Zásady zpracování osobních údajů

Společnost Česká telekomunikační infrastruktura a.s., se sídlem Olšanská 2681/6, Žižkov, 130 00 Praha 3, IČO: 04084063, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod sp. zn. B 20623, (dále „CETIN“), kontaktní údaje email: dpo@cetin.cz, tel.: +420 238 461 111, www.cetin.cz, vydává tyto zásady ochrany osobních údajů, (dále „Zásady“), na základě čl. 12 Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), (dále „GDPR“).

Cílem Zásad je zejména informovat, jaké osobní údaje CETIN zpracovává o fyzických osobách při poskytování svých služeb, při návštěvách internetových stránek CETIN a kontaktech s potenciálními zákazníky, k jakým účelům a po jakou dobu tyto osobní údaje zpracovává, komu a z jakého důvodu je může předat, a rovněž informovat o právech osob v souvislosti se zpracováním jejich osobních údajů.

A. Kategorie osobních údajů

Osobním údajem je jakákoli informace, která se vztahuje k fyzické osobě, která je identifikovaná nebo identifikovatelná v souvislosti s podnikatelskou činností a poskytováním služeb společností CETIN. Může se jednat o následující kategorie osobních údajů:

1. Základní osobní identifikační údaje a adresní údaje

Takové údaje jsou potřebné pro uzavření a plnění smlouvy. Jedná se o:

  • akademický titul
  • jméno a příjmení
  • název obchodní firmy
  • rodné číslo; pokud nebylo přiděleno, pak datum narození
  • IČO, DIČ
  • adresa trvalého pobytu
  • adresa sídla nebo místa podnikání
  • fakturační adresa
  • čísla předložených identifikačních dokladů a jejich kopie (veškeré údaje, které nejsou potřebné pro poskytování služby, jsou na kopiích dokladů znečitelněny)
  • identifikační údaje zástupce zákazníka nebo kontaktní osoby, kterou zákazník určí
  • identifikační údaje plátce vyúčtování
  • bankovní spojení
  • podpis

2. Kontaktní údaje

  • kontaktní telefonní číslo
  • kontaktní e-mail
  • adresy na sociální sítě

3. Údaje o využívaných službách

  • druh a specifikace poskytované služby
  • objem poskytnutých služeb a jejich cena
  • zákaznický segment

4. Provozní údaje a lokalizační údaje

Tyto údaje jsou zpracovávané pro potřeby přenosu dat sítěmi elektronických komunikací, pro jejich účtování, řešení případných nesrovnalostí a reklamací služeb a plnění zákonných povinností CETIN. Jedná se zejména o:

  • volající číslo
  • volané číslo
  • adresa datového spojení (např. IP adresa nebo URL adresa)
  • datum a čas uskutečnění spojení
  • IMEI koncového zařízení
  • počet poskytnutých jednotek
  • doba trvání spojení
  • číslo, název a umístění koncového bodu sítě
  • typ přístupu k internetu

5. Ostatní údaje generované v souvislosti s poskytováním služeb

Tyto údaje vznikají při poskytování služeb, které nejsou službami elektronických komunikací, nebo při poskytování služeb elektronických komunikací nad rámec údajů potřebných pro přenos dat. Údaje generované sítěmi při poskytování služeb elektronických komunikací nad rámec provozních a lokalizačních údajů jsou nezbytné pro udržování a zvyšování kvality sítí a poskytovaných služeb, řešení případných technických problémů, reklamací kvality služby aj.

6. Údaje z komunikace se zákazníky

Tyto údaje vznikají při komunikaci související s poskytováním služeb mezi CETIN a zákazníkem. Jedná se o zápisy osobní komunikace se zákazníkem při přímém kontaktu, písemnou a elektronickou komunikaci a záznamy telefonických hovorů, chatové a další obdobné komunikace aj.

