Privacy Policy

INFORMATION ON THE PROCESSING OF PERSONAL DATA FOR CONTRACTUAL PARTNERS AND THEIR CONTACT PERSONS

This document describes how our company processes your personal data in cases where it acts as controller. The information is provided in connection with the General Data Protection Regulation (i.e. Regulation (EU) No 2016/679, which we will refer to as the “Regulation”).

In this information notice, we summarise the basic principles of the processing of personal data by the controller where such data concern actual or potential contractual partners – natural persons or contact persons of contractual partners who are named in a contract or who are involved in negotiations on its conclusion or in its performance on the part of the contractual partner (hereinafter “contractual partners’ personal data”). For the purposes of this document, we do not regard as contractual partners the current and former employees of our company, who are informed about the processing of their personal data in internal documents.

CONTROLLER OF PERSONAL DATA AND ITS CONTACT DETAILS

The controller of personal data is TRL Space Systems s.r.o., Company ID No.: 03467112, with its registered office at Bauerova 491/10, 603 00 Brno, Czech Republic, entered in the Commercial Register kept by the Regional Court in Brno under File No. C 84988 (hereinafter the “controller”).

Registered office address: Bauerova 491/10, 603 00 Brno, Czech Republic

E-mail: gdpr@trlspace.cz

Telephone: +420 603 400 136

Data box ID: etyqsr3

A Data Protection Officer has not been appointed in our company. For all questions relating to personal data protection, please use the above contacts.

OVERVIEW OF THE CATEGORIES OF PERSONAL DATA PROCESSED AND THEIR SOURCES

Personal data means any information relating to an identified or identifiable natural person (also referred to as the “data subject”). An identifiable natural person is a natural person who can be identified, directly or indirectly, in particular by reference to an identifier, such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.

The personal data concerning you which we process are for the most part obtained directly from you, or in the course of contractual cooperation with you or with a person who has named you in a contract concluded with us as a contact person or a person involved in the performance of the contract. In justified cases, in particular when enforcing claims, we may also search for further information concerning you from public and open sources.

We process only reasonable personal data necessary for the purposes set out below. Typically, these categories are:

  • Identification and contact data: name, surname, title, role/position, name of employer/company, Company ID/VAT No. or other registration number, registered office/place of business address, correspondence address, e-mail, telephone number, data box ID
  • Data relating to the contract and its performance: content of the contract, orders, delivery and invoicing details, payment details (account number, variable symbol), consideration received/provided, complaints correspondence
  • Communication data: content and metadata of communications (time of sending/receiving, IP address, e-mail headers), records of meetings and negotiations
  • Data from public sources: data from the Commercial/Trade Register, ARES, the Insolvency Register, professional websites and public databases
  • Other data included in the contract or provided prior to the conclusion of the contract or on the basis of the contract

For potential contractual partners, our company may process further data obtained from open sources (e.g. their websites, social media profiles, adverts they have placed, public registers, media reports) so that they can be contacted with a request or an offer of services and products or other cooperation. Our company may store such basic data in its CRM database for the purpose of further contact and developing cooperation.

For processors of personal data acting for the controller within the meaning of Article 28 of the Regulation, for other controllers to whom the controller transfers data, and for joint controllers within the meaning of Article 26 of the Regulation, selected publicly available data on their commercial activities may be stored for the purpose of verifying and demonstrating their trustworthiness from the perspective of personal data processing.

PURPOSES OF PROCESSING

In this section, we provide an overview of the purposes for which we will need and process contractual partners’ personal data. As a rule, each piece of data is used for several purposes at the same time. The defined purposes also determine the means of processing, the processing period, etc. In certain cases specified in the Regulation, we may process your data for purposes other than those listed below; however, these concern exceptional and limited cases, which the Regulation makes conditional on additional requirements being met.

The primary purpose of processing the contractual partner’s personal data is pre-contractual negotiations and the subsequent conclusion and performance of the contract. For these purposes, we will usually use all data provided. In this context, the data will also be used:

  • to keep records of contractual documentation
  • to ensure the proper and timely performance of contractual relationships
  • to enforce monetary claims and outstanding consideration
  • to monitor the activities of our employees (in particular data about contacts with the contractual partner), compliance and whistleblowing
  • for financial planning and statistical purposes, usually data on the amount of consideration and the number of contracts concluded, and, for example, the number of meetings between our employees and the contractual partner
  • for further development of the controller’s activities, whether services or products covered by the contract, the launch of new cooperation, or internal administrative procedures
  • to protect the rights of the controller and third parties (e.g. other contractual partners), in particular against unlawful activities

Data obtained in particular from electronic communications with the contractual partner, such as IP address and time of communication, will also be used for the purpose of managing the controller’s IT security.

Furthermore, the contractual partner’s personal data will be used for the purpose of:

  • fulfilling legal obligations, in particular under regulations on bookkeeping and taxation, and regulations concerning personal data protection both for the contractual partner and for persons acting on its behalf
  • direct marketing, i.e. in particular sending offers of cooperation or offers relating to our products and services, by contacting you by e-mail or telephone. For these purposes, we will usually use information about the contractual partner’s contact details and, to a reasonable extent, about its previous cooperation and ordered services or products, so that we can make appropriate offers.

