I. Práva a povinnosti subjektu údajů
Subjekt údajů má právo na to být informován o zpracování jeho osobních údajů. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů. Za tímto účelem stvrzuje svým podpisem cestovní smlouvy, jejíž součástí jsou i Všeobecné obchodní podmínky, že se řádně seznámil s „Poučením zákazníka o právech v souvislosti s ochranou osobních údajů a jejich nakládáním ze strany CK PURA VIDA TRAVELí“ (dostupné na www.puravidatravel.cz.).
Zákazník je pro účel tohoto dokumentu definován jako osoba, která uzavřela smluvní vztah o poskytnutí produktu firmy CK PURA VIDA TRAVEL (dále jen „firma“), například cestovní smlouvu.
Podpisem cestovním smlouvy se zákazník, jako subjekt údajů, rovněž zavazuje a přijímá povinnost informovat a seznámit spolucestující uvedené na stejné cestovní smlouvě o právech subjektu v souvislosti s ochranou osobních údajů subjektu a řádně je o této problematice poučit.
Mezi další práva subjektu údajů, která jsou založena na aktivitě subjektu údajů, patří právo na přístup k osobním údajům, právo na opravu, resp. doplnění, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodování. Totožným podpisem bere zákazník na vědomí
Výmazem osobních údajů je myšlen výmaz těch údajů, k jejichž zpracování dal zákazník explicitní souhlas ve smyslu odsouhlasení a podepsání dokumentu „Souhlas se zpracováním osobních údajů“. V žádném případě tak není dotčeno plnění smluvního závazku, tj. realizace zájezdu a účasti zákazníka na zájezdu.
Stejně tak v žádném případě výmaz nezamezuje firmě CK PURA VIDA TRAVEL s. r. o., aby nadále nakládala se všemi nezbytnými údaji (definice viz bod „2“) za účely uvedenými v odstavci (1) a (2) bodu „2“, tj. například za účelem realizace zájezdu.
Subjekt údajů má dále právo kontaktovat dozorový orgán (Úřad pro ochranu osobních údajů) v případě podezření, že dochází k neoprávněnému nakládání s jeho osobními údaji, nebo že bylo odmítnuto zajištění nápravy situace, která je v rozporu s právními předpisy.
Subjekt údajů může správci nahlásit písemně na adresu správce, na email ck@puravidatravel.cz. Jakoukoli pochybnost, výhradu či stížnost v souvislosti s nakládáním a zpracováním osobních údajů ze strany správce, přičemž povinností správce je odpovědět do 1 měsíce (30 dnů).
2. Nakládání s osobními údaji zákazníků firmy
Zákazník je v postavení subjektu údajů. Firma, respektive její zaměstnanci nakládají s údaji zákazníka, tj. subjektu údajů, v souladu se všemi platnými právními předpisy včetně Nařízení. Nakládáním se rozumí veškeré úkony súdaji včetně jejich řádné evidence, uchování, zabezpečení, ochrany, likvidaci a dalších nezbytných úkonů a to výhradně za níže uvedenými účely.
Zpracování osobních údajů firmou probíhá výhradně v souladu s ustanovením čl. 6, Nařízení, jenž definuje, že údaje mohou být zpracovány pouze z následujících právních důvodů:
a) Subjekt (zákazník) udělá souhlas se zpracováním osobních údajů;
b) Zpracování, které je nezbytné pro splnění smlouvy;
c) Zpracování, které je nezbytné pro splnění právní povinnosti, která se vztahuje na správce;
d) Zpracování, které je nezbytné pro účely oprávněných zájmů správce.
