Pravidla zpracovávání osobních údajů

SOUHLAS SEZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

Úvodní ustanovení

Tato směrnice upravuje zpracování osobních údajů společnosti FlexiFin s.r.o. (dále jen “Společnost”), v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES („GDPR“ nebo „Nařízení“), ve spojení se zákonem č. 110/2019 Sb., o zpracování osobních údajů, v platném znění.

Účelem této směrnice je zajistit dodržování povinností vyplývajících z Nařízení a z dalších relevantních právních předpisů upravujících ochranu osobních údajů ve Společnosti a umožnit subjektům údajů výkon jejich práv.

Rozsah

Tento vnitřní předpis je závazný pro všechny zaměstnance, členy statutárního i dozorčího orgánu Společnosti, vázané zástupce a jejich pracovníky, samostatné zprostředkovatele a jejich pracovníky i další externí poskytovatele služeb Společnosti a jejich pracovníky, kteří v rámci činnosti Společnosti zpracovávají nebo jakkoliv jinak nakládají s osobními údaji subjektů údajů a kteří jsou na základě právního vztahu se Společností povinni tento vnitřní předpis dodržovat (dále jen „pracovník“). Na nerespektování tohoto vnitřního předpisu pracovníkem bude ze strany Společnosti pohlíženo jako na závažné porušení pracovních a smluvních povinností se všemi důsledky vyplývajícími z obecně závazných právních předpisů.

Každý pracovník Společnosti odpovídá za to, že zpracování osobních údajů provádí v souladu s právními předpisy a tímto interním předpisem a dalšími předpisy a dokumenty Společnosti. Každý pracovník je povinen zachovávat mlčenlivost o osobních údajích a opatřeních přijatých k jejich ochraně, o nichž se v souvislosti s výkonem své činnosti dozvěděl, a to i po skončení pracovního či jiného poměru.

Společnost zajišťuje, aby přístup k osobním údajům měli jen odpovídající pracovníci, tj. aby přístup konkrétních pracovníků odpovídal jejich rolím ve Společnosti.

1. Definice

Automatizované zpracování Automatizovaným zpracováním je myšleno zejména:
1. zpracování pomocí informačních systémů, tj. prostřednictvím softwaru;
2. provádění logických nebo aritmetických operací s osobními údaji, zejména jejich změna, výmaz, vyhledávání nebo rozšiřování uskutečňované zcela nebo zčásti pomocí automatizovaných postupů,
3. provádění archivace informací jejich uložením na archivační paměťová média a v případě potřeby obnovení informací z archivních médií;
Dozorový úřad Úřad pro ochranu osobních údajů České republiky
DPIA Posouzení vlivu na ochranu osobních údajů (anglicky Data Protection Impact Assessment)
Likvidace osobních údajů Fyzické zničení nosiče osobních údajů nebo jejich vymazání
Omezení zpracování Označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu
Oprávněná osoba Oprávněnou osobou je:
1. zaměstnanec Společnosti, který v rámci plnění povinností plynoucích mu z pracovní náplně má přístup k osobním údajům a dále je zpracovává, a
2. osoba, které na základě smluvního vztahu má Společností povolený přístup k osobním údajům.
Osobní údaj Veškeré informace o identifikované nebo identifikovatelné fyzické osobě, tj. osobě, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby)
Porušení zabezpečení osobních údajů Jakékoliv porušení důvěrnosti, dostupnosti či integrity osobních údajů, tedy porušení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů
Profilování Jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, chování, místa, kde se nachází, nebo pohybu
Příjemce Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují
Souhlas Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů
Správce Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů
Subjekt údajů Fyzické osoby, a to především zákazníci, potenciální zákazníci, návštěvníci internetových stránek a zaměstnanci Společnosti
Třetí strana Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jenž je oprávněna ke zpracování osobních údajů.
Zpracování Jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
Zpracovatel Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Zvláštní kategorie osobních údajů Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