LEGAL BASIS FOR PROCESSING

All processing of personal data must be lawful – it must be based on one of the legal bases for processing listed in the Regulation. Similarly to purpose, each piece of data may be processed on the basis of several legal grounds for processing. If all legal grounds cease to apply, we will stop processing your data. The possible legal grounds for processing are listed in Article 6 of the Regulation.

Please note that if we process your personal data on the basis of your consent, you may withdraw this consent at any time. To withdraw your consent, please contact us using the contact details above. The withdrawal of consent does not affect the lawfulness of processing based on consent prior to its withdrawal.

As a rule, contractual partners’ data are not processed on the basis of consent.

The legal basis for processing contractual partners’ personal data is:

  • pre-contractual negotiations or performance of a contract (Article 6(1)(b) of the Regulation)
  • the legitimate interests of the controller and of third parties, in particular other contractual partners involved in the performance in which the contractual partner will also participate, including the enforcement of legal claims, which arise from the interest in keeping records of contractual relationships and the interest in protecting their rights, in particular against legal claims and unlawful activities, including IT security, processing for statistical purposes and further development of the controller’s services, and processing for direct marketing purposes (Article 6(1)(f) of the Regulation)
  • the performance of legal obligations (Article 6(1)(c) of the Regulation), in particular the prevention of unlawful activities, the performance of obligations under personal data protection legislation (Act No. 119/2019 Coll. and the Regulation), bookkeeping, the performance of obligations under tax legislation and legislation regulating advertising (in particular Act No. 40/1995 Coll.).

RIGHT TO OBJECT

The right to object is an important right of the data subject. The possibility to raise an objection does not apply to all cases of processing. For example, it is not possible to exercise this right where we process your data that are necessary for the performance of a contract or where the processing is imposed on us by law. The right to object is laid down in Article 21 of the Regulation.

This right enables you to have processing carried out on the basis of our so-called legitimate interest (Article 6(1)(f) of the Regulation) reviewed in cases where this is justified by your particular situation, i.e. where the processing itself is permissible, but there are specific reasons on your side why you do not wish the processing to continue.

Where the legal basis for processing the contractual partner’s personal data is the controller’s legitimate interest (this concerns in particular processing for IT security purposes, for statistical purposes and for further development of the controller’s services and the protection of the controller’s or third parties’ rights), the contractual partner has the right, on grounds relating to its particular situation, to object at any time to such processing of personal data. In such a case, the controller will no longer process such personal data unless there are compelling legitimate grounds for the processing which override the contractual partner’s interests or rights and freedoms, or unless the data are processed for the establishment, exercise or defence of legal claims.

The data subject may raise an objection to the processing by using the contact details set out above (preferably by e-mail to gdpr@trlspace.cz). In the e-mail, please state the specific situation which leads you to conclude that the controller should not process the personal data concerned.

Where data are processed for direct marketing purposes (sending marketing communications), an objection may always be raised without further requirements, so in such cases you do not have to give any reasons why you no longer wish to receive marketing communications. In these cases, the easiest way to raise an objection is to unsubscribe from further communications by clicking on the link which will usually be attached to them for this purpose. You have the same right also under Section 7 of Act No. 480/2004 Coll.

Please note that even in the above cases, personal data will usually also be processed in parallel for other purposes, which will justify the controller’s continued processing of such data, for example for the protection of our rights or to demonstrate the legal basis on which we sent you commercial communications.

PERIOD FOR WHICH DATA WILL BE PROCESSED

Our company cannot process your data for an arbitrary length of time; the processing period is limited to the period during which we actually need or are required to process your data. We seek to limit the length of this period so that it appropriately reflects both your interests and ours. Sometimes it is more difficult to determine the required processing period, or for security reasons it is not appropriate to disclose its exact length, and so we at least set out below some of the criteria we use to determine the length of time for which we process your data.

Personal data will only be processed for a limited and strictly necessary period, which is always based on the purpose of the processing.

Where the processing period is laid down by legal regulations, personal data will be processed for such a period unless the reasons set out below justify a longer processing period.

A basic record that a contract has been concluded by the controller with a certain entity, when this happened and what the subject of performance was, may be stored in the contracts database without any time limitation.

For the purpose of sending commercial communications, the controller will process the contractual partners’ contact details until the contractual partner expresses its disagreement with such sending. Even after that, however, the controller will process basic data about the fact that commercial communications were sent to the contractual partner, for a reasonable period in order to demonstrate the lawfulness of such sending.

The above periods may also be exceeded in individual cases where justified by the circumstances, for example if court proceedings are begun with a contractual partner or if an inspection by a public authority is in progress, etc.

