Obecné zásady ochrany osobních údajů

Společnosti G.F.P., s.r.o.

IČO: 29140030

se sídlem Dělnická 1020/54, 170 00 Praha 7

subjekt odpovědný za zpracování osobních údajů fyzických osob

dále jen „Správce

1. Úvod

Účelem těchto zásad je poskytnou zákazníkům stávajícím i potencionálním informace o nakládání s osobními údaji, a to jak na webových stránkách, v aplikacích tak i při jakémkoliv jiném používání osobních údajů ať k němu dochází automatizovaně nebo jinými prostředky.

2. Výchozí právní úprava

  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 z 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
  • Zákon č. 110/2019 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů

3. Základní principy zpracování osobních údajů

a) Veškeré osobní údaje Správce zpracovává vždy zákonně, korektně, spravedlivě, transparentně a odpovědně;

b) Osobní údaje jsou většinou zpracovávány manuálně, výjimečně automatizovaně, pouze osobami řádně proškolenými a dbajícími ochrany osobních údajů dle platných právních předpisů;

c) Zpracování je účelově omezené, což znamená, že osobní údaje jsou zpracovány pouze pro určité, výslovně vyjádřené a legitimní účely, přičemž osobní údaje nejsou dále zpracovávány způsobem, který je s těmito účely neslučitelný;

d) V rámci minimalizace údajů Správce zpracovává přiměřené, relevantní a omezené osobní údaje na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;

e) Správce zpracovává přesné a aktualizované osobní údaje. Pokud jsou osobní údaje nepřesné, Správce zajistí jejich opravu či případně výmaz, k čemuž může požadovat nezbytnou součinnost;

f) Správce ukládá osobní údaje ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány:

g) Správce zpracovává osobní údaje způsobem, který zajistí náležité zabezpečení a ochranu osobních údajů.

4. Kategorie osobních údajů

V souladu s principem minimalizace se pracuje pouze s relevantními osobními údaji, které Správce potřebuje k poskytování svých služeb. Zpracování těchto údajů se může týkat veškerých osob, na které se vztahuje pojištění.

Zpracovávají se zejména tyto druhy osobních údajů:

  • identifikační údaje
  • kontaktní údaje
  • údaje související s činností Správce – např. storna pojistných smluv, nahrávky telefonních hovorů, pokud jsou pořizovány, apod.
  • sociodemografická data
  • informace o využívání produktů – především informace, jaké produkty subjekt údajů u Správce využívá nebo využíval, přičemž na základě těchto informací můžeme Správce doporučit optimální nabídku pojištění
  • údaje související se subjektem osobních údajů a související se zprostředkovávanou smlouvou, zejména údaje pro ocenění rizika při vstupu do pojištění, údaje pro vyhodnocení potřeby a posouzení vhodnosti pojištění
  • informace z veřejně dostupných evidencí a rejstříků

5. Účel a způsoby zpracovávání osobních údajů

Osobní údaje jsou zpracovávány zejména za následujícími účely a pouze po dobu nezbytně nutnou ke splnění níže uvedených účelů:

a) Zpracování se souhlasem – subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů
Souhlas subjektu údajů se zpracováním osobních údajů je udělován zcela svobodně, je kdykoliv odvolatelný a je jasně odlišitelný od jiných souhlasů. Udělením souhlasu nelze podmínit poskytnutí služby. Tento způsob zpracování osobních údajů se nejčastěji uplatňuje z marketingových důvodů.

b) Zpracování bez souhlasu – na základě plnění smlouvy
Osobní údaje jsou zpracovávány na základě uzavřené smlouvy o zprostředkování pojištění a jejího plnění. Na tomto právním základě jsou zpracovávány identifikační a kontaktní údaje, údaje o posouzení vhodnosti zprostředkovávané smlouvy, údaje, které jsou nezbytné pro uzavření zprostředkovávané smlouvy.
Tyto osobní údaje jsou zpracovávány pro tento účel po dobu trvání smluvního vztahu.

c) Zpracování bez souhlasu – na základě oprávněných zájmů Správce
Pro takové zpracování není nutné získat souhlas od subjektu údajů. Na tomto právním základě budou zpracovávány identifikační a kontaktní údaje, údaje týkající se zprostředkovávané smlouvy, včetně souvisejících dokumentů, např. záznamy z jednání, nahrávané hovory týkající se zprostředkovávané smlouvy aj., a to pro účely:

  • zajištění řádného nastavení vztahů s pojišťovnou nebo jinými pojišťovacími zprostředkovateli, kde je oprávněným zájmem Správce na zajištění řádného chodu činnosti Správce,
  • ochrany právních nároků Správce,
  • prevence a odhalování pojistných podvodů a jiných protiprávních jednání, kde je oprávněným zájmem především předcházení vzniku pojistného podvodu a zabránění vzniku škod.