2. Zásady zpracování osobních údajů

Obecné zásady zpracování osobních údajů

Při zpracování osobních údajů ve Společnosti je nezbytné dodržovat následující zásady:

zákonnost, korektnost a transparentnost

  • ve vztahu k subjektu údajů musí být osobní údaje zpracovávány korektně, zákonným a transparentním způsobem;

účelové omezení

  • osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;

minimalizace údajů

  • zpracování musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou osobní údaje zpracovávány;

přesnost

  • osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;

omezení uložení

  • osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;

integrita a důvěrnost

  • osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

3. Úkony před započetím zpracování osobních údajů

Před započetím zpracování osobních údajů je povinen Správce vypracovat záznamy o činnostech zpracování osobních údajů, za které odpovídá. Záznamy o činnostech zpracování obsahují následující informace:

  • jméno a kontraktní údaje správce;
  • účely zpracování;
  • popis kategorií subjektů údajů a kategorií osobních údajů;
  • kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny;
  • informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci;
  • plánované lhůty pro výmaz jednotlivých kategorií údajů;
  • obecný popis technických a organizačních bezpečnostních opatření.

Správce zpracovává osobní údaje zejména pro následující účely:

  • identifikaci subjektu údajů;
  • ověření osobních údajů;
  • splnění smlouvy mezi Správcem a subjektem údajů nebo pro provedení opatření přijatých před uzavřením smlouvy, jíž je subjekt údajů smluvní stranou;
  • profilace a užití osobních údajů za účelem profilace následné obchodní nabídky;
  • splnění zákonem stanovených povinností;
  • prevence podvodů;
  • zákaznické podpory;
  • ochrany oprávněných zájmů Správce a třetích stran;
  • uplatnění právních nároků a povinností ze smluvního vztahu mezi Správcem a subjektem údajů;
  • zasílání obchodních sdělení.

Ke každému účelu zpracování musí být přiřazen právní titul, Společnost zpracovává osobní údaje na podkladě těchto právních titulů:

  • souhlas subjektu údajů;
  • plnění smlouvy, jejíž stranou je subjekt údajů;
  • plnění právní povinnosti Společnosti;
  • oprávněný zájem Společnosti.

Za souhlas subjektu údajů se zpracováním osobních údajů je považováno svobodné poskytnutí těchto údajů subjekty osobních údajů:

  • v listinné podobě s uvedením vlastnoručního podpisu včetně údaje o čase podpisu;
  • v elektronické podobě s např. připojením elektronického podpisu, se zaškrtnutím příslušného políčka se souhlasem v elektronickém formuláři atd.

Udělený souhlas subjektu údajů musí být prokazatelný po celou dobu zpracování, včetně všech podmínek, ze kterých je zřetelné k čemu a v jakém znění byl souhlas udělen. V případě, že subjekt údajů souhlas neposkytne, nelze jeho osobní údaje zpracovávat.

Subjekt údajů má právo svůj souhlas kdykoliv odvolat, o této skutečnosti Společnost subjekt údajů informuje před udělením souhlasu.

Pokud je pravděpodobné, že určitý druh zpracování osobních údajů ve Společnosti bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede Společnost před zpracováním DPIA. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení. V každém takovém případě Společnost požádá o předchozí konzultaci s ÚOOÚ.

4. Předávání a zpřístupnění údajů subjektu údajů třetí straně

Správce je oprávněn předat či zpřístupnit osobní údaje třetí osobě pouze, má-li pro takové předání příslušný právní titul, například souhlas subjektu údajů, či dochází-li k předání v souvislosti s plněním smlouvy mezi Společností a subjektem údajů, v souvislosti s plněním povinností stanovených příslušnými právními předpisy nebo pokud je to nezbytné pro ochranu práv a právem chráněných zájmů Správce. Je-li to nezbytné, Správce je povinen uzavřít s třetí osobou smlouvu o předání osobních údajů. V případě pochybností při předání či zpřístupnění osobních údajů třetí osobě je nezbytné se předem dotázat na správný postup pověřence a vyčkat jeho rozhodnutí.

