Zásady ochrany osobních údajů

digitales Vorhängeschloss neonblau

1 Kdo je zodpovědný za zpracování údajů a na koho se mohu obrátit?

1.1 CIS – Certification & Information Security Services GmbH je kontaktním místem pro certifikaci systémů, posuzování a ověřování, školení a osobní certifikace (dále také „služby CIS“). Tyto služby jsou založeny na celosvětově platných akreditacích Spolkového ministerstva hospodářství, energetiky a cestovního ruchu (BMWET). Základní služby CIS-Cert spočívají v odborných znalostech a zkušenostech společnosti, která je lídrem na národním trhu v oblasti auditu řízení bezpečnosti informací a řízení služeb IT s cílem zajistit a zlepšit kvalitu organizací. Díky tomu je CIS-Cert klíčovou hnací silou pro Rakousko jako místo podnikání a pro „Úspěch s informační bezpečností / Zabezpečte svůj podnik“.

1.2 Certification & Information Security Services GmbH („CIS-Cert“, „my“, „nás“) je správcem ve smyslu čl. 4 odst. 7 obecného nařízení o ochraně osobních údajů („GDPR“).

1.3 Můžete nás kontaktovat následujícím způsobem:
Certification & Information Security Services GmbH, Salztorgasse 2/3/7, 1010 Wien, Rakousko.
Tel: +43 (0)1 532 98 90
Fax: +43 (0)1 532 98 90 89
E-mail: datenschutz@cis-cert.com

1.4 Správce bere ochranu vašich osobních údajů velmi vážně. Správce proto nakládá s vašimi osobními údaji důvěrně a v souladu s platnými předpisy o ochraně osobních údajů, zejména s GDPR a rakouským zákonem o ochraně osobních údajů v aktuálním znění („DSG“).

1.5 V těchto zásadách ochrany osobních údajů najdete informace o prováděném zpracování údajů. Jsou zde použity pojmy stanovené v GDPR. Pro lepší srozumitelnost najdete níže nejdůležitější pojmy podle jejich právní definice:

  • Osobní údaje:

Veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby („subjekt údajů“); identifikovatelná fyzická osoba je osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, online identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

  • Zpracování:

Jakákoli operace nebo soubor operací, které se provádějí s osobními údaji nebo se soubory osobních údajů, ať už automatizovaně, či nikoli, jako je shromažďování, zaznamenávání, uspořádávání, strukturování, uchovávání, přizpůsobování nebo pozměňování, vyhledávání, nahlížení, používání, sdělování přenosem, šíření nebo jiné zpřístupňování, seřazování nebo kombinování, omezování, výmaz nebo zničení.

  • Dotčená osoba:

Osoba, jejíž osobní údaje jsou zpracovávány.

  • Správce:

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

  • zpracovatel:

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje jménem správce.

  • Souhlas

(subjektu údajů): Souhlas subjektu údajů: jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle subjektu údajů, kterým subjekt údajů prohlášením nebo jasným potvrzujícím úkonem vyjadřuje souhlas se zpracováním osobních údajů, které se ho týkají.

 

2 Pro jaké účely a na jakém právním základě jsou vaše osobní údaje zpracovávány?

2.1 Provoz webových stránek

2.1.1 Za účelem zpřístupnění webových stránek a možnosti rozpoznat, předcházet a vyšetřovat útoky na naše webové stránky zpracovává společnost CIS-Cert na základě našich výše uvedených oprávněných zájmů (čl. 6 odst. 1 písm. f) GDPR) následující osobní údaje vyvolaná adresa URL; datum a čas volání; IP adresa počítače nebo mobilního zařízení; název a verze webového prohlížeče; typ prohlížeče a údaje o nastavení (rozlišení obrazovky, barevná hloubka, nastavení časového pásma, rozšíření prohlížeče, písma, jazyk); operační systém; a webová stránka (URL), ze které jste navštívili naše webové stránky („referrer“). Zpracování těchto údajů je nezbytné, abychom vám mohli nabídnout naše webové stránky a jejich funkce.

