Objednatel je povinen platit nakladatelství předplatné navýšené o DPH po celou dobu platnosti smlouvy. 
  7.  Nakladatelství je s ohledem na nárůst průměrného indexu spotřebitelským cen oprávněno zvýšit jednou ročně ceny předplatného na další předplatné období, maximálně však vždy o 3 % z  ceny předplatného předcházejícího předplatného období. 
  8. Nakladatelství odešle objednateli zálohovou fakturu na další předplatné období vždy nejpozději 4 týdny před koncem stávajícího předplaceného období. 
  9. Dojde-li ze strany objednatele k prodlení se zaplacením ceny předplatného, je nakladatelství oprávněno požadovat od objednatele zaplacení nákladů spojených s vymáháním každé pohledávky ve výši 1200 Kč v souladu s nařízením vlády č. 351/2013 Sb. 
  10. Objednatel je povinen nakladatelství bez zbytečného odkladu oznámit jakékoli změny údajů, které  uvedl při uskutečnění objednávky. 
  11. On-line produkt podléhá autorskoprávní ochraně. On-line produkt nesmí být objednatelem ani nikým jiným bez předchozího souhlasu nakladatelství jakkoli rozmnožován, rozšiřován, pronajímán, propachtován, vystavován či půjčován třetím osobám a jeho obsah nesmí být sdělován v jakékoli formě veřejnosti. 
  12. Právo užívat On-line produkt je nepřenosné. Není-li mezi stranami smlouvy ujednáno jinak (multilicenční ujednání obsažené ve faktuře), má právo užívat On-line produkt
    a) v případě objednatelů - fyzických osob pouze tato jedna fyzická osoba a b) v případě objednatelů - právnických osob pouze jedna fyzická osoba u objednatele. 
  13. Poruší-li objednatel toto podlicenční ujednání nebo poruší-li jinou svou zákonnou či smluvní povinnost podstatným způsobem, je nakladatelství oprávněno od smlouvy s    okamžitým účinkem odstoupit a zrušit přístup objednatele k On-line produktu formou deaktivace přístupu nebo přístupového jména a hesla objednatele. 
  14. Nakladatelství nenese jakoukoli odpovědnost za správnost či úplnost obsahu On-line produktu a za případnou škodu či nemajetkovou újmu způsobenou přímo či nepřímo užitím obsahu On-line produktu. Ustanovení § 2950 zákona č. 89/2012 Sb., občanský zákoník, se na odpovědnost nakladatelství neuplatní. 
  15. Nakladatelství odpovídá za to, že dostupnost On-line produktu nebude v průměru měsíčně nižší než 90%. Tato odpovědnost se však nevztahuje na kvalitu internetového připojení poskytovaného objednateli třetími osobami. Objednatel má právo odstoupit od smlouvy s účinky do budoucna, bude-li alespoň dva po sobě následující měsíce dostupnost On-line produktu nižší než 90 %. 
  16. V případě potřeby (oznámení, reklamace, stížnosti atp.) může objednatel kontaktovat nakladatelství na emailové adrese info@dashofer.cz nebo prostřednictvím kontaktů uvedených na www.dashofer.cz.  
  17. Není-li uvedeno jinak, mohou být veškerá oznámení adresovaná objednateli nakladatelstvím činěna ve formě elektronické zprávy adresované na emailovou adresu objednatele. Nakladatelství je dále oprávněno zasílat zálohové faktury a daňové doklady objednateli elektronicky, případně poštou. 
  18. Není-li v objednávce výslovně uvedeno jinak, má se za to, že objednatel je podnikatel a objednávku činí v souvislosti se svou podnikatelskou činností. V těchto případech se na právní vztah mezi objednatelem a nakladatelstvím neuplatní ustanovení § 1799 a § 1800 zákona č. 89/2012 Sb., občanský zákoník. Zákonná práva objednatelů - spotřebitelů nejsou tímto ustanovením dotčena. 
  19. Případné soudní spory vyplývající z právních vztahů mezi objednatelem a nakladatelstvím  bude rozhodovat obecný soud místně příslušný podle sídla nakladatelství. 
  20. Tyto všeobecné obchodní podmínky pro On-line produkty tvoří nedílnou součást smlouvy. Nakladatelství je oprávněno v případě potřeby tyto VOP-O jednostranně změnit. O takovéto změně bude objednatel vždy s dostatečným časovým předstihem písemně, elektronicky emailem anebo na internetových stránkách nakladatelství informován a bude mít možnost změnu VOP-O odmítnout a smlouvu z tohoto důvodu ukončit. 
  21. V případě rozporu mezi ustanovením smlouvy a těmito VOP-O má příslušné ustanovení smlouvy před VOP-O přednost . 
  22. Společnost Verlag Dashöfer, nakladatelství,spol.s r.o. se sídlem Praha 6 - Vokovice, Evropská 423/178, PSČ 160 00, IČ: 45245681, je zapsána u Městského soudu v Praze, oddíl C, vložka 7702.