Na žádost subjektu údajů je Správce povinen poskytnout subjektu údajů bližší specifikaci příjemců.

Správce není oprávněn předávat osobní údaje do třetích zemí mimo EU nebo mezinárodním organizacím či orgánům, s výjimkou předání založeného na rozhodnutí o odpovídající ochraně dle čl. 45 GDPR a předání založeného na vhodných zárukách dle čl. 46 GDPR, pokud k tomu subjekt údajů nedá souhlas nebo pokud k tomu není Správce povinen ze zákona.

5. Opatření k zajištění ochrany osobních údajů

Systém ochrany osobních údajů je tvořen komplexem organizačních a technických opatření, která jsou ve Společnosti realizována za účelem zabezpečení ochrany a bezpečnosti osobních údajů, zejména:

  • pseudonymizace a šifrování osobních údajů;
  • zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování;
  • obnovení dostupnosti osobních údajů a přístupu k nim včas v případě fyzických či technických incidentů

Každý pracovník je povinen zajistit ochranu pracovní stanice tak, aby nemohlo dojít k jejímu zneužití jiným pracovníkem, případně cizí neoprávněnou osobou. Podrobnosti upraveny ve vnitřním předpise Řád používání a správy informačního systému.  

1. IT bezpečnost

Postup upraven ve vnitřním předpise Řád používání a správy informačního systému.  

2. Postup při vzniku incidentu

Postup při vzniku incidentu, viz vnitřní předpis Pravidla vnitřní kontroly. Vedení Společnosti, nebo jím pověřený zaměstnanec vede záznamy o incidentech.

Dojde-li k porušení zabezpečení osobních údajů, ohlásí jej Společnost dozorovému úřadu, a to nejpozději do 72 hodin od okamžiku, kdy se o porušení dozvěděla. V případě, že ohlášení bude provedeno po více než 72 hodinách od okamžiku, kdy se Společnost o porušení dozvěděla, připojí k němu odůvodnění tohoto prodlení.

Společnost není povinna ohlásit porušení zabezpečení osobních údajů dle předchozí věty v případě, že riziko neoprávněného zásahu do práv a svobod subjektu údajů je nízké.

V ohlášení incidentu Společnost uvede, pokud jsou jí tyto údaje známy, alespoň:

  • popis povahy porušení zabezpečení osobních údajů;
  • kategorie a přibližný počet subjektů údajů a záznamů osobních údajů, kterých se porušení zabezpečení týká;
  • jméno a kontaktní údaje pověřence nebo jiného pracoviště, které poskytne bližší informace k porušení zabezpečení osobních údajů;
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů a
  • popis opatření přijatých nebo navržených Společností k nápravě nebo zmírnění újmy způsobené porušením zabezpečení osobních údajů.

Nebyly-li některé údaje v době ohlášení Společnosti známy, doplní je bez zbytečného odkladu poté, co se o nich dozví.

Společnost vede o každém porušení zabezpečení osobních údajů, jeho důsledcích a přijatých nápravných opatřeních dokumentaci, kterou uchovává nejméně 3 roky.

Je-li riziko neoprávněného zásahu do práv a svobod subjektů plynoucí z porušení vysoké, oznámí Společnost bez zbytečného odkladu porušení zabezpečení osobních údajů subjektu údajů. Pokud by oznámení subjektu údajů vyžadovalo nepřiměřené úsilí, Společnost oznámení vhodným způsobem zveřejní.

Společnost není povinna oznámit subjektu údajů porušení zabezpečení osobních údajů v případě, že:

  • provedená technická a organizační opatření zajišťují, že dotčené osobní údaje nelze zneužít, nebo
  • následná opatření Společnosti významně snížila riziko neoprávněného zásahu do práv a svobod subjektu údajů.

