Ochrana osobních údajů po obchodní partnery, návštěvníky a oznamovatele
Informace pro naše obchodní partnery (zákazníky, dodavatele), kontaktní osoby, oznamovatele protiprávního jednání podle zákona o ochraně oznamovatelů, oznámením dotčené osoby a další třetí osoby (Whistleblowing) a případně pro návštěvníky našich obchodních center v souladu s Obecným nařízením EU o ochraně osobních údajů (dále jen „GDPR“). Informace pro vlastní zaměstnance je poskytována samostatně.
Podle čl. 4 GDPR jsou osobními údaji veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat. Právnické osoby tedy nemají osobní údaje.
V této komplexní informaci se dozvíte základní účely a další informace týkající se zpracování osobních údajů našich obchodních partnerů (fyzických osob) nebo zaměstnanců, zástupců a jiných kontaktních osob našich obchodních partnerů, jakož i oznamovatelů, oznámením dotčených osob a dalších třetích osob v rámci Whistleblowingu. Popsán je rozsah těchto údajů a přehled práv subjektů údajů (včetně kontaktu pro žádosti subjektů údajů).
Správce osobních údajů
Správcem osobních údajů je společnost PHOENIX lékárenský velkoobchod, s.r.o., se sídlem Praha 10 - Hostivař, K pérovně 945/7, PSČ 102 00, IČO: 45359326 (dále jen „PHOENIX“).
Běžná podnikatelská činnost
Společnost PHOENIX zpracovává při své podnikatelské činnosti zejména identifikační údaje (jméno, příjmení, pracovní pozice) a kontaktní údaje (telefon, e-mailová adresa), a to obchodních partnerů (fyzických osob) nebo jejich zaměstnanců, zástupců (fyzických osob). Dále se zpracovávají platební a dodací údaje obchodních partnerů (fyzických osob) nebo osobní údaje dalších fyzických osob, pokud tyto ručí za závazky našich obchodních partnerů (identifikační údaje, kontaktní údaje, popisné údaje s ohledem na jejich majetkovou situaci).
Účelem zpracování výše uvedených osobních údajů je sjednání a plnění příslušné smlouvy (např. nájemní, kupní apod.), zajištění a vymáhání závazků, vedení obchodní komunikace a korespondence nebo plnění zákonných povinností (daňová evidence, dodržování předpisů ohledně praní špinavých peněz nebo dodržování mezinárodních sankcí). Tam, kde to připouští zákon, kontaktujeme naše zákazníky za účelem přímého marketingu (zasílání hromadných obchodních sdělení podle § 7 odst. 3 zákona č. 480/2004 Sb., o některých službách informační společnosti). Pro tyto výše uvedené účely není třeba souhlas se zpracováním osobních údajů; resp. souhlas není na místě, protože právním základem pro zpracování osobních údajů je uzavření a plnění smlouvy nebo oprávněný zájem společnosti PHOENIX. Souhlas je třeba pouze pro zasílání dalších marketingových sdělení.
Společnost PHOENIX získává osobní údaje, které zpracovává, přímo od svých obchodních partnerů nebo z veřejně dostupných zdrojů.
Zpracování výše uvedených osobních údajů bude probíhat pouze po dobu nezbytnou pro naplnění účelu (či účelů), pro který (které) byly shromážděny. V zásadě se tak budou tyto údaje zpracovávat jen po dobu trvání smluvního vztahu, případně po delší dobu z důvodu oprávněného zájmu společnosti PHOENIX (obrana v soudním sporu, vymáhání pohledávek apod.).
Evidence návštěv a kamerové systémy
Společnost PHOENIX zpracovává také osobní údaje návštěvníků, a to identifikační údaje (jméno a příjmení, pracovní pozice) a účel návštěvy. Účelem zpracování je ochrana majetku a ochrana vlastních zaměstnanců a dalších osob. Právním základem zpracování je oprávněný zájem těchto osob. Tyto údaje se zapisují do listinné nebo elektronické evidence. Tato evidence se archivuje pouze po dobu nezbytně nutnou (maximálně 1 rok; likvidace v roce následujícím).
V rámci provozoven společnosti PHOENIX jsou umístěny kamery se snímáním online a uchováváním záznamu osob vstupujících do provozoven PHOENIX (včetně osob, které v těchto prostorách vykonávají činnost pro smluvního partnera společnosti PHOENIX). Účelem provozu kamerových systémů online i se záznamem je ochrana života, zdraví a bezpečnosti osob, ochrana majetku a finančních zájmů společnosti PHOENIX, zaměstnanců, případně i dalších osob, vyřizování podnětů, stížností a reklamací; právním základem pro zpracování osobních údajů jsou tedy oprávněné zájmy těchto osob. Záznam z kamerového systému na obchodních centrech je uchováván maximálně 40 dnů, což je nezbytná doba, která slouží k odhalení konkrétního protiprávního jednání, zejména krádeže.