7. Údaje zpracované na základě Vašeho souhlasu

Zpracování těchto údajů není nezbytně nutné k plnění smlouvy, zákonných povinností CETIN či na ochranu jeho oprávněných zájmů. Umožňuje však zlepšovat služby a vyhovět zájmu a potřebám zákazníků v souladu s vývojem IT technologií. Tyto údaje jsou zpracovány jen v případě udělení souhlasu a mohou být zpracovány po dobu platnosti tohoto souhlasu. Jedná se zejména o:

  • údaje získané marketingovými průzkumy (jsou zpracovány na základě souhlasu se zpracováním osobních údajů pro marketingové a obchodní účely)
  • údaje o využívání služeb, produktů, výhod a bonusů a typovém chování při využívání služeb (jsou zpracovány rovněž na základě souhlasu)
  • kontaktní údaje v případě, že se nejedná o zákazníka CETIN (jsou zpracovány na základě souhlasu s marketingovým oslovením)
  • záznamy o chování na internetových stránkách CETIN, získané z cookies v případě jejich povolení ve webovém prohlížeči (jsou zpracovány pro vylepšení provozu internetových stránek CETIN, internetovou reklamu a při udělení souhlasu se zpracováním osobních údajů pro marketingové a obchodní účely jsou tyto údaje zpracovány společně s ostatními osobními údaji pro daný účel)

B. Účely, právní důvody a doby zpracování osobních údajů

Rozsah zpracovávaných údajů závisí na účelu zpracování. V podmínkách CETIN je možné zpracovávat údaje pro některé účely bez souhlasu subjektu údajů zejména na základě smlouvy, pro plnění zákonné povinnosti CETIN nebo z důvodů nezbytnosti pro účely oprávněných zájmů správce či třetí strany; pro jiné účely je zpracování možné na základě souhlasu subjektu údajů.

1. Zpracovávání z důvodu plnění smlouvy, plnění zákonných povinností a z důvodu oprávněných zájmů

Poskytnutí osobních údajů nutných pro plnění smlouvy, plnění zákonných povinností CETIN a ochranu oprávněných zájmů je povinné. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné služby poskytovat. Ke zpracování osobních údajů pro tyto účely nepotřebuje CETIN souhlas subjektu údajů. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.

Jedná se zejména o tyto základní dílčí účely:

  • zajišťování provozu a ochrany sítí elektronických komunikací (plnění smlouvy)
  • poskytování služeb elektronických komunikací, platebních transakcí, poskytování dalších služeb (plnění smlouvy)
  • vyúčtování za služby (plnění smlouvy)
  • informace k žádostem o vydání vyjádření k existenci sítí, stanoviska k projednávané projektové dokumentaci, dotazy k vydanému vyjádření o existenci sítí (plnění zákonné povinnosti)
  • plnění zákonných daňových povinností (plnění zákonných povinností)
  • účely stanovené zvláštními zákony pro potřeby trestního řízení a pro splnění povinnosti součinnosti s Policií České republiky a dalšími státními orgány (plnění zákonných povinností)
  • výměna údajů mezi provozovateli sítí a poskytovateli služeb elektronických komunikací pro zajištění propojení a přístupu k síti, ke vzájemnému vyúčtování (plnění smlouvy)
  • provozování kamerových a monitorovacích systémů v prostorách CETIN pro účely prevence vzniku škod (oprávněný zájem CETIN)
  • vyhodnocování chování zákazníka při využívání služeb a jeho platební morálky pro účely prevence vzniku pohledávek, které může mít vliv na rozhodování CETIN o podmínkách uzavírání dalších smluv se zákazníkem, přičemž rozhodování o uzavření či neuzavření další smlouvy neprobíhá automatizovaně (oprávněný zájem CETIN)
  • vymáhání pohledávek za zákazníkem a ostatní zákaznické spory (oprávněný zájem)
  • nahrávání a monitorování hovorů se zákaznickou linkou (plnění smlouvy)
  • procesy spojené s identifikací zákazníka (plnění smlouvy)
  • zajištění důkazů k uplatnění práv CETIN (oprávněný zájem)
  • evidence dlužníků (oprávněný zájem)
  • evidence zneužívání sítě a služeb elektronických komunikací (oprávněný zájem)
  •  obchodní sdělení CETIN (oprávněný zájem)

Osobní údaje pro uvedené činnosti jsou zpracovávány v rozsahu potřebném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány či anonymizovány. Základní lhůty pro zpracování osobních údajů jsou uvedeny níže.