When determining the appropriateness of the period for which personal data are processed, we will also take into account in particular the following factors:

  • the length of validity and effectiveness of the contract
  • the length of the limitation period
  • the likelihood of legal claims being made
  • usual market practice
  • the likelihood and significance of potential risks
  • any recommendations of supervisory authorities

UPDATING DATA

One of our obligations as controller of personal data is to process only accurate data and, where appropriate in view of the circumstances, to complete incomplete data. If you provide us with information about a change in your data, you help us to fulfil this obligation properly.

If the data you have provided or other data supplied by the contractual partner change, we kindly ask you to send us information on such change. For the purpose of updating data, the controller may be contacted using the contact details below, preferably by e-mail at gdpr@trlspace.cz.

HOW PROCESSING WILL TAKE PLACE AND ITS CONSEQUENCES

The controller will process personal data in particular in its own IT systems and in those of its processors. The controller will process hard copy documents in its filing system. Individual employees may also keep their own records corresponding to their job positions.

We do not carry out decision-making based solely on automated processing with legal or similarly significant effects, nor do we carry out profiling with such effects.

The provision of the data processed by the contractual partner is voluntary. However, without the provision of certain data, it will not be possible to conclude or perform a contract, of which you will be informed. In some cases, certain data are subsequently required by law, in particular regulations on bookkeeping.

DISCLOSURE OF PERSONAL DATA TO OTHER PERSONS (RECIPIENTS OF PERSONAL DATA)

Our company does not carry out all processing of personal data itself. We sometimes engage third parties to carry out processing, so-called processors of personal data. We seek to select only those processors who are sufficiently trustworthy. In some cases, we may also make your data accessible to persons who will be separate controllers of personal data or joint controllers together with our company.

The controller may make personal data accessible to third parties only in cases where this is required or permitted by legal regulations or with the contractual partner’s consent. The controller only discloses personal data to processors or other recipients to the usual extent:

  • providers of external services, typically programming or other technical support services, providers of IT systems, server services, e-mail dispatch services and providers of archiving services
  • operators of (back-up) servers or operators of technologies used by the controller who process personal data in order to ensure the proper functioning of the relevant services.

Furthermore, personal data may be made accessible to legal, economic and tax advisers and auditors or to persons forming a group with the controller, to the extent strictly necessary, who process the data for the purpose of providing advisory services.

Personal data relating to debtors may also be made accessible to companies providing receivables insurance or to collection agencies, for the purpose of enforcing or collecting receivables.

At the request of public authorities or in cases of suspected unlawful conduct, personal data may also be provided to public authorities.

Certain special regulations entitle affected persons to request the disclosure of certain data, for example under Section 6b(2) of Act No. 40/1995 Coll., an advertiser is obliged to inform a person who shows a legitimate interest who the advertiser and processor of the advertising is.

In the case of payment transactions, banks or internet payment service providers may obtain certain data to the usual extent.

In the event of the sale of a business or part thereof or of a company restructuring, personal data may be transferred to such an acquirer/successor or, to a limited extent, to prospective purchasers for the purpose of legal due diligence.

TRANSFER OF PERSONAL DATA ABROAD

Under the Regulation, the principle of the free flow of personal data within the European Union (“EU”) applies, but it restricts the transfer of personal data abroad outside the EU, i.e. outside the European Economic Area (“EEA”). As a rule, our company does not transfer personal data abroad outside the EU (EEA), except in cases where we work on joint international projects and share in particular our contact details and data necessary for the performance of the contract. In such a case, the contractual partner is informed during the negotiations on the conclusion of the contract or in the course of the performance of the contract.

However, it may happen that your personal data are processed in an IT system whose servers are located outside the EU/EEA, even though we try to avoid such situations. For certain widely-used systems, this cannot be avoided. These are in particular systems of companies such as Google or Microsoft and similar multinational companies. For the most part, these are systems using servers located in the United States of America.

To ensure transfers of data outside the EU/EEA, we use three main tools:

  • Adequacy decisions of the European Commission. These decisions have been issued for a number of countries; however, the most important one is the decision of 10 July 2023 concerning the transfer of personal data to the United States of America. It was adopted by Commission Implementing Decision (EU) 2023/1795. Information on such decisions for other countries outside the EU is available here. A list of companies in the USA certified under Regulation (EU) 2023/1795 is available here.
  • Standard Contractual Clauses issued by the European Commission. Further information on the Standard Contractual Clauses is available here. Please note that the data exporter is obliged to provide the data subject with a copy of these clauses, including the annex completed by the parties, free of charge. To the extent necessary to protect business secrets or other confidential information, including personal data, the data exporter may redact part of the wording of the annex before sharing the copy, but will provide a meaningful summary if otherwise the data subject would not be able to understand its content or exercise their rights. The parties will provide the data subject, upon request, with the reasons for the redactions to the greatest extent possible without revealing the redacted information.

For further information and to request additional data under the Regulation, please contact us.