Osobní údaje zákazníka jsou firmou, respektive jejími zaměstnanci, zpracovávány a využívány pouze za účelem:
1. realizace zájezdu a plnění zákonné archivační povinnosti;
2. zasílání obecných marketingových sdělení zákazníkům;
3. zařazení do věrnostních slevových programů, zasílání katalogů a dalších druhů nabídek
produktů pro vhodný vzorek klientů
1. Zpracování osobních údajů za účelem realizace zájezdu nepodléhá nutnosti souhlasu zákazníka, neboť tento účel zpracování je zákonným důvodem pro zpracování údajů. Za tímto účelem je možné zpracovávat pouze nezbytné údaje. Vzávislosti na konkrétním produktu, zejména v závislosti na destinaci a typu zájezdů, je množina nezbytných údajů odlišná. Vždy platí, že nezbytným údajem pro realizaci zájezdu, tj. dodržení smluvního ujednání mezi firmou zákazníkem, je jméno, příjmení, datum narození, kontaktní údaje (za účelem informací o podrobných pokynech k zájezdu, možnosti kontaktovat zákazníka v nouzové situaci apod., dále jen „kontaktní údaje“), tj. adresa bydliště, telefonní číslo, email. V případech, kdy je zapotřebí dalších údajů nad rámec výše uvedených, je pracovník firmy povinen informovat zákazníka o účelu zpracování tohoto údaje, přičemž vždy platí, že tímto účelem je opět nezbytnost tohoto údaje pro realizaci zájezdu. U části leteckých zájezdů se může například jednat o číslo cestovního dokladu, u zprostředkování vstupních povolení a víz pak rovněž o kopii cestovního dokladu aj. Dle platných právních nařízení pak firma zajišťuje plnění zákonné archivační povinnosti. Tento bod odpovídá bodu b) čl. 6, Nařízení.
2. Zpracování osobních údajů, konkrétně jméno, příjmení, datum narození a kontaktní údaje zákazníků používá firma za účelem vytváření interních databází kontaktů, pro zasílání obecných marketingových sdělení zákazníkům či vpřípadě, že je zájezd objednán pro třetí osobu. Zpracování údajů za účely, které jsou v tomto bodě uvedeny, rovněž nepodléhá nutnosti souhlasu zákazníka, neboť se jedná o zákonný důvod zpracování údajů dle bodu d) čl. 6, Nařízení.
3. Zpracování osobních údajů za účelem umožnění zařadit klienta do věrnostního programu, optimalizovat marketingové nabídky za účelem minimalizace negativních dopadů na zákazníka ve smyslu zasílání (pro daného zákazníka) zbytečných obecných marketingových sdělení, za účelem umožnění nabídnout zákazníkovi věrnostní slevy a z pohledu firmy rovněž oslovení vhodného vzorku zákazníků (například v závislosti na preferovaných destinacích, produktů apod.). Zpracování osobních údajů za účelem uvedeným v tomto bodě podléhá explicitnímu souhlasu zákazníka se zpracováním osobních údajů za tímto účelem, přičemž, má-li zákazník o zpracování údajů pro tento účel zájem, může tak učinit při podpisu cestovní smlouvy na základě podpisu dalšího dokumentu s názvem „Souhlas se zpracováním osobních údajů“ dostupného též v elektronické formě na www.puravidatravel.cz. Tento dokument není v žádném případě součástí cestovní smlouvy a jeho odsouhlasení, tudíž není za účelem realizace zájezdu a účasti zákazníka na tomto zájezdu povinné. V případě, že souhlas ke zpracování údajů za účely uvedenými v tomto bodě zákazní udělí, má právo jej kdykoli zrušit a firma neprodleně provede výmaz těchto údajů respektive nebude s údaji (jenž by například byly shodné s údaji, jenž firma musí zachovat za jiným zákonným účelem – například realizace zájezdu) zacházet pro účely uvedené v tomto bodě.
Výše uvedené údaje firma a její zaměstnanci řádně uschovávají a evidují.
Firma a její zaměstnanci pak údaje z těchto databází využívají výhradně pro výše uvedené účely v bodech v odstavci (1) a (2) bodu „IV“ a, byl-li zákazníkem udělen souhlas, také pro účely uvedené v odstavci (3) bodu „IV“. Za stejnými účely a na základě stejných kritérií pak firma a zaměstnanci nakládají s veškerými fyzickými dokumenty, na kterých jsou údaje uvedeny. Tyto fyzické dokumenty (tištěné cestovní smlouvy, seznamy zákazníků pro daný produkt, zasedací pořádek při přepravě, rozdělení zákazníků na ubytování, seznamy zákazníků využívajících firmou zprostředkované cestovní pojištění apod.) jsou bezpečně uchovávané v uzamykatelných prostorách (skříně, zásuvky, apod.) a stejně jako údaje uchované v elektronické podobně jsou využívány pouze a jedině v nezbytném rozsahu za výše uvedenými účely a firma a jejich zaměstnanci je využívají pouze pro konkrétní úkony umožňující naplnění daného účelu (například údaje využijí pro vytvoření seznamu klientů s kontaktními údaji pro případ nouzových situací v průběhu zájezdu apod.) a okamžitě poté zajistí, aby byly údaje opět znepřístupněny, tj. zpět uloženy do uzamykatelných prostor a v případě elektronické databáze se osoba nakládající s těmito údaji řádně odhlásila ze systému a předešla tak možnému přístupu k údajům neoprávněné osobě. Zabezpečení prostor, kde jsou údaje ve fyzické podobě uchovány jsou navíc střeženy nepřetržitým kamerovým snímáním.