U zákazníků se splněnými závazky je CETIN oprávněn zpracovávat základní osobní, identifikační, kontaktní údaje, údaje o službách a údaje z jejich komunikace se společností CETIN po dobu 3 let ode dne ukončení platnosti poslední smlouvy.

Pokud jednání mezi CETIN a potenciálním zákazníkem nebylo završeno uzavřením smlouvy, je CETIN oprávněn zpracovávat poskytnuté osobní údaje po dobu 3 měsíců od skončení jednání.

Faktury, vystavené CETIN, jsou archivovány po dobu 10 let od jejich vystavení [§ 35 zákona č. 235/2004 Sb., o DPH].

Zákaznické smlouvy jsou pro doložení právního titulu pro fakturaci archivovány po dobu 10 let ode dne ukončení jejich platnosti.

Identifikační údaje z průkazu totožnosti zákazníka, potřebné pro poskytování služby, zpracovává CETIN po dobu 10 let ode dne ukončení platnosti příslušné smlouvy [§ 16 zákona č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu]. K splnění této zákonné povinnosti si CETIN ponechává po uvedenou dobu kopie průkazu totožnosti s nezbytnými údaji pro poskytování služby; ostatní údaje, které nejsou nutné pro poskytování služby, jsou znečitelněny.

CETIN je povinen uchovávat provozní údaje služby do konce doby, v níž může být vyúčtování ceny nebo poskytnutí služby elektronických komunikací právně napadeno reklamací nebo úhrada vymáhána [§ 90 odst. 3 a 4 zákona č. 127/2005 Sb., o elektronických komunikacích]. Pro tento účel CETIN zpracovává provozní údaje po dobu 3 až 6 měsíců od jejího poskytnutí, není-li třeba doby delší [§ 64 odst. 8 až 10 a § 129 odst. 3 zákona č. 127/2005 Sb., o elektronických komunikacích]. CETIN je dále oprávněn zpracovávat provozní údaje služby do doby rozhodnutí sporu o námitce proti vyřízení reklamace nebo do doby, po kterou může být pohledávka právně vymáhána.

CETIN je povinen uchovávat po dobu 6 měsíců provozní a lokalizační údaje, které jsou vytvářeny nebo zpracovávány při zajišťování jejích veřejných komunikačních sítí a při poskytovávání veřejně dostupných služeb elektronických komunikací, a na požádání je bezodkladně poskytnout orgánům činným v trestním řízení, Policii České republiky pro účely zahájeného pátrání po hledané nebo pohřešované osobě, zjištění totožnosti osoby neznámé totožnosti nebo totožnosti nalezené mrtvoly, předcházení nebo odhalování konkrétních hrozeb v oblasti terorismu nebo prověřování chráněné osoby, Bezpečnostní informační službě pro účely a při splnění podmínek stanovených zvláštním právním předpisem, Vojenskému zpravodajství pro účely a při splnění podmínek stanovených zvláštním právním předpisem a České národní bance pro účely a při splnění podmínek stanovených zvláštním právním předpisem [§ 97 zákona č. 127/2005 Sb., o elektronických komunikacích].

Obchodní sdělení můžeme zasílat našim zákazníkům na základě oprávněného zájmu CETIN, do doby, než vysloví svůj nesouhlas, nebo na základě výslovného souhlasu se zpracováním osobních údajů pro marketingové a obchodní účely. V zaslaných obchodních sděleních je uveden rovněž kontakt pro odmítnutí jejich zasílání.

2. Zpracovávání údajů se souhlasem zákazníků služeb CETIN pro marketingové a obchodní účely

CETIN zpracovává se souhlasem zákazníka jeho osobní údaje pro marketingové a obchodními účely. Pro období od účinnosti GDPR dne 25.5.2018 získává CETIN nové souhlasy pro marketingové a obchodní účely.