INFORMATION ON DATA SUBJECTS’ RIGHTS

A natural person has the right, vis-à-vis our company as controller of personal data, to:

  • request access to personal data which the controller processes, meaning the right to obtain from the controller confirmation as to whether or not personal data concerning them are being processed, and, where that is the case, the right to access those personal data and to other information referred to in Article 15 of the Regulation,
  • request the rectification of personal data concerning them which are processed if they are inaccurate (Article 16 of the Regulation). Having regard to the purposes of the processing, in some cases they also have the right to request the completion of incomplete personal data,
  • request the erasure of personal data in the cases laid down in Article 17 of the Regulation,
  • request the restriction of processing in the cases laid down in Article 18 of the Regulation,
  • obtain the personal data concerning them which:
    • we process with their consent, or
      • we process for the performance of a contract to which such natural person is party, or for taking steps at their request prior to entering into a contract,


in a structured, commonly used and machine-readable format, and they have the right to transmit those data to another controller, under the conditions and subject to the limitations set out in Article 20 of the Regulation, and

  • have the right to object to processing within the meaning of Article 21 of the Regulation on grounds relating to their particular situation.

If we receive such a request, we will inform the applicant of the measures taken without undue delay and in any event within one month of receipt of the request. Where necessary, that period may be extended by a further two months having regard to the complexity and number of requests.

In certain cases laid down in the Regulation, our company is not obliged to comply with the request in full or in part. This will be the case in particular where the request is manifestly unfounded or excessive, in particular because of its repetitive character. In such cases, we may charge a reasonable fee taking into account the administrative costs of providing the requested information or communication or of taking the requested action, or we may refuse to act on the request.

If we receive such a request and have reasonable doubts as to the identity of the applicant, we may ask them to provide additional information necessary to confirm their identity.

We will retain information that a data subject has exercised their rights with us and how we have handled their request for a reasonable period (usually 3–4 years) in order to document this fact, for statistical purposes, to improve our services and to protect our rights.

If a data subject believes that our company is unlawfully processing their personal data or otherwise infringing their rights, they have the right to lodge a complaint with the supervisory authority – the Office for Personal Data Protection (https://uoou.gov.cz), Pplk. Sochora 27, 170 00 Prague 7, Czech Republic, or the right to seek judicial protection.

POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO SMLUVNÍ PARTNERY A JEJICH KONTAKTNÍ OSOBY

Tento dokument popisuje, jak naše společnost zpracovává Vaše osobní údaje v případech, kdy je jejich správcem. Poučení je připraveno v návaznosti na Obecné nařízení o ochraně osobních údajů (tedy nařízení EU č. 2016/679, dále jej budeme nazývat jen „Nařízení“).

V tomto poučení shrnujeme základní zásady zpracování osobních údajů ze strany správce, pokud se jedná o osobní údaje skutečných či potenciálních smluvních partnerů–fyzických osob nebo kontaktní osoby smluvních partnerů, které jsou uvedeny ve smlouvě nebo se podílejí na jednání o jejím uzavření nebo na jejím plnění na straně smluvního partnera (dále jen „osobní údaje smluvních partnerů“). Za smluvní partnery v tomto dokumentu nepovažujeme současné a bývalé zaměstnance naší společnosti, kteří jsou o zpracování svých osobních údajů informováni interními dokumenty.

SPRÁVCE OSOBNÍCH ÚDAJŮ A JEHO KONTAKTNÍ ÚDAJE

Správcem osobních údajů je společnost TRL Space Systems s.r.o., IČO: 03467112, se sídlem Bauerova 491/10, 603 00 Brno, Česká republika, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně pod sp. zn. C 84988 (dále jen „správce“).

Adresa sídla: Bauerova 491/10, 603 00 Brno, Česká republika

E-mail: gdpr@trlspace.cz

Telefon: +420 603 400 136

ID datové schránky: etyqsr3

Pověřenec pro ochranu osobních údajů v naší společnosti není jmenován. Pro veškeré otázky k ochraně osobních údajů použijte výše uvedené kontakty.

PŘEHLED ZPRACOVÁVANÝCH KATEGORIÍ OSOBNÍCH ÚDAJŮ A JEJICH ZDROJE

Za osobní údaje se považují veškeré informace o identifikované nebo identifikovatelné fyzické osobě (také nazývané „subjekt údajů“). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Osobní údaje, které o Vás budeme zpracovávat, většinou získáme přímo od Vás, případně v rámci smluvní spolupráce s Vámi nebo s osobou, která Vás uvedla ve smlouvě uzavřené s námi jako kontaktní osobu nebo osobu podílející se na plnění smlouvy. V odůvodněných případech, zejména při vymáhání pohledávek, o Vás také můžeme vyhledat další informace z veřejných a otevřených zdrojů.