3. Kontrolní činnost

Pravidelně, minimálně 1x ročně, nebo v případě výskytu závažného incidentu je prováděn interní audit se zaměřením na dodržování pravidel stanovených touto směrnicí. Audit provádí vedení Společnosti nebo jím určená osoba.

4. Školení zaměstnanců

Při vzniku pracovního poměru, dále pravidelně, minimálně 1x ročně, nebo v případě výskytu závažného incidentu je prováděno školení všech pracovníků Společnosti se zaměřením na dodržování pravidel stanovených touto směrnicí. Školení je realizováno elektronickou formou nebo osobně ze strany vedení. O školení jsou vedeny záznamy.

5. Pravidelná revize a aktualizace interních předpisů

Všechny interní předpisy společnosti, včetně těch, týkajících se ochrany osobních údajů jsou revidovány pravidelně 1x krát ročně. Ad hoc revize je prováděna zejména v případě výraznějších změn ve společnosti s možným dopadem na ochranu osobních údajů nebo v případě narušení zabezpečení ochrany osobních údajů. O provedení revize a aktualizace je vedena evidence. Za revizi a aktualizaci odpovídá gestor předpisu.

6. Vedení a aktualizace záznamů o činnostech zpracování

Záznamy o činnostech zpracování jsou součástí pravidelné revize a aktualizace interních předpisů. Revize kompletnosti a přesnosti katalogu zpracování je prováděna pravidelně 1x krát ročně. Ad hoc revize je prováděna zejména v případě výraznějších změn ve společnosti s možným dopadem na ochranu osobních údajů. O provedení revize a aktualizace je vedena evidence. Za revizi a aktualizaci odpovídá gestor předpisu.

7. Zpracovatelské smlouvy

Ve všech případech, kdy Společnost využívá zpracovatele a stejně tak v případech, kdy je Společnost v pozici zpracovatele je uzavřena smlouva o zpracování osobních údajů v souladu s čl. 28 Nařízení.

6. Výkon práv subjektů údajů

Všechny požadavky subjektů údajů musí být vyřízeny bez zbytečného odkladu, nejpozději do 1 měsíce ode dne jejich obdržení. V případě větší složitosti záležitosti či většího počtu žádostí či námitek podaných subjektem údajů během jednoho měsíce, může být lhůta pro vyřízení žádosti prodloužená až o 2 měsíce, o čemž bude subjekt údajů Společností informován, včetně důvodů pro tento odklad. Odpověď bude subjektu údajů podána ve stejné formě, v jaké byla podána jeho žádost, nebude-li dohodnuto jinak.

Všichni pracovníci Společnosti jsou povinni poskytnout součinnost při vyřizování žádostí subjektů údajů. Všechny systémy Společnosti jsou nastaveny tak, aby bylo možné vyhovět žádostem subjektů údajů.

1. Postup při vyřizování žádosti

Informace a sdělení může Společnost poskytnout písemně, elektronicky nebo v ústní formě telefonicky či osobně.

Pokud se žádost subjektu údajů týká osobních údajů/nebo jejich zpracování, nebo je v žádosti požadavek na výkon práv subjektu údajů dle GDPR, nebo je v žádosti uvedeno, že je spojena s GDPR, bude při vyřizování žádosti subjektu údajů Společnost postupovat následovně:

  • ověří identitu subjektu údajů – aby bylo zajištěno jednání s konkrétní dotčenou osobou. V případě, kdy má Společnost pochybnosti o totožnosti fyzické osoby, požádá o poskytnutí dodatečných informací;
  • vyjasní si žádost a její předmět – není-li zřejmé, čeho se subjekt údajů žádostí dožaduje, nebo jsou-li v žádosti obsažené chybné informace, jejichž správně znění je nevyhnutelné pro její vyřízení, bude subjekt údajů vyzván k upřesnění žádosti;
  • posoudí žádost – zda je subjekt údajů oprávněn k výkonu daného práva a zda neexistuje výjimka, který by tento výkon znemožňovala;
  • vyřídí žádost tak, že:
  1. žádost zamítne – subjekt údajů není oprávněn vykonat požadované právo nebo existuje výjimka, kvůli které tento výkon není možný. V odůvodnění zamítavé odpovědi na žádost musí být uvedeny důvody zamítnutí a informace o možnosti podat stížnost u ÚOOÚ a vyřízen záležitosti soudní cestou; nebo
  2. žádosti vyhoví – subjekt údajů je oprávněn vykonávat svoje právo a neexistuje výjimka, která by mu v tom bránila.

