Zásady ochrany osobních
údajů a cookies

Informace o zpracování osobních údajů

 

1. Informace o zpracování osobních údajů

Tímto Vás v tomto dokumentu informujeme o zásadách a postupech při zpracování vašich osobních údajů a o vašich právech, a to v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.4.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (“GDPR”) a o zrušení směrnice 95/46/ES (dále jen Nařízení), a zákona č. 480/2004 Sb., o některých službách informační společnosti, ve znění pozdějších předpisů.

 

2. Pojmy

Subjekt údajů (dále jen “zákazník“ nebo “Subjekt údajů”): fyzická osoba, k níž se osobní údaje vztahují.

Osobní údaj: Veškeré informace o identifikovaném nebo identifikovatelném zákazníkovi; identifikovatelným zákazníkem je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Správce: Společnost Hermitage Holdings a.s., (dále jen „Správce“ nebo “Společnost”), subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za ně. Zpracováním osobních údajů může Správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak.

Zpracovatel: Každý subjekt, který na základě zvláštního zákona nebo z pověření Správce zpracovává osobní údaje podle Zákona a Nařízení, a to na základě uzavřené smlouvy o zpracování osobních údajů.

Zpracování osobních údajů: zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které Správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky; zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace

Účel zpracování osobních údajů:Cíl, pro který je nezbytné či účelné osobní údaje subjektu údajů zpracovávat;

Rozsah zpracování osobních údajů: Výčet konkrétních osobních údajů subjektu údajů zpracovávaných pro určitý účel

Hermitage Holdings a.s. provozující hotel Hermitage Hotel Prague.

 

3. Principy zpracování osobních údajů

Správce zpracovává osobní údaje podle principů vyplývajících z Nařízení:

• zákonnost, korektnost a transparentnost zpracování

• účelové omezení - shromažďování jen pro určité, výslovně vyjádřené a legitimní účely

• minimalizace údajů - přiměřenost, relevantnost a limitace zpracování na nezbytně nutný rozsah ve vztahu k účelu

• přesnost a aktuálnost – Správce přijímá veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny

• omezené uložení – osobní údaje jsou uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných stávající legislativou s cílem zaručit práva a svobody subjektu údajů;

• integrita a důvěrnost - osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškození

 

4. Zdroje osobních údajů

Správce získává osobní údaje svých zákazníků zejména od nich samých v rámci jednání o uzavření smlouvy. Správce vždy informuje zákazníky o tom, kdy je poskytnutí osobních údajů nezbytné pro poskytnutí konkrétní služby a kdy je naopak dobrovolné, přičemž poskytnutí takových osobních údajů usnadní vzájemnou komunikaci mezi zákazníkem a Správcem a také významně zefektivní poskytování služeb. Za účelem zajištění bezpečnosti Správce a Subjektu údajů a také bezpečnosti poskytovaných služeb je v hotelových prostorách Správce umístěn kamerový systém. O umístění kamerového systému je Subjekt údajů vždy informován informačními cedulemi a piktogramy při vstupu do takového prostoru. Záznamy z kamerových systémů jsou archivovány po dobu 3 dnů a mimo uvedený účel nejsou dále nijak zpracovávány. V případě nutnosti jsou záznamy předány orgánům činným v trestním řízení za účelem řádného objasnění skutkového stavu věci.

 

5. Rozsah zpracování

Správce a její smluvní zpracovatelé v návaznosti na příslušný právní titul a účel zpracování zpracovávají následující osobní údaje, resp. kategorie osobních údajů:

a. identifikační údaje: oslovení, jméno, příjmení, datum narození, údaje o dokladech totožnosti, místo a stát narození, státní příslušnost, sídlo podnikání, zaměstnavatel, pracovní pozice

b. adresní údaje: adresa trvalého, případně přechodného bydliště, doručovací nebo jiná kontaktní adresa;

c. elektronické kontaktní údaje: telefon, mobilní telefon, fax, e-mailová adresa;

d. jiné elektronické údaje: nezpracovává

e. osobní údaje spojené se smluvním vztahem: číslo bankovního účtu, číslo kreditní karty, číslo zákaznického účtu (věrnostní program), účel pobytu, délka pobytu (datum příjezdu, datum odjezdu), objednávky a transakce, číslo pokoje, rezervace (hotel, restaurace);

f. osobní údaje spojené s videonahrávkou osob nacházející se v zorném poli kamerového systému v prostorách správce.