S tímto souhlasem zpracovává CETIN osobní údaje především pro vytvoření vhodné nabídky svých produktů a služeb nebo třetích stran a v souvislosti s oslovením zákazníka, a to telefonicky, písemně (včetně příloh k vyúčtování), prostřednictvím prostředků internetové reklamy a formou elektronické komunikace prostřednictvím kontaktních údajů nebo čísel služby.

Poskytnutí souhlasu k marketingovým a obchodním účelům je dobrovolné a zákazník jej může kdykoli odvolat.

Pro marketingové a obchodní účely mohou být zpracovány veškeré kategorie údajů, uvedené v sekci A těchto Zásad (s výjimkou podpisu a kopií identifikačních dokladů), a to s ohledem na rozsah poskytnutého souhlasu.

Pokud subjekt údajů svůj souhlas odvolá, není tím dotčeno zpracování jeho osobních údajů ze strany CETIN pro jiné účely a na základě jiných právních titulů v souladu s těmito Zásadami.

3. Zpracovávání údajů subjektů, které udělily souhlas s marketingovým oslovením prostřednictvím elektronického kontaktu

U subjektů, které udělily souhlas s marketingovým oslovením prostřednictvím elektronického kontaktu, zpracovává CETIN s jejich souhlasem po dobu uvedenou v souhlasu kontakty, které jí subjekt dá k dispozici pro účely marketingového oslovení s nabídkou služeb a produktů CETIN. Pokud je tento souhlas udělen prostřednictvím internetových stránek CETIN, jsou společně s těmito kontakty zpracovány i údaje z cookies společnosti CETIN v případě, že má subjekt cookies ve webovém prohlížeči povoleny.

4. Zpracovávání cookies z internetových stránek provozovaných společností CETIN

Pokud má subjekt údajů ve svém webovém prohlížeči povoleny cookies [bod 30 odůvodnění GDPR], CETIN zpracovává záznamy o jeho chování z cookies, umístěných na internetových stránkách CETIN. Děje se tak pro zlepšení funkčnosti našich webových stránek (např. rozlišováním jednotlivých uživatelů, ukládáním uživatelských předvoleb apod.), abychom lépe porozuměli, jak naši návštěvníci stránky, nástroje a služby používají nebo zlepšit zkušenost zákazníků s našimi stránkami při jejich další návštěvě.

C. Sdílení osobních údajů s jinými správci

CETIN je v souladu udělenými souhlasy se zpracováním osobních údajů pro účely marketingu v těchto případech oprávněn k předání vymezených osobních údajů dalším správcům, společnostem:

  • 365internet s.r.o., IČ 05111137,
  • AIRWAYNET a.s. IČ: 61058068,
  • AVONET, s.r.o., IČO: 25322478,
  • Český bezdrát s.r.o., IČO: 25902415,
  • DIGI CZ s.r.o., IČO: 046 68 529,
  • Eldata pražská s.r.o., IČO: 27447995,
  • FIXnet s.r.o. IČO: 26357739,
  • GiTy, a.s., IČO: 25302400,
  • GTT a.s., IČO: 63080605,
  • Nordic Telecom s.r.o., IČO: 04001281,
  • O2 Czech Republic a.s., IČO: 60193336,
  • Planet A, a.s., IČO: 00537012,
  • T-Mobile Czech Republic a.s., IČO: 64949681,
  • VIRIDIUM.CZ s.r.o., IČO: 27498506,
  • Vodafone Czech Republic a.s., IČO: 25788001 a
  • WIA spol. s r.o., IČO: 26703297.