Pro tyto účely Správce osobní údaje uchovávat po dobu, po kterou je to nezbytné k realizaci práv a povinností plynoucích z výkonu zprostředkovatelské činnosti a po dobu trvání promlčecí doby a dále po dobu trvání povinnosti archivace. Tato doba nepřesáhne dobu 15 let od skončení poslední zprostředkované smlouvy. V případě zahájení soudního, správního nebo jiného řízení, budou osobní údaje zpracovány v nezbytném rozsahu po celou dobu trvání takových řízení.

d) Zpracování bez souhlasu – na základě plnění právních povinností
Na tomto právním základě se zpracovávají zejména identifikační a kontaktní údaje, údaje o vhodnosti, a to z důvodu dodržování příslušných zákonů souvisejících s činností Správce. Pro tento účel jsou osobní údaje uchovávány po dobu, po kterou jejich zpracování ukládají právní předpisy, tj. maximálně 10 let od skončení platnosti zprostředkovávané smlouvy. Proti tomuto zpracování není možné vznášet námitku ani odvolávat souhlasy se zpracováním, jelikož je zde zákonný důvod zpracování.

6. Záznamy o činnosti zpracování

Správce vede záznamy o činnostech zpracování osobních údajů fyzických osob.

Tyto záznamy obsahují:

a) jméno a kontaktní údaje správce a případně pověřence osobních údajů;

b) účely zpracování;

c) subjekt údajů a kategorie osobních údajů;

d) příjemce, kterým byly nebo budou osobní údaje zpřístupněny;

e) informace o případném předání osobních údajů do třetích zemí;

f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;

g) obecný popis technických a organizačních bezpečnostních opatření.

7. Zabezpečení a důvěrnost osobních údajů

Správce a veškeré další osoby, které se na zpracování osobních údajů podílejí mají povinnost mlčenlivosti. Přístup k osobním údajům mají jen ti pracovníci, kteří mají co do činění s péčí o zákazníky a zájemci o pojištění a dále ti pracovníci, co jsou pověření zpracování dotazů, žádostí a smluv.

8. Předávaní osobních údajů třetím stranám

Osobní údaje mohou být předány třetím osobám. Správce je oprávněn předat osobní údaje dozorčím úřadům, soudům a dalším subjektům v souvislosti s činností správce nebo v souvislosti s uzavřenou pojistnou smlouvu. Správce vždy předává takové údaje, jejichž vyžádání je nutné. Jedná se např. o následující subjekty: lékaři, nemocnice, znalci, podniky pověřené regulací škod, advokáti, notáři, banky, soudy úřady a zprostředkovatelé pojištění. Správce vždy při předání osobních údajů dbá, aby byla dodrženy zákonné zásady ochrany osobních údajů.

9. Další zpracovatelé / příjemci osobních údajů

a) Pojišťovací společnosti – zpracovávají osobní údaje za účelem uzavření pojistné smlouvy a při správě pojištění, provádění likvidace škodných událostí, bezpečnostní zálohování dat nebo o technickou podporu informačního systému správy a likvidace pojištění, problematiku AML a mezinárodních sankcí.

b) Dodavatelé služeb – zpracovávají osobní údaje za účelem plnění zákonných a smluvních povinností pojistitele nebo Správce – např. dodavatelé IT služeb, advokáti, účetní apod. Všichni dodavatelé služeb mají se Správcem uzavřenou smlouvu, jejíž součástí je ochrana osobních údajů případně se na tyto dodavatele služeb vztahuje zákonná povinnost o nakládání s osobními údaji.

c) Zajistitel – v některých případech je nezbytné předání pojistné smlouvy nebo informací o pojistné události zajistiteli, aby získat přehled o daném pojistném případu a s ním spojeném riziku.

d) Orgány dohledu v pojišťovnictví – zejména Česká národní banka.

e) Další příjemci (státní orgány a další instituce v rámci zákonných povinností, zejména orgány státní správy, soudy, správce daně, orgány činné v trestním řízení, orgány sociálního zabezpečení, exekutoři, notáři).

f) Souhlas subjektu údajů – se souhlasem nebo na příkaz subjektu údajů mohou být osobní údaje poskytnuty jiným subjektům.