Osobní údaje mohou být v této souvislosti a za výše uvedenými účely zpřístupněny společnosti SECURITAS ČR, s.r.o., IČO: 438 72 026, Kateřinská 466/40, 120 00 Praha 2 – Nové Město, zajišťující fyzickou ostrahu.
Call centrum
V rámci zkvalitňování služeb zákazníků a sledování výkonnosti zaměstnanců jsou nahrávány hovory v call centru. Hovory v rámci call centra jsou uchovávány pouze po nezbytně nutnou dobu (maximálně 30 dnů). Zpracovatelem osobních údajů je společnost SOITRON s.r.o., IČO 272 70 599, která pro nás zajišťuje technický chod call centra.
Způsob zpracování a ochrana osobních údajů
Zpracovávání osobních údajů je prováděno v prostorách společnosti PHOENIX automatizovaně pomocí prostředků výpočetní techniky a manuálně formou listinné kartotéky nebo spisu, a to jednotlivými pověřenými zaměstnanci, kteří takové údaje potřebují ke své práci (need-to-know basis).
V rámci zpracování osobních údajů byla přijata technicko-organizační opatření k zajištění ochrany osobních údajů, zejména aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů, a to i po ukončení zpracování osobních údajů.
Předání osobních údajů a zpracovatelé
Osobní údaje obchodních partnerů (fyzický osob) nebo jejich zaměstnanců, zástupců, ručitelů apod. může společnost PHOENIX sdílet v rámci skupiny PHOENIX group, ovšem pouze v rámci výše uvedených účelů a pouze s vybranými zaměstnanci pro plnění jejich pracovních povinností (např. správa pohledávek, spokojenost zákazníků, plnění zákonných povinností apod.). Zaměstnanci skupiny PHOENIX group mají povinnost absolvovat online školení ohledně Zásad zpracování osobních údajů PHOENIX group a pomocí interních směrnic jsou vázání k mlčenlivosti ohledně osobních údajů nebo bezpečnostních opatření k ochraně osobních údajů, pokud s nimi při své práci přichází do kontaktu nebo se podílí na zpracování. Osobní údaje nejsou předávány mimo EU.
Osobní údaje mohou být předány i dalším externím partnerům a poradcům společnosti PHOENIX (např. právníkům, auditorům, bankám, pojišťovnám, poskytovatelům IT řešení apod.), pokud pro to bude existovat oprávněný zájem společnosti PHOENIX nebo třetí osoby. Dále mohou být osobní údaje obchodních partnerů předány zejména státním orgánům a dalším institucím, pokud to vyplývá z právního předpisu (např. v případě kontrolních orgánů, včetně finančního úřadu, exekutorů, insolvenčních správců apod.).
Cookies
V rámci webových stránek společnosti PHOENIX jsou používány technické cookies. Ty jsou nezbytné pro správné fungování webové stránky. Do této kategorie patří trvalé i relační soubory cookie. Bez těchto souborů by webové stránky společnosti PHOENIX nefungovaly správně, případně vůbec. Proto se tyto soubory používají vždy bez ohledu na volbu uživatele/návštěvníka webové stránky (k jejich používání není třeba informovaného souhlasu). Jiné druhy cookies mohou být použity pouze se souhlasem návštěvníka stránky.
Více informací o použití cookies a možnosti jejich nastavení v sekci Používání cookies dostupné na https://www.phoenix.cz/informace-o-pouzivani-cookies/.
Zpracování osobních údajů v souvislosti s Whistleblowingem
V souvislosti s podáním oznámení podle zákona č. 171/2023 Sb., o ochraně oznamovatelů, v platném znění (Whistleblowing) jsou zpracovávány osobní údaje oznamovatele v rozsahu jím dobrovolně uvedeném v oznámení, údaje osob oznámením dotčených anebo dalších třetích osob, jakož i dále osobní údaje oznamovatele a/nebo třetích osob získaných v průběhu interního šetření a posuzování důvodnosti oznámení.
Zejména jde o: datum přijetí oznámení, jméno, popřípadě jména, příjmení, datum narození a kontaktní adresa oznamovatele, jsou-li tyto údaje známy; shrnutí obsahu oznámení a identifikace osoby, proti které oznámení směřovalo, je-li její totožnost známa; datum ukončení posouzení důvodnosti oznámení příslušnou osobou nebo posouzení oznámení pověřeným zaměstnancem a jejich výsledek (např. adresní údaje, kontaktní údaje, identifikační údaje).