 

2.2 Poptávka prostřednictvím webových stránek, e-mailu, pošty nebo telefonu

2.2.1 Pokud zašlete společnosti CIS-Cert dotaz prostřednictvím kontaktního formuláře na webových stránkách, e-mailem nebo telefonicky, zpracovává společnost CIS-Cert následující osobní údaje za účelem zodpovězení dotazu, aby mohla splnit předsmluvní opatření nebo splnit smlouvu (čl. 6 odst. 1 písm. b GDPR) nebo na základě našeho oprávněného zájmu, abychom mohli váš dotaz zpracovat (čl. 6 odst. 1 písm. f GDPR): Jméno; e-mailová adresa; adresa; telefonní číslo; obsah dotazu; další informace, které nám dobrovolně poskytnete; osobní údaje o našich službách CIS. Zpracování těchto údajů je nezbytné k tomu, abychom mohli zpracovat vaši poptávku.

 

2.3 Nabídka služeb CIS (včetně zpracování zákazníka)

2.3.1 V rámci našich služeb CIS zpracováváme (i) osobní údaje, které nám poskytnete, (ii) osobní údaje, které nám poskytnou naši zákazníci jako klienti služeb CIS, a (iii) osobní údaje, které sami shromažďujeme v průběhu poskytování služeb CIS. Osobní údaje, které shromažďujeme v průběhu poskytování služby CIS, zpracováváme pro účely plnění smlouvy v souladu s příslušnou smluvní dokumentací a našimi obchodními podmínkami, jakož i pro účely nezbytné dokumentace v souladu s normativními požadavky (zejména ISO/IEC 17021-1, ISO/IEC 17021-1, ISO/IEC 17021-1, ISO/IEC 17021-1 a ISO/IEC 17021-1). ISO/IEC 17021-1, ISO/IEC 17024 a případné další požadavky ze vzorů, které mají být auditovány na objednávku zákazníka), pro vedení účetnictví a účetnictví, pro uplatňování a obhajobu právních nároků a pro řízení vztahů se zákazníky, včetně předkládání nabídek na další služby CIS (např. recertifikace a rozšiřování certifikace, příslušná školení).

2.3.2 Pro výše uvedené účely zpracováváme jméno, adresu a další kontaktní údaje, datum a místo narození, legitimační údaje (včetně identifikačních údajů, certifikátů, elektronického podpisu) a další osobní údaje v souvislosti s příslušnou zakázkou (včetně auditní dokumentace, dokumentace k akci, údajů o certifikátech, fakturačních údajů, bankovních údajů). Bez zpracování výše uvedených údajů nemůžeme nabízet služby CIS a nemůžeme provádět průběžné zpracování zákazníků. Právním základem pro toto zpracování je provedení předsmluvních opatření nebo plnění smlouvy (čl. 6 odst. 1 písm. b GDPR).

 

2.4 Propagační sdělení, newsletter, účast na akcích

2.4.1 Našim zákazníkům zasíláme elektronickou poštu (e-mailem, SMS, MMS nebo messengerem) za účelem propagace našich služeb CIS („propagační sdělení“). Za tímto účelem zpracováváme vaše jméno, kontaktní údaje a další informace, které nám dobrovolně poskytnete v souvislosti s přijímáním propagačních sdělení. Zákazník může kdykoli vznést námitku proti zasílání propagačních zpráv zasláním e-mailu s námitkou na adresu marketing@cis-cert.com. S každou propagační zprávou vám také poskytneme možnost odmítnout zasílání dalších propagačních zpráv. Právním základem pro zasílání reklamních sdělení je § 174 odst. 4 TKG 2021.

2.4.2 Poštovní zásilky s reklamním sdělením vám zasíláme na základě našeho oprávněného zájmu na inzerci služeb CIS, které vás zajímají (čl. 6 odst. 1 písm. f GDPR). Za tímto účelem zpracováváme vaše jméno, kontaktní údaje a další informace, které nám poskytnete v souvislosti s přijímáním reklamních sdělení. Své právo vznést námitku proti poštovnímu reklamnímu sdělení můžete uplatnit zasláním e-mailu na e-mailovou adresu uvedenou v bodě 1.3.

2.4.3 Pokud nám jako nezákazník dobrovolně poskytnete své kontaktní údaje a další údaje, které nám poskytnete za účelem zasílání newsletterů, účasti na akcích nebo dalších informací, budeme vaše údaje zpracovávat na základě vašeho souhlasu (čl. 6 odst. 1 písm. a GDPR). Svůj souhlas můžete kdykoli odvolat zasláním e-mailu na e-mailovou adresu uvedenou v bodě 1.3 a možnost odvolání najdete také v příslušném newsletteru pod položkou „odhlásit odběr“.