10. Předávání osobních údajů do jiných zemí

Předávání zahrnuje nejen aktivní komunikaci osobních údajů, ale rovněž jejich zpřístupnění, např. formou přístupových práv k databázi. Pokud je předávání osobních údajů v rámci EU anebo EHP (Evropský hospodářský prostor), nemusí se provádět žádné zvláštní postupy a data lze předat stejně, jako by se jednalo o předání v rámci ČR. Pokud jde o předání mimo EU, Správce průběžně kontroluje na webových stránkách Úřadu pro ochranu osobních údajů, zda se jedná o zemi, která dle rozhodnutí Evropské komise poskytuje dostatečnou ochranu osobních údajů, a tam platí stejný režim jako pro předání v rámci EU.

11. Práva subjektu údajů (dotčených osob)

Právo odvolat souhlas – jestliže je účel zpracování osobních údajů založen na základě souhlasu, subjekt údajů má právo souhlas kdykoliv odvolat

Právo být informován – subjekt údajů má právo, aby mu Správce poskytl zdarma stručné, jasné, srozumitelné a snadno dostupné informace

Právo na přístup k osobním údajům – právo vědět, zda a jaké údaje jsou o subjektu údajů zpracovávány, za jakým účelem, po jakou dobu, kde jsou osobní údaje získány, komu jsou předávány, kdo je mimo Správce zpracovává a jaká jsou další práva související se zpracováním osobních údajů.

Právo na opravu osobních údajů – subjekt údajů má právo na to, aby bez zbytečného odkladu byly opraveny nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

Právo na výmaz – subjekt údajů má právo, aby bez zbytečného odkladu byly vymazány jeho osobní údaje, pokud například: a) jsou již nepotřebné pro účely, pro které byly zpracovány, b) odvolá souhlas s jejich zpracováním a neexistuje pro něj žádný další právní důvod, c) vznese námitku proti zpracování osobních údajů pro konkrétní účel a tato námitka bude úspěšná.

Toto nelze využít, pokud je Správce oprávněna zpracovávat osobní údaje na základě jiného právního titulu anebo pro jiný účel.

Právo na omezení zpracování – zejména v těchto případech: a) pokud subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, abych Správce mohl ověřit jejich přesnost, b) zpracování je protiprávní a subjekt údajů odmítá jejich výmaz, c) Správce již osobní údaje nepotřebuje zpracovávat, ale subjekt údajů požadujete jejich zpracování za účelem ochrany jeho oprávněných zájmů

Na zrušení omezení zpracování bude subjekt údajů předem upozorněn.

Právo na přenositelnost – právo na předání údajů jinému správci za současného splnění následujících podmínek: a) jedná se o osobní údaje, které subjekt údajů sám poskytl, například na formuláři o oznámení škodní události nebo zaslané lékařské zprávě, b) výkonem tohoto práva nebudou nepříznivě dotčena práva třetích osob, c) zpracování je založeno na souhlasu nebo na základě plnění smlouvy a probíhá automatizovaně v elektronické podobě. Osobní údaje Správce poskytuje bude poskytovat ve strukturovaném, běžně používaném a strojově čitelném formátu.

Právo vznést námitku proti zpracování osobních údajů – má právo vznést námitku proti zpracování osobních údajů, k němuž dochází na základě oprávněného zájmu Správce včetně profilování. Správce přestane zpracovávat osobní údaje, pokud zde nebudou závažné oprávněné důvody ve zpracovávání pokračovat. Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovány.

Právo nebýt předmětem automatizovaného rozhodnutí – právo žádat přezkum automatizovaného rozhodnutí, tj. automatizovanými postupy bez lidské ingerence, a to zejména pokud se domnívá, že takové rozhodnutí je nesprávné či se subjektu údajů významně dotýká. V rámci tohoto práva lze požadovat, aby rozhodnutí bylo přezkoumáno člověkem. Toto právo se neuplatní, pokud je rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem nebo je založeno na výslovném souhlasu subjektu údajů.

Právo podat podnět či stížnost na Úřad pro ochranu osobních údajů – Subjekt údajů může podat stížnost ve věci zpracování osobních údajů k Úřadu pro ochranu osobních údajů na adrese Pplk. Sochora 727/27, 170 00 Praha 7 – Holešovice nebo na email: posta@uoou.cz.

12. Pověřenec pro ochranu osobních údajů

Správce nemá zřízenou funkci pověřence na ochranu osobních údajů, jelikož tato povinnost se na Správce ze zákona nevztahuje.

13. Kontakt pro uplatnění práv subjektu údajů

Veškerá práva uvedená v těchto zásadách lze realizovat písemně na email podnety@gfp-makler.cz, nebo na adrese Dělnická 1020/54, 170 00 Praha 7 – Holešovice.

Platnost a účinnost od 1.12.2021