D. Kategorie příjemců osobních údajů

CETIN využívá při plnění svých závazků a povinností ze smluv odborné a specializované služby jiných subjektů. Pokud tito dodavatelé zpracovávají osobní údaje předané jim CETIN, mají postavení zpracovatelů, kteří pracují pouze v rámci pokynů CETIN. Zpracovávané osobní údaje nesmí využít k jiným účelům. Jde zejména o správu IT systémů, internetovou reklamu nebo obchodní zastoupení. Každého našeho dodavatele pečlivě vybíráme, uzavíráme s ním smlouvu o zpracování osobních údajů, ve které jsou stanoveny přísné povinnosti k ochraně a zabezpečení osobních údajů.

Zpracovateli jsou společnosti se sídlem na území České republiky, tak se sídlem v členském státě Evropské unie nebo tzv. státech bezpečných. K předání a zpracování osobních údajů v zemích mimo území Evropské unie, dochází vždy v souladu s platnou legislativou.

CETIN v rámci plnění uložených zákonných povinností může předávat osobní údaje správním orgánům a úřadům stanoveným platnou legislativou.

E. Způsob zpracování osobních údajů

CETIN zpracovává osobní údaje ve svých provozovnách, pobočkách a sídle správce jednotlivými pověřenými zaměstnanci správce, příp. zpracovatelem.

Zpracování se provádí pomocí výpočetní techniky, popř. i manuálním způsobem u osobních údajů v listinné podobě za dodržení všech bezpečnostních zásad pro správu a zpracování osobních údajů.

Za tímto účelem přijal správce technickoorganizační opatření k zajištění ochrany osobních údajů, zejména opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Veškeré subjekty, kterým mohou být osobní údaje zpřístupněny, respektují právo subjektů údajů na ochranu soukromí a jsou povinny postupovat dle platných právních předpisů týkajících se ochrany osobních údajů.

F. Informace o právech subjektů údajů v souvislosti se zpracováním osobních údajů

Subjekt údajů, který je identifikovatelnou fyzickou osobou a prokáže svoji totožnost, má následující práva:

1. Právo na přístup k osobním údajům

Subjekt údajů má právo na přístup ke svým osobním údajům [čl. 15 GDPR], které zahrnuje jednak právo získat od společnosti CETIN:

  • potvrzení, zda zpracovává osobní údaje,
  • informace o
    • účelech zpracování,
    • kategoriích dotčených osobních údajů,
    • příjemcích nebo jejich kategoriím, kterým osobní údaje byly nebo budou zpřístupněny,
    • plánované době zpracování a kritériích, podle kterých je určena,
    • existenci práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování,
    • právu podat stížnost u dozorového úřadu,
    • veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
    • skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, v souvislosti s jeho využitím pro rozhodování, pokud jsou na základě tohoto zpracování činěny úkony nebo rozhodnutí, jejichž obsahem je zásah do práva a oprávněných zájmů Klienta,
    • o vhodných zárukách při předání údajů mimo EU,
  • kopii osobních údajů, pokud nebudou nepříznivě dotčena práva a svobody jiných osob. Při opakované žádosti bude CETIN oprávněn za pořízení kopie osobních údajů účtovat přiměřený poplatek.

Právo na potvrzení o zpracování osobních údajů a na informace je možné uplatnit na dpo@cetin.cz.

2. Právo na opravu nepřesných údajů

Subjekt údajů, který zjistí nebo se domnívá, že CETIN jako správce nebo zpracovatel nebo jiná osoba, která pro CETIN provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života nebo v rozporu se zákonem, může požádat o vysvětlení nebo požadovat opravu, resp. doplnění osobních údajů [čl. 16 GDPR].

Zákazník má povinnost oznamovat CETIN změny svých osobních údajů na kontaktní adresu: dpo@cetin.cz, a tyto doložit. Je rovněž povinen poskytnout součinnost, pokud zpracovávané osobní údaje nebudou přesné.

Bude-li žádost zákazníka shledána oprávněnou, provede CETIN opravu bez zbytečného odkladu podle daných technických možností. Nebude-li žádosti vyhověno, může se Klient obrátit na dozorový úřad, přičemž právo obrátit se na úřad přímo tím není dotčeno.