Účelem zpracování osobních údajů u této činnosti zpracování je podávání oznámení a posuzování jejich důvodnosti, vedení vnitřního oznamovacího systému a zajišťování ochrany oznamovatelů, jakož i s tím spojené plnění dalších právních povinností společnosti PHOENIX podle zákona o ochraně oznamovatelů.
Právním základem pro zpracování osobních údajů je splnění zákonem stanovených povinností, a tedy splnění právní povinnosti, která se na správce vztahuje podle článku 6 odst. 1 písm. c) GDPR.
Správcem osobních údajů je společnost PHOENIX.
Zdroj osobních údajů: přímo od oznamovatele, prověřovaných osob a dalších zúčastněných osob; od státních a jiných orgánů v rámci šetření daného oznámení; z veřejně přístupných rejstříků, seznamů a evidencí.
Osobní údaje jsou zpracovávány pouze po dobu nezbytně nutnou k prošetření oznámení a s ním souvisejícím úkonům, nebo jsou potřebné k ochraně práv společnosti PHOENIX. Příslušná osoba (prošetřovatel) je povinna uchovávat oznámení a vést evidenci údajů o přijatých oznámeních po dobu 5 let ode dne jeho přijetí.
Příjemcem osobních údajů oznamovatele je určená příslušná osoba (prošetřovatel), která přijímá jednotlivá oznámení, eviduje je, posuzuje jejich důvodnost, prošetřuje apod. Osobní údaje mohou být zpřístupněny za podmínek podle zákona o ochraně oznamovatelů a zvláštních právních předpisů: např. soudu, státnímu zástupci, policejnímu orgánu, Ministerstvu spravedlnosti, Národnímu bezpečnostnímu úřadu a zpravodajské službě, Finančnímu úřadu a Finančnímu ředitelství, Úřadu pro ochranu osobních údajů a jiným subjektům na základě zákonné povinnosti.
Oznámení o možném protiprávním jednání podle zákona o ochraně oznamovatelů je možné podat prostřednictvím oznamovací platformy EQS Integrity Line a dalšími způsoby stanovenými společností PHOENIX jako povinným subjektem. Bližší informace o fungování této platformy ZDE.
Práva subjektů osobních údajů
Subjekt údajů má právo požadovat od Správce přístup k jeho osobním údajům, jejich opravu nebo výmaz, popřípadě omezit jejich zpracování, jakož i právo dané GDPR na přenositelnost osobních údajů. Bližší podmínky použití těchto práv vyplývají z příslušných právních předpisů (zejm. článků 15 až 21 GDPR) s tím, že ne u každého dílčího zpracování (u každého samostatného účelu uvedeného výše) jsou všechna tato práva garantována.
Za splnění zákonných požadavků (viz článek 21 GDPR) má subjekt údajů právo vznést námitku proti zpracování svých údajů, pokud jsou zpracovávány za účelem oprávněných zájmů Správce nebo jiné osoby.
Subjekt údajů může za účelem uplatnění svých práv v oblasti ochrany osobních údajů kontaktovat Pověřence pro ochranu osobních údajů dvěma způsoby:
- telefonicky na čísle 296 808 111,
- e-mailem na DPO@phoenix.cz.
Subjekt osobních údajů má právo podat stížnost ohledně nakládání s jeho údaji přímo Úřadu pro ochranu osobních údajů.
Prohlášení společnosti o souladu s GDPR
V případech, na které dopadá tato Informace, není nutná úprava smluvního vztahu s ohledem na GDPR. Tato informace je umístěna na webových stránkách společnosti PHOENIX a současně slouží jako proklamace Správce, že osobní údaje svých obchodních partnerů (fyzických osob), jejich zaměstnanců nebo zástupců a dalších kontaktních osob zpracovává v souladu s GDPR a je připraven reagovat na žádosti subjektů osobních údajů.
Pokud obchodní partner zpracovává pro naši společnost osobní údaje podle našich pokynů jako zpracovatel (např. osobní údaje našich zaměstnanců, zákazníků nebo jiných fyzických osob), anebo naopak, pak je třeba uzavřít smlouvu o zpracování osobních údajů mezi správcem a zpracovatelem. Jedná se zejména o smlouvy na dodávky IT řešení, vedení mzdové agendy nebo správu datových úložišť apod. V takovém případě bude/byl obchodní partner kontaktován, pokud je třeba smlouvu doplnit nebo změnit.
Datum poslední aktualizace: 10. 4. 2024