Zpracováváme jen přiměřené osobní údaje nezbytné pro níže uvedené účely. Typicky jde o tyto kategorie:

  • Identifikační a kontaktní údaje: jméno, příjmení, titul, funkce/zařazení, název zaměstnavatele/společnosti, IČO/DIČ nebo jiné evidenční číslo, adresa sídla/provozovny, korespondenční adresa, e-mail, telefon, ID datové schránky
  • Údaje o smlouvě a plnění: obsah smlouvy, objednávky, dodací a fakturační údaje, platební údaje (číslo účtu, variabilní symbol), přijaté/poskytnuté plnění, reklamační komunikace
  • Komunikační údaje: obsah a metadata komunikace (čas odeslání/přijetí, IP adresa, hlavičky e-mailu), záznamy o schůzkách a jednáních
  • Údaje z veřejných zdrojů: údaje z obchodního/živnostenského rejstříku, ARES, z insolvenčního rejstříku, profesních webů a veřejných databází
  • Další údaje uvedené ve smlouvě nebo předané před uzavřením smlouvy či na základě smlouvy

U potenciálních smluvních partnerů může naše společnost zpracovávat další údaje získané z otevřených zdrojů (např. jejich internetové stránky, profily sociálních sítí, jimi zadanou inzerci, veřejné rejstříky, mediální zprávy), aby je pak mohla kontaktovat s poptávkou nebo nabídkou služeb a produktů či jiné spolupráce. Takové základní údaje si může naše společnost uložit do své CRM databáze za účelem dalšího kontaktu a rozvíjení spolupráce.

U zpracovatelů osobních údajů činných pro správce ve smyslu článku 28 Nařízení, jiných správců osobních údajů, jimž správce údaje předává, a u společných správců ve smyslu článku 26 Nařízení mohou být vybrané veřejně dostupné údaje o jejich komerční činnosti ukládány za účelem prověření a prokázání jejich důvěryhodnosti z pohledu zpracování osobních údajů.

ÚČELY ZPRACOVÁNÍ

V této části uvádíme přehled účelů, k nimž budeme osobní údaje smluvních partnerů potřebovat a zpracovávat. Zpravidla je každý údaj využíván zároveň k vícero účelům. Od stanovených účelů se pak odvíjí i prostředky zpracování, doba zpracování apod. V určitých případech stanovených v Nařízení můžeme Vaše údaje zpracovávat i pro jiné účely, než jsou níže uvedené, jedná se však o výjimečné a omezené případy, které Nařízení podmiňuje splněním dalších podmínek.

Primárním účelem zpracování osobních údajů smluvního partnera bude jednání před uzavřením smlouvy a následné uzavření a plnění smlouvy. Pro tyto účely budeme obvykle využívat všechny předané údaje. V této souvislosti budou údaje dále používány

  • k evidenci smluvní dokumentace
  • k řádnému a včasnému plnění smluvních vztahů
  • k vymáhání peněžitých pohledávek a dlužných plnění
  • pro kontrolu činnosti našich zaměstnanců (zejména údaje o kontaktech se smluvním partnerem), compliance a whistleblowing
  • pro finanční plánování a statistické účely, a to obvykle údaje o výši plnění a počtu uzavřených smluv a dále např. počtu schůzek našich zaměstnanců se smluvním partnerem
  • pro další rozvoj činnosti správce, a to buď služby či produktu, kterých se týká uzavřená smlouva, zahajování nových spoluprací nebo vnitřních administrativních postupů
  • k ochraně práv správce a třetích osob (např. jiných smluvních partnerů), zejména před protiprávní činností.

Údaje, zejména získané z elektronické komunikace se smluvním partnerem, jako je IP adresa a čas komunikace, budou užívány také za účelem řízení IT bezpečnosti správce.

Dále budou osobní údaje smluvního partnera užívány za účelem

  • plnění právních povinností, zejména podle předpisů upravujících vedení účetnictví a daní, předpisů týkajících se ochrany osobních údajů, a to jak smluvního partnera či osob za něj jednajících
  • přímého marketingu, tedy zejména zasílání nabídek spolupráce či na naše produkty a služby, tedy kontaktováním e-mailem či telefonem. Pro tyto účely budou obvykle užívány informace o kontaktech smluvního partnera a v přiměřeném rozsahu o jeho dřívější spolupráci, objednaných službách či produktech, abychom mohli učinit vhodné nabídky.

PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ

Každé zpracování osobních údajů musí být zákonné – musí být založeno na některém v Nařízení vyjmenovaném právním základu zpracování. Podobně jako u účelu může být každý údaj zpracováván na základě vícero právních důvodů zpracování. Pokud všechny právní důvody odpadnou, pak přestaneme Vaše údaje zpracovávat. Možné právní důvody zpracování jsou vyjmenovány v článku 6 Nařízení.

Upozorňujeme Vás, že pokud budeme Vaše osobní údaje zpracovávat na základě Vašeho souhlasu, máte možnost tento souhlas kdykoliv odvolat. Pro odvolání nás kontaktujte na výše uvedených kontaktech. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním.

Údaje smluvních partnerů však zpravidla nejsou zpracovávány na základě souhlasu.