Společnost není povinna žádosti vyhovět, případně může vyhovět pouze zčásti, pokud by vyhověním žádosti došlo k ohrožení, o čemž Společnost subjekt údajů informuje.

  • plnění úkolu v oblasti předcházení, vyhledávání a odhalování trestné činnosti, stíhání trestných činů, výkonu trestů a ochranných opatření, zajišťování bezpečnosti České republiky nebo zajišťování veřejného pořádku a vnitřní bezpečnosti, včetně pátrání po osobách a věcech;
  • průběhu řízení o přestupku, kázeňském přestupku nebo jednání, které má znaky přestupku;
  • ochrany utajovaných informací, nebo
  • oprávněných zájmů třetí osoby.

Veškeré dokumenty týkající se shora popsaného postupu vyřizování žádostí je Společnost povinna uchovávat nejméně 3 roky.

2. Poskytování informací

Společnost poskytuje subjektům údajů informace v souladu s článkem 13 a 14 GDPR stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, a to v požadovaném rozsahu. Informace Společnost poskytne subjektu údajů primárně písemně v elektronické formě, případně jinými vhodnými prostředky; ústně, pokud o to subjekt údajů požádá a jeho identita bude prokázána jinými prostředky.

3. Právo subjektů údajů na přístup k osobním údajům

V případě, že o to subjekt údajů požádá, Společnost poskytne subjektu údajů potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, umožní subjektům údajů získat přístup k těmto osobním údajům a k informacím způsobem a v rozsahu dle článku 15 GDPR.

4. Právo na opravu

V případě, že o to subjekt údajů požádá, případně se o nepřesných osobních údajích dozví Společnost jinak, opraví bez zbytečného odkladu nepřesné osobní údaje. V případě, kdy si to účel zpracování vyžaduje, zajistí Společnost doplnění neúplných osobních údajů dle článku 16 GDPR.

Společnost oznámí jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy osobních údajů.

5. Právo na výmaz

V případě, že je dán jeden z následujících důvodů, zajistí Společnost, s výjimkami uvedenými v čl. 17 odst. 3 GDPR, na základě uplatnění práva subjektem údajů bez zbytečného odkladu výmaz osobních údajů:

  1. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány;
  2. subjekt údajů odvolá souhlas, na jehož základě byly osobních údaje zpracovávány, a neexistuje žádný další právní důvod pro zpracování;
  3. subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;
  4. osobní údaje byly zpracovány protiprávně;
  5. osobní údaje musí být vymazány ke splnění právní povinnosti, která se na Společnost vztahuje;
  6. osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační Společnosti podle čl. 8 odst. 1 GDPR

Společnost oznámí jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré výmazy osobních údajů.

6. Právo na omezení zpracování

V případě, že je dán jeden z následujících důvodů, zajistí Společnost omezení zpracování osobních údajů:

  1. subjekt údajů popírá přesnost osobních údajů;
  2. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  3. Společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  4. subjekt údajů vznesl námitku proti zpracování.
  5. Společnost oznámí jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškerá omezení zpracování osobních údajů.

7. Právo na přenositelnost údajů

V případě, že o to subjekt údajů požádá a zároveň je zpracování založeno na souhlasu nebo smlouvě a zpracování se provádí automatizovaně, umožní Společnost subjektu údajů výkon práva na přenositelnost. Osobní údaje, které subjekt údajů Společnosti poskytl a které se ho týkají, poskytne Společnost ve strukturovaném, běžně používaném a strojově čitelném formátu. Součástí tohoto práva je zajištění možnosti přenesení předmětných osobních údajů k jinému správci dle požadavku subjektu údajů.

