PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ

SPOLEČNOSTI

GIRITON Systems s.r.o.



Vážení,

dovolujeme si Vás informovat o zásadách a postupech při zpracování osobních údajů, které probíhá v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“).

Definice pojmů „Objednatel“, „Aplikace“, „Smlouva“ a „Můj účet“ je uvedena ve Všeobecných obchodních podmínkách užívání systému DOCHÁZKA GIRITON, které jsou dostupné zde: https://giriton.com/assets/obchodni-podminky-dochazka-giriton.pdf .



  1. ZÁKLADNÍ INFORMACE

Identifikační a kontaktní údaje správce: GIRITON Systems s.r.o., IČO 28652240, se sídlem Havířov - Prostřední Suchá, Hornosušská 1399/4b, PSČ 73564, kontaktní adresa: Purkyňova 127, Brno, 61200, společnost zapsaná v obchodním rejstříku u Krajského soudu v Ostravě, oddíl C, vložka 37041 (dále též „Poskytovatel“), kontaktní e-mail: info@giriton.com.

Pověřenec pro ochranu osobních údajů: Poskytovatel nejmenoval pověřence pro ochranu osobních údajů.

Předání osobních údajů do třetí země nebo mezinárodní organizace: Poskytovatel předává osobní údaje do třetích zemí, avšak pouze společnostem, které zajistí odpovídající úroveň ochrany osobních údajů.Tyto společnosti vystupují pouze v pozici zpracovatelů osobních údajů.

Automatizované individuální rozhodování: Poskytovatel neprovádí automatizované individuální rozhodování ani profilování.

Informace o povaze poskytnutí údajů: Jsou-li osobní údaje zpracovávány za účelem plnění smlouvy nebo plnění právních povinností, je poskytnutí údajů zákonným požadavkem. Jsou-li osobní údaje zpracovávány na základě souhlasu subjekt údajů, je poskytnutí údajů smluvním požadavkem.

Dozorový úřad: Dozorovým úřadem v místě sídla Poskytovatele je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: 234 665 125.



  1. POSKYTOVATEL JAKO SPRÁVCE OSOBNÍCH ÚDAJŮ

Poskytovatel vystupuje v pozici správce osobních údajů ve vztahu k osobním údajům Objednatelů a fyzických osob, které navštíví webovou stránku www.giriton.com.

Účel zpracování: Za účelem plnění smlouvy nebo plnění právních povinností Poskytovatel zpracovává zejména: jméno, příjmení, název, datum narození, identifikační číslo, bydliště/sídlo, telefon, e-mail.

Poskytovatel dále zpracovává údaje, které získá od Objednatele a dalších fyzických osob tím, že používají Aplikaci nebo navštíví webovou stránku www.giriton.com: IP adresa, příp. jiné online identifikátory.

V případě, že má Poskytovatel v úmyslu zpracovávat jiný osobní údaj, než je uvedený v tomto článku, případně pro jiné účely, může tak činit pouze na základě platně uděleného souhlasu se zpracováním osobních údajů. Souhlas se zpracováním osobních údajů uděluje subjekt údajů na samostatné listině.

Doba zpracovávání údajů: Osobní údaje Objednatelů Poskytovatel zpracovává po dobu trvání smluvního vztahu a následně po dobu maximálně 1 roku od ukončení smluvního vztahu. Osobní údaje zpracovávané pro plnění povinností, které vyplývají ze zvláštních právních předpisů, Poskytovatel zpracovává po dobu stanovenou těmito právními předpisy. V případě potřeby použití osobních údajů pro ochranu oprávněných zájmu Poskytovatele, Poskytovatel zpracovává po dobu nezbytnou k uplatnění těchto práv.

Zdroje osobních údajů: Poskytovatel získává osobní údaje přímo od subjektů údajů v rámci jednání o uzavření Smlouvy. Poskytovatel vždy informuje subjekty údajů, které z osobních údajů musí pro účely plnění Smlouvy poskytnout.



  1. POSKYTOVATEL JAKO ZPRACOVATEL OSOBNÍCH ÚDAJŮ

Poskytovatel poskytuje Objednateli datový prostor pro účely uložení dat provozovaných v rámci Aplikace, a to na serverech Poskytovatele, též v hostingovém centru. Součástí dat Objednatele mohou být též osobní údaje fyzických osob. Ve vztahu k osobním údajům, které Objednatel uloží na servery Poskytovatele, příp. též v hostingovém centru, vystupuje Poskytovatel v pozici zpracovatele osobních údajů. Správcem těchto osobních údajů je Objednatel.

