PODMÍNKY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
vydané v souladu s nařízením Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“)
Czech Airlines Handling, a. s., se sídlem, Praha 6, Aviatická 1017/2, PSČ 160 08, IČO: 256 74 285, zapsaná
v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 17139 (dále jen „Zpracovatel“), je obchodní společností podnikající v oblasti pozemního odbavení letadel a cestujících a rovněž poskytující služby kontaktního centra. Zpracovatel na základě individuálních objednávek smluvního partnera (dále jen „Správce“) poskytuje Správci služby v oblasti pozemního odbavení letadel a cestujících, a/nebo v ticketingových službách, a/nebo ve službách kontaktního centra, a/nebo v jiných souvisejících službách (dále jen „Služba“); při této Službě dochází ke zpracování osobních údajů. V souladu s Nařízením zpracovává Zpracovatel na základě pověření pro Správce osobní údaje, a to podle níže uvedených podmínek:
1. DEFINICE POJMŮ
1.1. „Osobní údaj" znamená informace o identifikované nebo identifikovatelné fyzické osobě (subjekt údajů) zpracovávané za účelem poskytnutí Služby v rozsahu stanoveném těmito Podmínkami zpracování osobních údajů;
1.2. „Služba“ znamená službu odbavení letadel a cestujících, a/nebo ticketingovou službu, a/nebo službu kontaktního centra, a/nebo jinou související službu, při jejímž poskytování dochází ke zpracování osobních údajů.
1.3. „Subjekt údajů“ znamená fyzickou osobu, k níž se Osobní údaje vztahují. Kategorií subjektů údajů, jejichž osobní údaje jsou předmětem zpracování, jsou pak pro účely těchto Podmínek zpracování osobních údajů zákazníci Správce;
1.4. „Subzpracovatel“ znamená fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt (s výjimkou zaměstnance Zpracovatele), který zpracovává Osobní údaje na základě pověření Zpracovatelem pro Správce;
1.5. „Správce“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;
1.6. „Úřad" znamená Úřad pro ochranu osobních údajů;
1.7. „Zpracování osobních údajů“ znamená jakoukoliv operaci s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
1.8. „Zpracovatel“ je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
2. PŘEDMĚT ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ, KATEGORIE SUBJEKTU ÚDAJŮ A TYP OSOBNÍCH ÚDAJŮ
2.1. Předmětem zpracování jsou osobní údaje Subjektu údajů, které Správce předal Zpracovateli za účelem splnění Služby, kterou Zpracovatel Správci poskytuje, nebo které Zpracovatel z jeho podnětu zpracovává.
2.2. Rozsah zpracovávaných Osobních údajů ve vztahu k jednotlivým Subjektům údajů je následující:
2.2.1. Jméno a příjmení;
2.2.2. Číslo cestovního dokladu;
2.2.3. Adresa bydliště;
2.2.4. Datum a místo narození;
2.2.5. Rodné číslo;
2.2.6. Telefonní číslo;
2.2.7. Emailová adresa;
2.2.8. Číslo kreditní karty.
Zpracovatel se zavazuje zpracovávat Osobní údaje pouze ve výše uvedeném rozsahu, nezbytném pro poskytnutí Služby.
2.3. Správce je oprávněn zpracovávat výše uvedené Osobní údaje na základě čl. 6 odst. 1 písm. b) Nařízení, neboť Zpracování osobních údajů je nezbytné pro plnění smlouvy, jejíž smluvní stranou je Subjekt údajů.
2.4. Zpracovávané Osobní údaje nebudou zvláštní kategorií údajů ve smyslu čl. 9 Nařízení.
3. ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A DOBA ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
3.1. Zpracovatel provádí Zpracování osobních údajů výhradně za účelem poskytnutí Služby.
3.2. Zpracovatel se zavazuje zpracovávat a uchovávat Osobní údaje jen po nezbytně nutnou dobu, nejdéle však po vyřizování dané objednávky.
3.3. Zpracovatel není oprávněn zpracovávat Osobní údaje po skončení doby této doby. Pokud Zpracovatel provádí Zpracování osobních údajů pro skončení takto určené doby, nečiní tak na základě pověření Správce, Správce nenese za takové Zpracování osobních údajů odpovědnost a Zpracovatel je ve vztahu k těmto Osobním údajům v postavení správce osobních údajů podle Nařízení.