Po uplynutí nezbytné doby pro zpracování údajů, jenž je určena zejména zákonnou povinností archivovat údaje po dobu, kterou stanovuje právní předpis, dále pak po dobu, která je nezbytná pro účely, jenž jsou zákonnými důvody pro zpracování údajů (tj. případy uvedené v odstavci (1) a (2) bodu „2“). V případě, že je zákazníkem udělen souhlas ke zpracování údajů za účelem uvedeném v odstavci (3) bodu „2“, je tato doba 5 let, přičemž tato doba může být na žádost zákazníka kdykoli zkrácena, respektive zpracování údajů může být za tímto účelem na základě žádosti okamžitě ukončeno. Tuto žádost o výmaz údajů za tímto účelem zpracování, tj. za účelem uvedeném v odstavci (3) bodu „2“ lze podat písemně na adresu firmy, na email ck@puravidatravel.cz. Veškeré osobní údaje jsou pak v souladu s platnými právními nařízeními o řádné likvidaci osobních údajů skartovány či obdobným způsobem likvidovány a o této likvidaci je učiněn záznam.
Firma a její zaměstnanci pak – již výhradně za účelem realizace zájezdu – předávají osobní údaje zákazníka v nezbytném rozsahu externím smluvně vázaným třetím fyzickým a právnickým osobám. Zejména se jedná o pojišťovnu zajišťující klientům, kteří mají v produktu zahrnuto zajištění cestovního pojištění či o zprostředkování cestovního pojištění požádají sami zákazníci (konkrétní společnost a její kontaktní údaje pro konkrétní období zpravidla odpovídající danému kalendářnímu roku – například v roce 2023 se jedná o pojišťovnu Česká podnikatelská pojištovna se sídlem v EU. S danou pojišťovnou má firma uzavřenou smlouvu o nakládání a ochraně osobních údajů dle platných právních předpisů včetně Nařízení. Za výše uvedeným účelem realizace zájezdu pak zaměstnanci firmy předávají nezbytné informace (jejichž konkrétní výčet je definován výše) externím pracovníkům, a to
zejména průvodcům a vedoucím zájezdů apod. S těmito třetími osobami má firma uzavře uzavřenou smlouvu o nakládání a ochraně osobních údajů dle platných právních předpisů včetně Nařízení prostřednictvím Dohody o mlčenlivosti, ochraně informací a zákazu jejich zneužití, ve které se třetí osoba explicitně zavazuje k nakládání s osobními údaji výhradně za účelem realizace zájezdu, řádné ochraně údajů proti zneužití a k zákazu předání údajů jiné třetí osobě, není-li k tomu explicitně pověřena firmou.
Toto pověření vyplývá opět z nezbytnosti naplnění účelu, tj. realizace zájezdu, a kromě výše uvedeného je zabezpečeno tím, že třetí osoba (v tomto případě například agentura v destinaci, hotel, apod; v případě firmy CK PURA VIDA TRAVEL s. r. o. se zpravidla jedná o zahraniční třetí osobu; souhrnně dále označená jako „partner“), která je příjemcem údajů splňuje zákonem stanovené záruky pro zabezpečení osobních údajů a podobných informací.
V praxi to znamená, že v případě, kdy se nejedná o partnery a) ze zemí, které jsou členskými státy EU a/nebo b) ze zemí, které ratifikovaly Úmluvu o ochraně osob se zřetelem na automatizované zpracovávání osobních dat Rady Evropy, ETS 108/1981 a/nebo c) ze zemí, do kterých je na základě rozhodnutí orgánů EU možné osobní údaje předat, zavazujeme partnery smluví doložkou o ochraně údajů v souladu s Roz) hodnutím Komise ze dne 5. února 2010 o standardních smluvních doložkách pro předávání osobních údajů zpracovatelům usazeným ve třetích zemích podle směrnice 95/46/ES (K 2010/593). Toto opatření v zákonem stanoveném rozsahu zajistí dostatečnou formu ochrany údajů zákazníka.