Upozornění pro koncové uživatele: Aplikace je určena mj. pro použití ve společnostech nebo u fyzických podnikajících osob v pozici Objednatele. Využívání Aplikace může podléhat zásadám a pravidlům daného Objednatele, pokud takové zásady existují. Pokud Objednatel zpracovává osobní údaje fyzických osob za pomocí Aplikace, s dotazy ohledně ochrany osobních údajů se subjekty údajů musí obracet na Objednatele, neboť ten je v pozici správce osobních údajů. Poskytovatel nezodpovídá za zásady ochrany osobních údajů nebo postupy zabezpečení používané Objednatelem, které se mohou lišit od těchto Pravidel ochrany osobních údajů.

Účel zpracování a nakládání s daty: Poskytovatel neprovádí s daty Objednatele včetně osobních údajů jakékoliv operace, vyjma jejich uložení na serverech Poskytovatele, popř. v hostingovém centru, zejména do nich nezasahuje, nepozměňuje je, nezpřístupňuje ani je nepředává třetím osobám (vyjma jejich zpřístupnění státním orgánům v souladu se zákonem), pokud se smluvní strany nedohodnou jinak. Jediným účelem nakládání s těmito osobními údaji jejich uchovávání a možnost zpřístupnění Objednateli.

Typ zpracovávaných osobních údajů: Jméno, příjmení, informace týkající se doby příchodu a odchodu do zaměstnání, GPS pozice uložená k záznamu docházky, snímek otisku prstů v podobě, ze které nelze otisk obnovit, GPS pozice v průběhu celé služební cesty, fotografie, rodné číslo, pracovní pozice, typ pracovního poměru, adresa bydliště, telefon, e-mail, číslo bankovního účtu, hodinová či měsíční odměna apod. Osobní údaje týkajících se rozsudků v trestních věcech a trestných činů Poskytovatel nezpracovává. Poskytovatel nezpracovává žádný osobní údaj zvláštní kategorie dle čl. 9 GDPR kromě výše uvedených.

Záznam polohy. Aplikace může shromažďovat a využívat údaje o poloze koncových uživatelů a to i v případě, že je Aplikace na mobilním telefonu neběží v popředí, podle toho, jaké funkce v Aplikaci koncový uživatel aktivuje. Děje se tak v případě, že v Aplikaci je aktivována jedna z následujících funkcí:

  1. Automatická Geofence docházka“, kdy mobilní telefon zpracovává polohu uživatele na pozadí, přičemž v okamžiku vstoupení či vystoupení z perimetru zadaného Objednatelem zašle mobilní telefon jednorázově informaci o vstupu či výstupu z daného perimetru, doplněnou o záznam polohy telefonu v okamžiku vstupu či výstupu. Nedochází k zaznamenávání či odesílání průběžné polohy mobilního telefonu koncového uživatele;

  2. GPS“, kdy ke každé vložené docházce do systému GIRITON bude vložena informace o aktuální poloze zaznamenané v okamžiku vložení docházky;

  3. GPS“ za současného spuštění aktivity „Služební cesta“ z mobilní aplikace, kdy poloha koncového uživatele je zaznamenávána po celou dobu, po kterou je aktivita “Služební cesta” spuštěna. Průběžné poloha ze služební cesty je odesílána do systému Docházka GIRITON. Aplikace po celou dobu, po kterou je aktivita spuštěna a průběžně odesílá polohu koncového uživatele, zobrazuje notifikaci informující o probíhajícím záznamu polohy, a to i v případě, že Aplikace na telefonu neběží v popředí.

Záznam polohy je využit výlučně pro výše uvedené účely, je dostupný pouze koncovému uživateli a Objednateli a není předáván třetím stranám.

Kategorie subjektů údajů, jejichž osobní údaje budou zpracovávány: Zaměstnanci Objednatele a další fyzické osoby, se kterými je Objednatel ve smluvním vztahu.

Doba trvání zpracovávání osobních údajů: Poskytovatel zpracovává osobní údaje po dobu trvání Smlouvy. Poskytovatel po uplynutí lhůty 30 dnů od ukončení Smlouvy smaže (odstraní) veškerá data Objednatele, které ke dni ukončení jsou uloženy na serverech Poskytovatele (též v hostingových centrech) nebo jiných nosičích dat.



  1. PŘÍJEMCI OSOBNÍCH ÚDAJŮ

Poskytovatel nepředává osobní údaje žádným jiným správcům.

Zpracovateli osobních údajů jsou:

Oblast spolupráce

Identifikace zpracovatele

Microsoft Azure
Cloudové služby

Microsoft Ireland Operations Ltd, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Ireland. VAT: IE8256796U

Fakturoid
Fakturace a účetnictví

Fakturoid s.r.o., V pláni 532/7, 142 00 Praha - Lhotka, Czech Republic. IČ: 04656679

Google
Emailing: Přijatá a odeslaná komunikace

Google Ireland Ltd, Gordon House, Barrow Street, Dublin 4, Ireland.