 

6. Zpracování osobních údajů

Správce zpracovává osobní údaje Subjektů údajů na základě následujících právních důvodů:

• oprávněný zájem Správce;

• plnění smlouvy;

• plnění právní povinnosti;

• platný souhlas se zpracováním osobních údajů.

6.1. Oprávněný zájem Správce

Právní titul zpracování osobních údajů tam, kde převažují legitimní zájmy/práva správce nad zájmy/právy subjektu údajů, a to při zohlednění přiměřeného očekávání subjektů údajů na základě jeho vztahu se správcem. Jedná se o případy, pro které není nutný souhlas se zpracováním osobních údajů.

Jedná se zejména o následující účely (přičemž rozsah pro ně zpracovávaných údajů je vymezen pomocí písmen odpovídajících členění dle článku 5 - Rozsah zpracování)

Ochrana majetku Správce, života a zdraví zaměstnanců, zákazníků a osob vstupujících do objektů Správce pro rozsah zpracování 5.6 po dobu 3 dní od pořízení záznamu.

6.2. Plnění smlouvy

Správce zpracovává osobní údaje subjektů údajů související s plněním smluvních závazků obou smluvních stran, zejména pro účely platného uzavření, změny a ukončení smlouvy v souladu s občanským zákoníkem a obchodním zákoníkem.

Doba zpracování je vymezena dobou trvání smluvního vztahu zákazníka se Správcem.

Může se jednat o smlouvu o ubytování, smlouva o pronájmu konferenčních prosto a pořádání akcí apod.

6.3. Plnění právní povinnosti

Správce poskytuje osobní údaje o subjektech údajů vedle zpracovatelů též příjemcům osobních údajů, mezi něž patří státní orgány a další subjekty v rámci uplatnění zákonem stanovených práv a plnění zákonem stanovených povinností.

Rozsah zpracování osobních údajů a doba jejich zpracování je stanovena obecně závaznými právními předpisy./p>

6.4. Platný souhlas se zpracováním osobních údajů

V případě, že Správce zpracovává osobní údaje subjektu údajů pro jiné účely, které nelze podřadit pod účely uvedené v článku 6.1, 6.2 a 6.3, může tak činit pouze na základě uděleného platného souhlasu se zpracováním osobních údajů ze strany subjektu údajů, který je projevem svobodné vůle subjektu údajl a tvoří tak specifický právní titul pro takové nakládání s osobními údaji.

Udělení souhlasu se zpracováním osobních údajů je dobrovolné a svobodné. Neudělení souhlasu či zúžení jeho rozsahu nemá vliv na plnění dříve sjednaného závazku po dobu trvání smlouvy nebo na možnost uzavření nového závazku ze strany Správce. Neudělení souhlasu se zpracováním osobních údajů může mít vliv na poskytovanou úroveň doplňkových služeb a rozsah nabízených produktů. Udělený souhlas lze kdykoliv zčásti nebo zcela odvolat.

6.5. Doba uchovávání osobních údajů

Správce uchovává osobní údaje zákazníků na dobu nezbytně nutno a v rozsahu nezbytném pro splnění zákonných požadavků (zejm. dle zákona č. 326/1999 Sb. o pobytu cizinců na území ČR, ve znění pozdějších předpisů a zákona č. 565/1990 Sb., o místních poplatcích, ve znění pozdějších předpisů. Na základěte těchto zákonů uchovává správce osobní údaje vyjmenované v těchto zákonech po dobu 6 let.

Správce uchovává osobní údaje zaměstnanců dle zákonů 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů; 337/1992 Sb., o správě daní a poplatků, ve znění pozdějších předpisů; 586/1992 Sb., o daních z příjmu, ve znění pozdějších předpisů; 48/1997 Sb., o veřejném zdravotním pojištění, ve znění pozdějších předpisů; 143/1997 Sb., o platu a odměně za pracovní pohotovost, ve znění pozdějších předpisů; 100/1998 Sb., o sociálním zabezpečení, ve znění pozdějších předpisů; 155/1995 Sb., o důchodovém pojištění, ve znění pozdějších předpisů 10 let, případně 20 let. Údaje jsou uchovávány pouze dle vymezení těchto zákonů. Údaje jsou v archívu v uzamčeném prostoru s povolených přístupem pouze omezenému okruhu osob.