Právním základem zpracování osobních údajů partnerů je

  • jednání před uzavřením smlouvy nebo plnění smlouvy (článek 6 odst. 1 písm. b) Nařízení)
  • oprávněné zájmy správce a třetích osob, zejména jiných smluvních partnerů podílejících se na plnění, na němž se bude podílet i smluvní partner, a to včetně vymáhání právních nároků, které jsou dány zájmem na evidenci smluvních vztahů a zájmem na ochraně jejich práv, zejména proti právním nárokům a protiprávní činnosti, včetně IT bezpečnosti, zpracování pro statistické účely a další rozvoj služeb správce, zpracování pro přímý marketing (článek 6 odst. 1 písm. f) Nařízení)
  • plnění zákonných povinností (článek 6 odst. 1 písm. c) Nařízení), zejména se jedná o předcházení deliktní činnosti, plnění povinností podle předpisů o ochraně osobních údajů (zákon č. 119/2019 Sb. a Nařízení), vedení účetnictví, plnění povinností podle daňových předpisů a předpisů regulujících reklamu (zejména zákon č. 40/1995 Sb.)

PRÁVO NA NÁMITKU

Právo na námitku je důležitým právem subjektu údajů. Možnost vznést námitku se nevztahuje na všechny případy zpracování. Není například možné využít toto právo v případě, kdy zpracováváme Vaše údaje nezbytné pro plnění smlouvy či když nám jejich zpracování ukládá zákon. Právo vznést námitku je zakotveno v článku 21 Nařízení.

Toto právo Vám umožňuje nechat přezkoumat zpracování prováděné na základě našeho tzv. oprávněného zájmu (článek 6 odst. 1 písm. f) Nařízení) v případě, kdy to odůvodňuje Vaše konkrétní situace, tedy v případě, kdy samotné zpracování je přípustné, ale na Vaší straně existují konkrétní důvody, proč přesto nechcete, aby zpracování probíhalo.

Pokud je právním důvodem zpracování osobních údajů smluvního partnera oprávněný zájem správce (jedná se zejména o zpracování údajů pro účely IT bezpečnosti, pro statistické účely a další rozvoj služeb správce a ochranu práv správce či třetích osob), má smluvní partner z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti takovému zpracování osobních údajů. V takovém případě nebude správce takové osobní údaje dále zpracovávat, pokud nebudou dány závažné oprávněné důvody pro zpracování, které převáží nad zájmy smluvního partnera nebo jeho právy a svobodami, nebo pokud nebudou zpracovávány pro určení, výkon nebo obhajobu právních nároků.

Námitku proti zpracování může dotčený subjekt údajů vznést prostřednictvím kontaktních údajů uvedených výše (nejlépe prostřednictvím e-mailu gdpr@trlspace.cz). V e-mailu prosím uveďte konkrétní situaci, která Vás vede k závěru, že by správce neměl předmětné osobní údaje zpracovávat.

V případě zpracování údajů pro účely přímého marketingu (zasílání marketingových zpráv) je možné vždy vznést námitku bez dalšího, takže v takovém případě nemusíte uvádět žádné důvody, proč si nepřejete nadále marketingové zprávy dostávat. V těchto případech nejlépe vznesete námitku tak, že odhlásíte další zasílání sdělení kliknutím na odkaz, který v nich bude obvykle za tímto účelem připojen. Stejné právo máte i podle § 7 zákona č. 480/2004 Sb.

Upozorňujeme, že i ve výše uvedených případech však bude obvykle probíhat paralelní zpracování osobních údajů i pro jiné účely, které budou odůvodňovat to, aby správce takové údaje i nadále zpracovával, například za účelem ochrany našich práv či dokládání právního důvodu, proč jsme Vám obchodní sdělení zasílali.

DOBA, PO NÍŽ BUDOU ÚDAJE ZPRACOVÁVÁNY

Naše společnost nemůže Vaše údaje zpracovávat po libovolně dlouhou dobu, ale doba zpracování je omezena na období, kdy Vaše údaje skutečně potřebujeme nebo zpracovávat musíme. Délku tohoto období se snažíme omezit tak, aby řádně zohledňovala jak Vaše, tak naše zájmy. Někdy je obtížnější potřebnou dobu zpracování určit, nebo z bezpečnostních důvodů není vhodné přesnou délku této doby sdělovat, níže proto alespoň uvádíme některá kritéria, podle nichž se při určení délky zpracování Vašich údajů rozhodujeme.

Osobní údaje budou zpracovávány jen omezenou a nezbytně nutnou dobu, která se vždy odvíjí od účelu zpracování.

Pokud je doba zpracování stanovena právními předpisy, budou osobní údaje zpracovávány po takto stanovenou dobu, ledaže dále uvedené důvody odůvodní delší dobu zpracování.

Základní přehled toho, že byla s nějakým subjektem ze strany správce uzavřena smlouva, kdy se tak stalo a jaký byl předmět plnění, může být uložen v databázi smluv bez časového omezení.

Kontaktní údaje smluvních partnerů pro účely zasílání obchodních sdělení bude správce zpracovávat po dobu, než smluvní partner vyjádří s takovým zasíláním nesouhlas. I pak ale bude správce zpracovávat základní údaje o tom, proč smluvnímu partnerovi obchodní sdělení zasílala, po přiměřenou dobu k prokázání oprávněnosti takového zasílání.