Mailchimp
Emailing: Newslettery

The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA

SendGrid
Emailing: Emaily odeslané z Docházky GIRITON

Twilio Inc., 375 Beale Street, Suite 300, San Francisco, CA 94105, USA



Zpracování osobních údajů mohou pro Poskytovatele provádět zpracovatelé výhradně na základě smlouvy o zpracování osobních údajů, tzn. s garancemi organizačně-technického zabezpečení těchto dat s vymezením účelu zpracování, přičemž zpracovatelé nesmí použít údaje k jiným účelům.

Osobní údaje mohou být za určitých podmínek zpřístupněny státním orgánům (soudům, policii, notářům, finančním úřadům apod., v rámci výkonu jejich zákonných pravomocí) nebo je Poskytovatel může přímo poskytnout jiným subjektům v rozsahu stanoveném zvláštním zákonem.



  1. TECHNICKÉ ZABEZPEČENÍ DAT

Poskytovatel aplikuje za účelem zabezpečení dat Objednatele proti jejich neoprávněnému nebo nahodilému zpřístupnění přiměřená a vhodná technická a organizační opatření, která jsou průběžně aktualizována. Technická opatření spočívají v nasazení technologií bránících neoprávněnému přístupu třetích osob k datům Objednatele. Za účelem maximální ochrany užívá Poskytovatel šifrování dat Objednatele, a to zejména hesel pro přihlášení do Aplikace a veškerých dat uložených na serverech Poskytovatele. Organizační opatření jsou sadou pravidel chování zaměstnanců Poskytovatele a jsou součástí vnitřních předpisů Poskytovatele, který je z bezpečnostních důvodů považuje za důvěrné. Jsou-li servery Poskytovatele umístěny v datovém centru provozovaném třetí osobou, dbá Poskytovatel na to, aby byla technická a organizační opatření zavedena i u tohoto Poskytovatele.

Poskytovatel umisťuje veškerá data pouze na serverech umístěných v Evropské unii nebo v zemích, zajišťující ochranu osobních údajů způsobem rovnocenným s ochranou zajišťovanou právními předpisy České republiky.



  1. PLATEBNÍ BRÁNY

Poskytovatel využívá platební brány třetích stran pro některé typy plateb (např. platba kreditní kartou). Pokud Objednatel využije platbu kreditní nebo debetní kartou přes PayPal nebo jinou platební metodu, ve všech případech jsou čísla platebních karet nebo jiné citlivé údaje pro platbu zpracovávány platební bránou třetí strany. Poskytovatel neuchovává čísla platebních karet ani jiné citlivé platební údaje, ani k nim nemá přístup.



  1. PRÁVA SUBJEKTŮ ÚDAJŮ

Subjekt údajů má:

  1. právo na přístup k osobním údajům: Subjekt údajů má právo získat od Poskytovatele potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobních údajům a k následujícím informacím: a) účel zpracování; b) kategorie dotčených osobních údajů; c) příjemci, kterým osobní údaje byly nebo budou zpřístupněny; d) plánovaná doba, po kterou budou osobní údaje uloženy; e) existence práva požadovat od správce opravu nebo výmaz osobních údajů nebo omezení jejich zpracování, anebo vznést námitku proti tomuto zpracování; f) právo podat stížnost u dozorového úřadu; g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů; h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování. Subjekt údajů má zároveň právo získat kopii zpracovaných osobních údajů.

  2. právo na opravu osobních údajů: Subjekt údajů má právo na to, aby Poskytovatel bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají, příp. doplnil neúplné osobní údaje.

  3. právo na výmaz osobních údajů: Subjekt údajů má právo na to, aby Poskytovatel bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, v případě, že: a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; b) subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování; c) subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo České republiky; f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti. Právo na výmaz se neuplatní, pokud je zpracování nezbytné pro splnění právních povinností, pro určení, výkon nebo obhajobu právních nároků a v dalších případech stanovených v GDPR.

  4. právo na omezení zpracování: Subjekt údajů má právo na to, aby Poskytovatel omezil zpracování, v kterémkoli z těchto případů: a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby Poskytovatel mohl přesnost osobních údajů ověřit; b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití; c) Poskytovatel již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků; d) subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody Poskytovatele převažují nad oprávněnými důvody subjektu údajů.