3. Právo na výmaz

Subjekt údajů má právo na výmaz svých osobních údajů [čl. 17 GDPR], pokud byly splněny zákonné podmínky, např. osobní údaje již nejsou potřeba k účelům, pro něž byly získány nebo se jinak zpracovávaly.

Společnost CETIN má nastaveny mechanismy pro zajištění automatické anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro nějž byly zpracovávány.

Pokud se subjekt údajů domnívá, že nedošlo k výmazu jeho osobních údajů, může se obrátit na dpo@cetin.cz.

4. Právo na omezení zpracování

Subjekt údajů má do doby vyřízení svého podnětu právo na omezení zpracování [čl. 18 GDPR], pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování.

5. Právo na oznámení opravy, výmazu nebo omezení zpracování

Subjekt údajů má právo na oznámení [čl. 19 GDPR] v případě opravy, výmazu nebo omezení zpracování osobních údajů. Dojde-li k opravě nebo výmazu, budeme informovat jednotlivé příjemce údajů, s výjimkou případů, kdy se to ukáže jako nemožné nebo by to vyžadovalo nepřiměřeného úsilí. Na žádost subjektu údajů na dpo@cetin.cz můžeme poskytnout informaci o těchto příjemcích.

6.Právo na přenositelnost osobních údajů

Subjekt údajů má právo získat osobní údaje [čl. 20 GDPR], jejichž zpracování se provádí automatizovaně, a které poskytl správci v souvislosti se smlouvou o poskytování služeb nebo na základě svého souhlasu, a právo předat je jinému správci.

Bude-li to technicky proveditelné, lze údaje předat přímo zákazníkem určenému správci, pokud bude řádně určena osoba jednající za takového správce a bude takové předání autorizovat.

Údaje budou poskytnuty ve strukturovaném, běžně používaném a strojově čitelném formátu.

Pokud by se výkon práva na přenositelnost osobních údajů mohl nepříznivě dotknout práv a svobod třetích osob, není možné žádosti vyhovět.

7. Právo vznést námitku proti zpracování osobních údajů

Subjekt údajů má právo vznést kdykoli námitku z důvodů jeho konkrétní situace [čl. 21 GDPR] proti zpracování jeho osobních údajů, jde-li o zpracování z důvodu oprávněného zájmu CETIN [čl. 6 odst. 1 písm. f) GDPR].

Pokud nebude existovat závažný oprávněný důvod CETIN pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, CETIN ukončí zpracování bez zbytečného odkladu.

Námitku je možné podat na dpo@cetin.cz.

8. Právo na odvolání souhlasu se zpracováním osobních údajů

Souhlas se zpracováním osobních údajů je možné kdykoliv odvolat. Odvolání je třeba učinit výslovným, srozumitelným a určitým projevem vůle, na dpo@cetin.cz.

Souhlas s marketingovým oslovením udělený ke konkrétnímu elektronickému kontaktu je možné kdykoli odvolat na dpo@cetin.cz.

Zpracování údajů z cookies je možné zamezit nastavením webového prohlížeče na Vašem počítači.

9. Automatizované individuální rozhodování včetně profilování

Subjekt údajů má právo nebýt předmětem rozhodnutí, založeného výhradně na automatizovaném zpracování, včetně profilování, které by pro něj mělo právní účinky nebo se jej obdobným způsobem významně dotklo [čl. 22 GDPR].

CETIN uvádí, že neprovádí automatizované rozhodování bez vlivu lidského posouzení s právními účinky pro subjekty údajů.

10. Právo obrátit se na Úřad pro ochranu osobních údajů

Subjekt údajů má právo kdykoliv se obrátit na dozorový úřad, kterým je Úřad pro ochranu osobních údajů, viz www.uoou.cz.

G. Dotazy a informace

Odpovědi na případně další dotazy o právech a povinnostech při ochraně osobních údajů, vysvětlení a aktuální informace z této oblasti může subjekt údajů získat na webových stránkách CETIN www.cetin.cz, na informační lince +420 238 461 111 nebo prostřednictvím e-mailu na dpo@cetin.cz.