Výše uvedené doby mohou být překročeny také v jednotlivém případě, kdy to odůvodní okolnosti, např. bude-li zahájen soudní spor se smluvním partnerem či bude probíhat kontrola ze strany orgánu veřejné správy apod.

Při určení přiměřenosti doby zpracování osobních údajů budeme dále vycházet zejména z těchto hledisek:

  • délky platnosti a účinnosti smlouvy
  • délky promlčecí doby
  • pravděpodobnosti vznesení právních nároků
  • obvyklých postupů na trhu
  • pravděpodobnosti a významu hrozících rizik
  • případných doporučení dozorových orgánů.

AKTUALIZACE ÚDAJŮ

Jednou z našich povinností jako správce osobních údajů je zpracovávat jen přesné údaje a případně s ohledem na okolnosti doplnit neúplné údaje. Pokud nám poskytnete informaci o změně Vašich údajů, pomůžete nám tuto povinnost řádně plnit.

Pokud dojde ke změně poskytnutých údajů či jiných smluvním partnerem předaných údajů, dovolujeme si požádat o zaslání informace o takové změně. Za účelem aktualizace dat je možné správce kontaktovat na níže uvedených kontaktech, nejlépe e-mailem na gdpr@trlspace.cz.

JAK BUDE ZPRACOVÁNÍ PROBÍHAT A JEHO DŮSLEDKY

Správce bude osobní údaje zpracovávat zejména v počítačových systémech svých a svých zpracovatelů. Písemnosti bude správce zpracovávat ve své kartotéce. Jednotliví naši zaměstnanci si mohou vést také vlastní evidence odpovídající jejich pracovní pozici.

Neprovádíme rozhodování založené výlučně na automatizovaném zpracování s právními či obdobně významnými účinky, neprovádíme ani profilování s takovými účinky.

Poskytnutí zpracovávaných údajů ze strany smluvního partnera je dobrovolné. Ovšem bez poskytnutí určitých údajů nebude možné smlouvu uzavřít nebo plnit, o čemž byste byli informováni. V některých případech jsou následně některé údaje vyžadovány zákonem, zejména předpisy o účetnictví.

PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ JINÝM OSOBÁM (PŘÍJEMCI OSOBNÍCH ÚDAJŮ)

Ne všechna zpracování osobních údajů provádí naše společnost sama. Ke zpracování si někdy najímáme třetí osoby, tzv. zpracovatele osobních údajů. Snažíme se vybírat pouze takové zpracovatele, kteří jsou dostatečně důvěryhodní. V některých případech můžeme Vaše údaje zpřístupnit i osobám, které budou samostatnými správci osobních údajů či společnými správci společně s naší společností.

Správce může zpřístupnit osobní údaje třetím osobám pouze v případech, kdy mu to bude ukládat nebo umožňovat právní předpis nebo se souhlasem smluvního partnera. Správce zpřístupňuje osobní údaje pouze v obvyklém rozsahu zpracovatelům či jiným příjemcům:

  • dodavatelům externích služeb, typicky programátorské či jiné podpůrné technické služby, dodavatelé počítačových systémů, serverových služeb, rozesílání e-mailů a poskytovatelům archivačních služeb
  • provozovatelům (záložních) serverů či provozovatelům technologií využívaných správcem, kteří je zpracovávají za účelem zajištění funkčnosti příslušných služeb.

Dále mohou být osobní údaje zpřístupňovány v nezbytně nutném rozsahu právním, ekonomickým a daňovým poradcům a auditorům či osobám tvořícím se správcem koncern, kteří je zpracovávají za účelem poskytování poradenských služeb.

Osobní údaje týkající se dlužníků mohou být zpřístupněny také společnosti poskytující pojištění pohledávek nebo inkasním agenturám, a to za účelem vymáhání či inkasa pohledávek.

Na vyžádání či v případě podezření na protiprávní jednání mohou být osobní údaje předané také orgánům veřejné správy.

Některé zvláštní předpisy umožňují dotčeným osobám požadovat sdělení některých údajů, např. podle § 6b odst. 2 zákona č. 40/1995 Sb. je šiřitel reklamy povinen oznámit osobě, která prokáže oprávněný zájem, kdo je zadavatelem a zpracovatelem reklamy.

V případě platebního styku mohou v běžném rozsahu některé údaje získat banky či poskytovatelé platebních služeb na internetu.

V případě prodeje závodu či jeho části či přeměny společnosti mohou být osobní údaje předány takovému nabyvateli/právnímu nástupci či v omezeném rozsahu zájemcům o koupi za účelem právní prověrky.

PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO CIZINY

Podle Nařízení platí zásada volného pohybu osobních údajů v Evropské unii („EU“), omezuje však předávání osobních údajů do ciziny mimo EU, resp. EHP – Evropské hospodářské společenství. Naše společnost standardně osobní údaje do ciziny mimo EU (EHP) nepředává, kromě případů, kdy pracujeme na společných mezinárodních projektech a sdílíme zejména své kontaktní údaje a údaje nutné pro splnění smlouvy. V takovém případě je smluvní partner informován při jednání o uzavření smlouvy nebo v průběhu plnění smlouvy.