  5. právo vznést námitku proti zpracování: Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají a které Poskytovatel zpracovává z důvodu jeho oprávněného zájmu. Poskytovatel v takovém případě osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

  6. právo na přenositelnost údajů: Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl Poskytovateli, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu Poskytovatel bránil, a to v případě, že: a) zpracování je založeno na souhlasu a b) zpracování se provádí automatizovaně. Při výkonu svého práva na přenositelnost údajů má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

  7. právo podat stížnost u dozorového úřadu: Pokud se subjekt údajů domnívá, že Poskytovatel nezpracovává jeho osobní údaje zákonným způsobem, má právo podat stížnost u dozorového úřadu, zejména ve státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení pravidel zpracování osobních údajů.

  8. právo na informace ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování: Poskytovatel je povinen oznamovat jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Pokud to subjekt údajů požaduje, Poskytovatel informuje subjekt údajů o těchto příjemcích.

  9. právo být informován v případě porušení zabezpečení osobních údajů: Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Poskytovatel toto porušení bez zbytečného odkladu subjektu údajů.

  10. právo odvolat souhlas se zpracováním osobních údajů: V případě, že Poskytovatel zpracovává některý z osobních údajů na základě souhlasu, má subjekt údajů právo svůj souhlas se zpracováním osobních údajů kdykoliv písemně odvolat, a to zasláním nesouhlasu se zpracováním osobních údajů na e-mailovou adresu info@giriton.com.

  1. SOUBORY COOKIE

Poskytovatel používá soubory cookie, malé textové soubory, které identifikují uživatele webové stránky www.giriton.com a nahrávají jeho uživatelské aktivity. Text v souboru cookie je často tvořen řadou čísel a písmen, které jednoznačně identifikují počítač uživatele, neposkytují však žádné konkrétní osobní údaje o uživateli.

Webová stránka www.giriton.com automaticky identifikuje IP adresu uživatele. IP adresa je číslo automaticky přidělené počítači uživatele po připojení k internetu. Všechny tyto informace jsou zaznamenávány v souboru činnosti serverem, který umožňuje následné zpracování údajů.

Účel užívání cookies: Poskytovatel používá soubory cookie a podobné technologie k několika účelům, mezi které patří:

  • Přihlášení a ověření. Jakmile Objednatel použije funkci zapamatování přihlášení do Aplikace, dojde na jeho zařízení k uložení šifrovaného souboru cookie, který umožní přecházet mezi stránkami webu bez nutnosti se opakovaně přihlašovat.

  • Zabezpečení. Poskytovatel používá soubory cookie k odhalování podvodů a zneužití webové stránky www.giriton.com a Aplikace.

  • Analýza. Poskytovatel používá soubory cookie a jiné identifikátory za účelem shromažďování údajů o používání a výkonu webové stránky www.giriton.com.

Na webové stránce www.giriton.com mohou být také umístěny soubory cookie třetích stran. Může se tak jednat například proto, že Poskytovatel pověřil třetí stranu např. analýzou stránek. Poskytovatel využívá následující poskytovatele služeb:

  • Služba Google Analytics - společnost Google

  • Služba Smartsupp – společnost Smartsupp.com, s.r.o., IČ 03668681, Milady Horákové 1957/13, Černá Pole, Brno 602 00, Czech Republic.

  • Služba Leady.cz - společnost IMPER CZ, s.r.o. IČ 28547888, Viktora Huga 359/6, Praha 5, 15000, Czech Republic

Nastavení cookie: Většina webových prohlížečů přijímá soubory cookie automaticky. Poskytují však ovládací prvky, které umožňují jejich blokování nebo odstranění. Uživatelé webové stránky www.giriton.com jsou tak oprávněni nastavit svůj prohlížeč tak, aby bylo používání cookie na jejich počítači zabráněno. Pokyny k blokování nebo odstraňování souborů cookie v prohlížečích lze zpravidla nalézt v dokumentaci nápovědy jednotlivých prohlížečů.



  1. ZÁVĚREČNÁ USTANOVENÍ

Uzavřením Smlouvy Objednatel potvrzuje, že se s těmito Pravidly ochrany osobních údajů seznámil.

Tato Pravidla ochrany osobních údajů bude Poskytovatel v případě potřeby aktualizovat. Aktuální verze Pravidel ochrany osobních údajů bude vždy dostupná na webové stránce www.giriton.com. Dojde-li v těchto Pravidlech ochrany osobních údajů k podstatné změně ve způsobech nakládání s osobními údaji, Poskytovatel Objednatele informuje tak, že před implementací těchto změn Poskytovatel viditelně zveřejní upozornění. Poskytovatel doporučuje Pravidla ochrany osobních údajů při využívání Aplikace nebo webové stránky www.giriton.com průběžně kontrolovat.