Tyto obchodní podmínky si můžete vytisknout kliknutím na následující odkaz:
http://www.dashofer.cz/vop/online/vop-online.pdf.

.

Ochrana osobních údajů a jejich používání

Ochrana soukromí je záležitostí  důvěry a vaše důvěra je pro nás důležitá. Respektujeme vaše soukromí a při zpracování vašich osobních údajů dodržujeme zákonná právní předpisy týkající se ochrany osobních údajů, zejména tzv. GDPR (nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)) (dále jen "Nařízení").

Chtěli bychom vás tímto informovat o našem nakládání s osobními údaji pro zajištění vaší informovanosti příp. pro získání souhlasu s jejich zpracováním.

1. Data a jejich využití 

Verlag Dashöfer, nakladatelství spol s r.o. jakožto Správce zpracovává osobní údaje za tímto účelem:

 

 

 

 

Výše uvedené údaje zpracováváme po dobu aktivní objednané služby a po dobu 5 let od ukončení objednané služby nebo nákupu singulárního produktu, nepožaduje-li právní předpis uchování smluvní dokumentace po dobu delší. V případě zpracování osobních údajů na základě uděleného dobrovolného souhlasu po dobu 5 let od udělení souhlasu.

Aktuální seznam našich zpracovatelů můžete nalézt zde.

2. Zabezpečení dat 

Ochrana vašich údajů je pro nás klíčová, proto vynakládáme maximální úsilí pro zajištění jejich bezpečnosti. Plně využíváme technická i organizační opatření pro prevenci neoprávněného přístupu k těmto datům a zamezení jejich zničení nebo zneužití. Způsoby zabezpečení vašich dat jsou také pravidelně kontrolovány.

Při zpracování údajů v plné míře využíváme možností pseudonymizace a anonymizace, abychom co nejvíce posílili jejich zabezpečení.   

 

3. Práva subjektů

Nad svými osobními údaji neztrácíte kontrolu. Můžete k nim kdykoliv přistupovat nebo je opravit. Jako subjekt zpracování osobních dat máte také následující práva: právo na potvrzení o zpracování a informace o tom, jaké osobní údaje o vás zpracováváme, na opravu, výmaz (pokud se nejedná o osobní údaje, které jsme povinni nebo oprávněni dále zpracovávat dle příslušných právních předpisů), omezení zpracování, přenos osobních údajů, námitku proti zpracování, podat stížnost u dozorového úřadu(ÚOOÚ), na účinnou soudní ochranu, pokud máte za to, že vaše práva podle Nařízení byla porušena v důsledku zpracování vašich osobních údajů v rozporu s tímto Nařízením. V případě zpracování na základě uděleného dobrovolného souhlasu máte také právo kdykoliv tento souhlas vzít zpět. 

V případě dalších dotazů ohledně zpracování osobních údajů nás můžete kontaktovat na info@dashofer.cz