3.4. Zpracovatel se zavazuje v případě, že pomine důvod pro Zpracování osobních údajů naložit s Osobními údaji Subjektu údajů v souladu s rozhodnutím Správce, tj. zejména dle pokynů Správce příslušné Osobní údaje vrátí Správci či je vymaže, a to včetně kopií, a v případě, že to nebude možné, zajistí blokaci Osobních údajů takovým způsobem, aby Osobní údaje nebyly dále přístupné a nemohly být dále zpracovávány. Tímto ujednáním není dotčeno uchovávání Osobních údajů z důvodu plnění povinností podle Nařízení.
4. PROSTŘEDKY A ZPŮSOB ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ
4.1. Osobní údaje budou zpracovávány pouze pověřenými zaměstnanci Zpracovatele, jeho automatizovanými systémy i manuálním způsobem, v písemné nebo elektronické podobě.
4.2. Zpracování Osobních údajů je prováděno prostřednictvím technických zařízení a programového vybavení, přičemž se Zpracovatel zavazuje zajistit dodržení podmínek stanovených Nařízením.
4.3. Osobní údaje budou předávány elektronickým způsobem; ve výjimečných případech, je-li to nezbytné, je možné předávání v listinné podobě. Zpracovatel takto poskytnuté Osobní údaje dočasně uloží na nosič dat a dále je používá a uchovává pouze za účelem poskytnutí Služby, a to po stanovenou dobu Zpracování osobních údajů.
5. PRÁVA A POVINNOSTI SPRÁVCE
5.1. Správce zpracovává Osobní údaje v souladu s Nařízením.
5.2. Správce je povinen zajistit získání Souhlasu Subjektu údajů, pokud je ke Zpracování osobních údajů nezbytné získat tento Souhlas.
5.3. Správce je povinen informovat Subjekty údajů o Zpracování osobních údajů v okamžiku získání jejich Osobních údajů.
5.4. Správce je povinen informovat Zpracovatele, pokud zjistí, že Osobní údaje jsou nepřesné a dát Zpracovateli pokyn k opravě nepřesných Osobních údajů.
5.5. Správce je povinen určit zaměstnance a další osoby, které mají mít přístup k Osobním údajům, včetně sdělení rozsahu v jakém mají mít tyto osoby přístup k Osobním údajům. Správce je dále povinen bezodkladně sdělit Zpracovateli jakoukoliv změnu týkající se těchto osob.
5.6. Správce má povinnost vyřizovat žádosti Subjektů údajů o výkon práv vyplývajících z Nařízení.
6. PRÁVA A POVINNOSTI ZPRACOVATELE
6.1. Zpracovatel disponuje vhodnými technickými prostředky a organizačními opatřeními v takovém rozsahu, který umožní, aby dané Zpracování osobních údajů splňovalo požadavky podle Nařízení a aby byla zajištěna ochrana práv Subjektu údajů.
6.2. Zpracovatel se zavazuje přijmout a soustavně dodržovat a kontrolovat veškerá opatření nezbytná pro zajištění ochrany Osobních údajů, zejména proti neoprávněnému a nahodilému přístupu k Osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití Osobních údajů.
6.3. Zpracovatel Zpracovává osobní údaje pouze na základě doložených pokynů Správce. Zpracovatel se řídí pokyny Správce i v oblasti předávání osobních údajů do třetích zemí nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropská unie nebo členského státu Evropské unie, které se na Správce vztahuje; v takovém případě Zpracovatel Správce informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu.
6.4. Pokud by pokyny Správce byly v rozporu s příslušnými ustanoveními Nařízení nebo jiných právních předpisů, je Zpracovatel povinen na tuto skutečnost Správce upozornit, takové pokyny neplnit a dále postupovat v souladu s příslušnými ustanoveními Nařízení.
6.5. Zpracovatel se zavazuje poskytovat Správci součinnost při plnění jeho povinnosti vyřizovat žádosti Subjektu údajů o výkon práv vyplývajících z Nařízení. Zpracovatel je rovněž Správci nápomocen při zavádění a udržování vhodných technických a organizačních opatření k zabezpečení osobních údajů, při posuzování vlivu na ochranu osobních údajů a rovněž při předchozích konzultacích s Úřadem.
6.6. Zpracovatel nesmí sdružovat Osobní údaje zpracovávané na základě těchto Podmínek zpracování osobních údajů s jakýmikoli dalšími Osobními údaji, získanými nebo zpracovávanými pro jiný účel.
6.7. Zpracovatel je povinen dbát práva na ochranu soukromého a osobního života Subjektu údajů a na ochranu před neoprávněným zasahováním do soukromého a osobního života Subjektu údajů.