Může se však stát, že Vaše osobní údaje budou zpracovány v počítačovém systému, jehož servery se budou nacházet mimo území EU/EHP, i když se takovým situacím snažíme vyhýbat. U některých široce rozšířených systémů se tomu však nelze vyhnout. Jedná se zejména o systémy společností jako Google či Microsoft a podobných nadnárodních firem. Většinou se jedná o systémy využívající servery nacházející se ve Spojených státech amerických.

K zajištění předávání údajů mimo EU/EHP využíváme tři hlavní nástroje:

  • Rozhodnutí Evropské komise o odpovídající úrovni ochrany. Tato rozhodnutí byla vydána pro řadu států, nicméně nejdůležitější je rozhodnutí z 10. července 2023 týkající se předávání osobních údajů do Spojených států amerických. To bylo vydáno rozhodnutím Evropské komise č. (EU) 2023/1795. Informace o těchto rozhodnutích pro další státy mimo EU naleznete zde. Seznam společností certifikovaných v USA podle nařízení (EU) 2023/1795 naleznete zde.
  • Tzv. standardní smluvní doložky vydané Evropskou komisí. Bližší informace o standardních smluvních doložkách získáte zde. Upozorňujeme, že vývozce údajů je povinen poskytnout subjektu údajů bezplatně kopii těchto doložek, včetně dodatku, který jejich strany vyplnily. V rozsahu nezbytném k ochraně obchodního tajemství nebo jiných důvěrných informací, včetně osobních údajů, může vývozce údajů před sdílením kopie upravit část znění dodatku, ale poskytne smysluplné shrnutí, pokud by jinak subjekt údajů nebyl schopen porozumět jeho obsahu nebo uplatnit svá práva. Strany poskytnou subjektu údajů na požádání důvody uvedených úprav, a to v co největší možné míře, aniž by byly upravené informace odhaleny.

Pro bližší informace a vyžádání dalších údajů podle Nařízení nás prosím kontaktujte.

POUČENÍ O PRÁVECH SUBJEKTŮ ÚDAJŮ

Fyzická osoba má právo u naší společnosti jakožto správce osobních údajů:

  • požadovat přístup k osobním údajům, které správce zpracovává, čímž se rozumí právo získat od správce potvrzení, zda osobní údaje, které se jí týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k dalším informacím uvedeným v čl. 15 Nařízení,
  • požadovat opravu osobních údajů, které jsou o ní zpracovávány, pokud jsou nepřesné (čl. 16 Nařízení). S přihlédnutím k účelům zpracování má v některých případech právo požadovat také doplnění neúplných osobních údajů,
  • požadovat výmaz osobních údajů v případech, které jsou upraveny v čl. 17 Nařízení,
  • požadovat omezení zpracování údajů v případech, které jsou upraveny v čl. 18 Nařízení,
  • získat osobní údaje, které se jí týkají a
    • které zpracováváme s jejím souhlasem, nebo
    • které zpracováváme pro plnění smlouvy, jejíž smluvní stranou je taková fyzická osoba, nebo pro provedení opatření přijatých před uzavřením smlouvy na její žádost

ve strukturovaném, běžně používaném a strojově čitelném formátu, přičemž má právo předat tyto údaje jinému správci, a to za podmínek a s omezeními uvedenými v čl. 20 Nařízení a

  • má právo vznést námitku proti zpracování ve smyslu čl. 21 Nařízení z důvodů týkajících se její konkrétní situace.

Pokud obdržíme takovou žádost, budeme informovat žadatele o přijatých opatřeních bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce.

Naše společnost není v určitých případech stanovených Nařízením povinna zcela nebo zčásti žádosti vyhovět. Bude tomu tak zejména, bude-li žádost zjevně nedůvodná nebo nepřiměřená, zejména proto, že se opakuje. V takových případech můžeme uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů, nebo odmítnout žádosti vyhovět.

Pokud obdržíme výše uvedenou žádost, ale budeme mít důvodné pochybnosti o totožnosti žadatele, můžeme jej požádat o poskytnutí dodatečných informací nezbytných k potvrzení jeho totožnosti.

Informace o tom, že u nás subjekt údajů uplatnil svoje práva a jak jsme jeho žádost vyřídili, si po přiměřenou dobu (obvykle 3-4 let) uložíme za účelem dokladování této skutečnosti, pro statistické účely, zlepšování našich služeb a ochrany našich práv.

V případě, kdy se subjekt údajů domnívá, že naše společnost zpracovává jeho osobní údaje neoprávněně či jinak porušuje jeho práva, má právo podat stížnost u dozorového úřadu – Úřadu pro ochranu osobních údajů (https://uoou.gov.cz), Pplk. Sochora 27, 170 00 Praha 7, Česká republika, či má právo požádat o soudní ochranu.

Control Space

Want to Talk Space?

Get in touch