V rámci tzv. agenturního prodeje, kdy je firma pořadatelem zájezdu a partnerská cestovní kancelář či agentura je prodejcem produktů firmy, rovněž dochází k předávání osobních údajů zákazníka. Z tohoto pohledu je firma správcem a prodávající agentura či cestovní kancelář zpracovatelem údajů. Firma a její zaměstnanci zajistí, že má firma s každou institucí, jenž je z hlediska Nařízení ve vztahu k firmě v pozici zpracovatele osobních údajů (tj. právě včetně agentur a cestovních kanceláří definovaných v tomto odstavci), smluvní závazek o řádném nakládání s osobními údaji zákazníků odpovídajícím platným právním předpisům včetně Nařízení.
V případě, že je za účelem realizace zájezdu nutné předat informace jiným než výše zmíněným třetím stranám, zajistí firma a její zaměstnanci zajištění odpovídající ochranu osobních údajů zákazníků prostřednictvím odpovídajícího smluvního závazku s danou třetí v souladu s platnou legislativou včetně Nařízení.
Za účelem maximálního zabezpečení nakládání s osobními údaji a v souladu s právními předpisy včetně Nařízení jsou všichni zaměstnanci řádně a podrobně seznámeni se způsobem nakládání s osobními údaji, což stvrzují podpisem dokumentu o absolvování proškolení o způsobu nakládání s osobními údaji zákazníka, a zároveň dohody o mlčenlivosti a nezneužití údajů v souvislosti s nakládáním s osobními údaji zákazníka. Při absenci tohoto podpisu, nemá zaměstnanec firmy přístup k žádným osobním údajům zákazníka.
V případě, že i přes všechna uvedená opatření dojde narušení zabezpečení osobních údajů subjektů, a to jakoukoli formou, bude firma neprodleně postupovat dle platných právních předpisů vč. Nařízení tj., že tuto skutečnost do 72h po zjištění skutečnosti nahlásí dozorovému orgánů (Úřad pro ochranu osobních údajů) i subjektu údajů. Stejnou zákonnou povinností jsou vázáni i všechny třetí osoby, které s údaji subjektů v zvýše uvedených důvodů a při splnění výše uvedených podmínek nakládají.
S ohledem na rozsah zpracovávaných údajů, jejich charakter a zejména jejich předávání třetím stranám do třetích zemí a v případech explicitního souhlasu zákazníka i pro marketingových účelů založených na profilování oslovené skupiny zákazníků (viz odstavec (3), bodu „2“) jmenuje firma pověřence pro ochranu osobních údajů.
Pověřenec dohlíží na dodržování všech uvedených postupů nakládání s osobními údaji a s jejich zpracování. Kontroluje postupy firmy a jejich zaměstnanců, upozorňuje na nedostatky v procesu zpracování osobních údajů, je kontaktní osobou při komunikaci s dozorovým orgánem, je ve smyslu výkonu své funkce na firmě plně nezávislý a firma je zavázána zajistit mu dostatečný přístup k informacím, jenž jsou pro něho nezbytné k plnění své funkce.
Pověřenec je rovněž kontaktní osobou, na kterou se mohou obracet zákazníci v případech týkajících se zpracování osobních údajů, podávat k němu stížnosti, žádosti o výmaz osobních údajů (v souladu s výše uvedenými aspekty), žádosti o všechny informace týkajících se nakládání s osobními údaji daného zákazníka firmou a obracet se na něho při všech dalších situacích spojených se zpracováním a ochranou osobních údajů, se kterými firma nakládá.
Plnou odpovědnost za řádné nakládání s osobními údaji zákazníků, zaměstnanců a dalších subjektů údajů nese v souladu s právními předpisy vždy správce (firma CK PURA VIDA TRAVEL s. r. o.). Za žádných okolností tuto odpovědnost nemá, nenese ani v žádném směru nepřebírá pověřenec pro ochranu osobních údajů.
Pověřenec pro ochranu osobních údajů
JUDr. Michal Srp
email: ck@puravidatravel.cz
Žádosti, stížnosti a dotazy lze kromě emailu podávat i na následující adresu správce k rukám pověřence:
CK PURA VIDA TRAVEL s. r. o.
Správce pro ochranu osobních údajů GDPR
Nám. Interbrigády 815/6
Praha 6 Bubeneč
160 00
Zpracováno v Praze, dne 11. 6. 2023
CK PURA VIDA TRAVEL s. r. o.
JUDr. Michal Srp, jednatel firmy