6.8. Zpracovatel zajistí, aby osoby, jejichž prostřednictvím poskytuje Službu, a které přicházejí do styku s poskytovanými Osobními údaji, zachovávaly mlčenlivost o těchto údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení těchto Osobních údajů.
6.9. Zpracovatel se zavazuje Správci neprodleně oznámit jakékoliv porušení zabezpečení Osobních údajů, avšak nejpozději do 48 hodin od okamžiku, kdy se o takovém porušení Zpracovatel dozvěděl. Součástí oznámení o porušení zabezpečení Zpracovatel zejména uvede:
6.9.1. popis povahy daného případu porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného počtu dotčených záznamů Osobních údajů;
6.9.2. popis pravděpodobných důsledků porušení zabezpečení Osobních údajů; a
6.9.3. popis opatření, která Zpracovatel přijal nebo navrhuje přijmout s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů. Není-li možné poskytnout informace pod písm. (i) až (iii) současně, mohou být poskytnuty Zpracovatelem postupně bez dalšího zbytečného odkladu.
7. SUBZPRACOVATEL
7.1. Zpracovatel může i nadále využívat služeb Subzpracovatelů, kteří provádí Zpracování, pokud splní povinnosti stanovené Nařízením.
7.2. Pokud Zpracovatel sjedná se Subzpracovatelem Zpracování Osobních údajů jménem Správce, je povinen uzavřít se Subzpracovatelem smlouvu nebo jiný právní akt v rámci Evropské unie, jež zakládá stejná práva a povinnosti ve vztahu k ochraně Osobních údajů jako jsou stanovené v této Smlouvě. Jedná se zejména o poskytnutí dostatečných záruk pro provedení vhodných technických a organizačních opatření tak, aby zpracování odpovídalo požadavkům Nařízení. Pokud Subzpracovatel nesplní své povinnosti týkající se Ochrany údajů, Zpracovatel zůstává plně odpovědný Správci za plnění těchto povinností Subzpracovatele.
8. AUDIT, NÁHRADA ÚJMY
8.1. Zpracovatel se zavazuje poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti Zpracovatele, a za tímto účelem se zavazuje umožnit Správci provedení auditů, včetně inspekcí prováděných Správcem či auditorem, kterého Správce k auditu pověří, a poskytne k těmto auditům veškerou potřebnou součinnost. Zpracovatel je povinen Správci zpřístupnit veškerou potřebnou dokumentaci pro účely auditu, zejména výčet technických a organizačních opatření. Zpracovatel je dále povinen umožnit provedení kontroly podle situace i ze strany Úřadu a jiných dozorových orgánů.
8.2. Zpracovatel se zavazuje poskytnout Správci veškerou součinnost požadovanou Správcem při styku a jednáních s Úřadem, případně dalšími příslušnými úřady a správními orgány.
8.3. Správce je odpovědný za újmu, kterou způsobí Zpracováním osobních údajů, jež porušuje Nařízení.
8.4. Zpracovatel je za újmu způsobenou zpracováním odpovědný pouze v případě, že:
8.4.1. nesplnil povinnosti stanovené těmito Podmínkami zpracování osobních údajů;
8.4.2. nesplnil povinnosti stanovené Nařízením pro zpracovatele osobních údajů;
8.4.3. jednal nad rámec pokynů Správce nebo v rozporu s nimi.
8.5. Zpracovatel se zprostí odpovědnosti za újmu, pokud prokáže, že nenese žádným způsobem odpovědnost za událost, která ke vzniku újmy vedla.
9. ZÁVĚREČNÁ USTANOVENÍ
9.1. Podmínky zpracování osobních údajů nabývají platnosti a účinnosti okamžikem poskytnutí Služby Správci.
9.2. Správce i Zpracovatel prohlašují a potvrzují, že se Podmínkami zpracování osobních údajů seznámili a souhlasí s jejích obsahem, jejich závazností, a zavazují se tyto podmínky bez jakýchkoliv výhrad dodržovat.
9.3. Veškeré právní vztahy mezi Správcem a Zpracovatelem vzniklé na základě nebo v souvislosti s poskytováním Služeb Správci se řídí právem České republiky, Vznikne-li z právního vztahu mezi Správcem a Zpracovatelem spor, je k řešení tohoto sporu příslušný soud České republiky. Místní příslušnost v rámci České republiky bude určena dle sídla Zpracovatele.