Ostatní osobní údaje se uchovávají pouze po dobu nezbytném pro poskytování služby a vyúčtování služby a jsou následně vymazány či skartovány.

V případě udělení souhlasu se zpracováním osobních údajů se údaje uchovávají po dobu udělení souhlasu.

 

7. Způsob zpracování osobních údajů

Osobní údaje Subjektu údajů jsou zpracovávány automatizovaně i manuálně a mohou být zpřístupněny zaměstnancům Správce, pokud je to nezbytné k plnění jejich pracovních povinností, zpracovatelům, s nimiž má Správce uzavřenu smlouvu o zpracování osobních údajů a případně další osobě v souladu se Zákonem a Nařízením. Seznam zpracovatelů osobních údajů je zveřejněn v kapitole 8.

Domnívá-li se subjekt údajů, že dochází k neoprávněnému zpracování jeho osobních údajů, může se obrátit se stížností na dozorový orgán, kterým je pro území České republiky Úřad pro ochranu osobních údajů.

 

8. Příjemci a zpracovatelé osobních údajů

Společnost provozuje hotel bez napojení na žádný z hotelových řetězců. Společnost má uzavřenou smlouvu TravelClick-Inc-EU-Data-Processing-Agreement-March-2020 ohledně napojení na prodejní kanály se Společností TravelClick, Inc. (dále "TravelClick). V rámci toho je Společnost propojena s centrálním rezervačním systémem Společnosti TravelClick. Na základě smlouvy Společnost vystupuje jako zpracovatel osobních dat a TravelClick jako Správce osobních dat. Tato společnost může provádět zpracování osobních údajů zákazníků v roli zpracovatele. Příjemce a zpracovatele osobních údajů rozlišujeme dle právního titulu, přičemž u každého právního titulu je vymezen rozsah a účel zpracování.

Zpracování osobních údajů mohou pro Správce provádět zpracovatelé výhradně na základě smlouvy o zpracování osobních údajů, tzn. s garancemi organizačně-technického zabezpečení těchto dat a s vymezením účelu zpracování, přičemž zpracovatelé nesmí použít údaje k jiným účelům.

 

9. Práva subjektů údajů

Subjekt údajů má právo:

• na přístup ke svým zpracovávaným osobním údajům, jejich opravu, výmaz nebo omezení jejich zpracování

• vznést námitku proti tomuto zpracování

• podat stížnost u dozorového úřadu;

• kdykoliv odvolat souhlas se zpracováním osobních údajů s účinky do budoucna;

• získat od správce potvrzení, zda jeho osobní údaje jsou či nejsou zpracovávány;

• aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů;

• aby správce bez zbytečného odkladu vymazal osobní údaje (také právo být zapomenut), které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, a to v taxativně uvedených důvodech uvedených v Nařízení

a. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

b. zákazník odvolá souhlas se zpracováním osobních a neexistuje žádný další právní titul pro zpracování

c. zákazník vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro další zpracování

d. osobní údaje byly zpracovány protiprávně;

e. osobní údaje musí být vymazány ke splnění právní povinnosti stanovené unijní nebo vnitrostátní legislativou, které se na správce vztahuje;

f. osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti. Podrobnosti a výjimky k výkonu tohoto práva upravuje Nařízení

• aby správce omezil zpracování, v kterémkoli z těchto případů:

a. subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;

b. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití

c. správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d. subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů;

• na přenositelnost osobních údajů, tzn. získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že zpracování je založeno na souhlasu nebo na smlouvě, zpracování se provádí automatizovaně;

• kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, včetně profilování založeného na ustanoveních Nařízení. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků;

Subjekt údajů může uplatnit výše uvedená práva:

• osobně na recepci správce

• poštovní zásilkou (podpis zákazníka musí být úředně ověřen)

• vyplněným formulářem, který zašle e-mailem na adresu gdpr@hermitageprague.com (součástí formuláře musí být elektronický podpis opatřený kvalifikovaným certifikátem)

 

10. Kontaktní údaje správce

Hermitage Holdings a.s., IČ: 27146006, se sídlem Svobodova 1, Praha 2, 128 00. V případě dotazů nás kontaktujte na: gdpr@hermitageprague.com<

 

11. Účinnost

Tento dokument nabývá účinnosti dne 23.4.2020. Poslední aktualizace textu proběhla dne 23.4.2020.