Informace o zpracování osobních údajů dodavatelů
1. DER Touristik CZ a.s., IČO: 453 12 974, se sídlem Babákova 2390/2, Chodov, 148 00 Praha 4, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 7557 („Správce“) zpracovává jako správce osobní údaje svých dodavatelů, kteří jsou fyzickými osobami („subjekty údajů“). Subjekty údajů mohou v otázkách zpracování svých osobních údajů kontaktovat Správce na e-mailové adrese legal@exim.cz .
2. Správce bude zpracovávat identifikační a kontaktní údaje subjektu údajů a dále údaje shromážděné Správcem při plnění smlouvy uzavřené mezi Správcem a subjektem údajů („smlouva“).
3. Správce zpracovává osobní údaje subjektu údajů pro účely:
3.1. plnění smlouvy, a to na základě čl. 6 odst. 1 písm. b) Nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“);
3.2. dodržení právní povinnosti Správce stanovené obecně závazným právním předpisem, a to na základě čl. 6 odst. 1 písm. c) GDPR (např. povinnost Správce uchovávat účetní a daňové doklady);
3.3. určení, výkon nebo obhajobu právních nároků Správce, a to na základě čl. 6 odst. 1 písm. f) GDPR.
4. Správce bude zpracovávat osobní údaje pouze po dobu, která je nezbytná vzhledem k účelu jejich zpracování. Pokud budou osobní údaje používány současně pro více různých účelů zpracování, budou zpracovávány, dokud neodpadne účel s delší dobou zpracování. K účelu s kratší dobou zpracování však osobní údaje přestanou být používány, jakmile tato doba uplyne. Správce používá následující kritéria pro stanovení doby zpracování osobních údajů subjektů údajů:
4.1. k účelu plnění smlouvy budou osobní údaje zpracovávány do zániku závazků z příslušné smlouvy;
4.2. k účelu dodržení právní povinnosti Správce budou osobní údaje zpracovávány po dobu trvání příslušné právní povinnosti Správce;
4.3. pro určení, výkon nebo obhajobu právních nároků Správce budou osobní údaje zpracovávány do uplynutí 5. kalendářního roku následujícího po zániku závazků ze smlouvy. V případě zahájení a trvání soudního, správního nebo jiného řízení, ve kterém jsou řešeny práva či povinnosti Správce ve vztahu k příslušnému subjektu údajů, neskončí doba zpracování osobních údajů před skončením takového řízení.
5. Nejpozději do konce kalendářního čtvrtletí následujícího po uplynutí doby zpracování podle čl. 4 výše budou příslušné osobní údaje, u kterých pominul účel jejich zpracování, anonymizovány či zlikvidovány (skartací nebo jiným způsobem, který zajistí, že se s osobními údaji nebudou moci seznámit neoprávněné osoby).
6. Správce bude předávat osobní údaje subjektů údajů příslušným orgánům veřejné moci podle obecně závazných právních předpisů. Správce je dále oprávněn předat osobní údaje příjemcům, se kterými uzavřel smlouvu o zpracování osobních údajů a kteří budou pro Správce zpracovávat osobní údaje jako jeho zpracovatelé. Na žádost subjektu údajů mu Správce poskytne informaci o těch zpracovatelích, kteří se podílejí na zpracování jeho osobních údajů. Na základě čl. 6 odst. 1 písm. f) GDPR mohou být osobní údaje sdíleny v rámci skupiny Správce, a to pro vnitřní administrativní účely s odkazem na oprávněný zájem členů takové skupiny podle recitálu 48 GDPR. Skupinou Správce se rozumí společnost EXIM HOLDING a.s. a její dceřiné společnosti v České republice i v zahraničí, a dále společnost DER Touristik Group GmbH a její dceřiné společnosti v rámci Spolkové republiky Německo i v zahraničí.
7. Ke zpracování osobních údajů bude docházet v rámci EU a Evropského hospodářského prostoru. Pokud by při zpracování osobních údajů došlo k jejich předání do třetí země, přijme Správce před uskutečněním předání vhodné záruky podle čl. 44 a násl. GDPR.
8. V souvislosti se zpracováním svých osobních údajů mají subjekty údajů řadu práv, včetně práva požadovat od Správce přístup ke svým osobním údajům (za podmínek čl. 15 GDPR), jejich opravu nebo výmaz (za podmínek čl. 16 nebo čl. 17 GDPR), popřípadě omezení zpracování (za podmínek čl. 18 GDPR). Subjekt údajů má dále právo vznést námitku proti zpracování (za podmínek čl. 21 GDPR) a právo na přenositelnost údajů (za podmínek čl. 20 GDPR). Na výkon těchto práv se nicméně vztahují určité výjimky, a proto je nebude možné uplatnit ve všech situacích. V případě, že subjekt údajů uplatní svá práva a jeho žádost bude shledána oprávněnou, Správce přijme požadovaná opatření bez zbytečného odkladu, nejpozději do jednoho měsíce (v důvodných případech lze tuto lhůtu prodloužit až o další dva měsíce).
9. Pokud se subjekt údajů domnívá, že jeho osobní údaje jsou zpracovávány v rozporu s právními předpisy, má právo obrátit se na Správce s žádostí o zjednání nápravy. Jestliže bude žádost subjektu údajů shledána oprávněnou, Správce neprodleně odstraní závadný stav. Tím není dotčena možnost subjektu údajů podat stížnost přímo u Úřadu pro ochranu osobních údajů.
10. Poskytnutí osobních údajů ze strany subjektu údajů je smluvním požadavkem. Subjekt údajů nemá zákonem uloženou povinnost osobní údaje poskytnout, ale Správce tyto údaje potřebuje k uzavření a plnění smlouvy.