8. Právo na námitku

Vznese-li subjekt údajů námitku proti zpracování osobních údajů pro účely oprávněných zájmů Společnosti, Společnost osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány. Po vyhovění žádosti nesmí být osobní údaje používány pro dané účely (marketing, oprávněný zájem, statistika, výzkum) a budou v souladu s principem minimalizace vymazány. Pokud jsou dané osobní údaje zpracovávány pro jiné účely, může toto zpracování probíhat i nadále.

O právu vznést námitku Společnost subjekt údajů výslovně upozorní, a to nejpozději v okamžiku první komunikace se subjektem údajů.

7. Archivace a likvidace osobních údajů

Společnost provádí likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovávány, případně na základě žádosti subjektu.

Konkrétní lhůty pro likvidaci osobních údajů jsou stanoveny v jednotlivých záznamech o činnostech zpracování.

Při likvidaci jsou dodržovány zákonné výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení.

  • Veškeré listinné dokumenty likvidovány výhradně skartací a to svépomocí, nebo využitím externí společnosti. Data uchovávána v elektronické podobě jsou likvidována tak, aby nebylo možné jejich obnovení. V případě konce životnost jednotlivých elektronických zařízení jsou tato mechanicky likvidována tak, aby nebylo možné data obnovit.

8. Závěrečná ustanovení

Za dodržování pravidel stanovených touto směrnicí odpovídají všichni pracovníci Společnosti.

Souhlas účinný od 15. 1. 2024

Potřebujete poradit? Tak se ozvěte!

800 987 654
Bezplatná infolinka
info@flexifin.cz
Sledujte nás na
SPOLEČNOST
BlogO násDokumentaceReprezentativní příkladKariéraSoutěže a výherci
O půjčce
Jak to fungujeFlexi půjčka Časté dotazy
Appka
Zavolejte nám
800 987 654Bezplatná infolinka
Po-Pá: 8-19 h, So-Ne, svátky: 9-15 h
MŮJ ÚČET
FlexiFin Prime
stručný popis činnosti
FlexiFin Business
stručný popis činnosti

© 2021 – 2025 FlexiFin  s.r.o. se sídlem Čechyňská 419/14a, Brno 602 00, IČO: 24305511  společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně,  oddíl C, vložka 114119, společnost s licencí nebankovního poskytovatele  spotřebitelského úvěru a s licencí samostatného zprostředkovatele spotřebitelského úvěru.

Pravidla zpracování osobních údajů obsahují souhlas se zasíláním obchodních sdělení třetích osob

Všechny náklady spojené s půjčkou, včetně výše úrokové sazby, RPSN, najdete ve smlouvě o úvěru.

GDPRCOOKIES
Sledujte nás na
Zavolejte nám
800 987 654Bezplatná infolinka
Po-Pá: 8-18 h, So-Ne: 9-15 h
MŮJ ÚČET
SPOLEČNOST
BlogO násDokumentaceReprezentativní příkladKariéraSoutěže a výherci
O půjčce
Jak to fungujeFlexi půjčka Časté dotazy
Appka
FlexiFin Prime
stručný popis činnosti
FlexiFin Business
stručný popis činnosti

© 2021 – 2025 FlexiFin  s.r.o. se sídlem Čechyňská 419/14a, Brno 602 00, IČO: 24305511  společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně,  oddíl C, vložka 114119, společnost s licencí nebankovního poskytovatele  spotřebitelského úvěru a s licencí samostatného zprostředkovatele spotřebitelského úvěru.

Pravidla zpracování osobních údajů obsahují souhlas se zasíláním obchodních sdělení třetích osob

Všechny náklady spojené s půjčkou, včetně výše úrokové sazby, RPSN, najdete ve smlouvě o úvěru.

GDPRCOOKIES