 

2.5 Správa certifikátů

2.5.1 Podle zákona o akreditaci a příslušných norem (zejména ISO/IEC 17021-1, ISO/IEC 17024) je CIS-Cert povinen poskytovat veřejně přístupný seznam provedených certifikací. Příslušní držitelé certifikátů jsou uvedeni v adresáři, který je přístupný na internetových stránkách CIS. CIS-Cert tak umožňuje kontrolu nebo dotazování na platné vydané certifikáty. Za tímto účelem mohou být zpracovávány osobní údaje, konkrétně jméno, akademický titul, název certifikátu, název certifikátu a číslo certifikátu. (další podrobnosti viz bod 3.3 níže). Právním základem je čl. 6 odst. 1 písm. c) GDPR ve spojení se zákonem o akreditaci z roku 2021 (jakož i příslušné normy, zejména EN ISO/IEC 17021-1, ISO/IEC 17065, ISO 17024 a příslušné předpisy akreditačních orgánů) a náš oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR provádět veškeré činnosti související se správou certifikátů.

 

2.6 Právní postih

2.6.1 Pokud dojde ke správnímu nebo soudnímu sporu, budou zpracovány údaje nezbytné pro příslušné právní stíhání a v případě potřeby předány právním zástupcům, soudům a/nebo správním orgánům. V této souvislosti budou zpracovávány vaše kontaktní údaje (jméno a příjmení, akademický titul, adresa) a další údaje v souvislosti s daným právním sporem (vaše chování v souvislosti s používáním webových stránek). Výše uvedené osobní údaje jsou zpracovávány na základě našich oprávněných právních zájmů při soudním stíhání podle čl. 6 odst. 1 písm. f) GDPR a podle čl. 9 odst. 2 písm. f) GDPR.

 

3. Jakým příjemcům budou vaše osobní údaje předávány?

3.1 Vaše osobní údaje předáváme našim partnerům pro spolupráci v rámci příslušných služeb CIS, pokud je to nezbytné pro zpracování vašeho dotazu nebo pro poskytnutí požadovaných služeb CIS. Při rezervaci služeb spolupráce, které jsou takto označeny, budou osobní údaje předány příslušným partnerům.

3.2 Využíváme zpracovatele v souladu s čl. 28 GDPR, kteří provádějí služby naším jménem. Zpracovatelé mohou zpracovávat údaje, které jim byly poskytnuty, pouze v souladu s našimi pokyny a v rozsahu nezbytném pro provádění služeb pro nás. Tyto zpracovatele smluvně zavazujeme k tomu, aby zaručili důvěrnost a bezpečnost osobních údajů zpracovávaných v rámci zakázky. Společnost CIS-Cert předává údaje externím auditorům, školitelům, hodnotitelům a technickým expertům, které využívá a kteří rovněž vystupují jako zpracovatelé společnosti CIS-Cert, za účelem poskytování požadovaných služeb CIS. Kromě toho CIS-Cert využívá externí poskytovatele IT služeb.

3.3 Vzhledem k normativním požadavkům je společnost CIS-Cert povinna poskytovat akreditačním a licenčním orgánům informace o službách a/nebo jim na jejich žádost umožnit přístup. Akreditační a licenční orgány se mohou rovněž účastnit auditů na místě. V jejich průběhu mohou být akreditačním a licenčním orgánům předány také osobní údaje. Kromě toho může CIS-Cert předávat osobní údaje dalším příjemcům (např. úřadům) za účelem plnění zákonných oznamovacích povinností.

3.4 Úroveň ochrany údajů v jiných zemích mimo EHP nemusí odpovídat úrovni ochrany údajů v EHP. Vaše osobní údaje však předáváme pouze do zemí, u nichž Evropská komise rozhodla, že mají odpovídající úroveň ochrany údajů, nebo přijímáme opatření v souladu s kapitolou V GDPR, abychom zajistili, že všichni příjemci ve třetích zemích zaručují odpovídající úroveň ochrany údajů. S těmito příjemci například uzavíráme standardní smluvní doložky vydané Evropskou komisí.

 

4. Jak dlouho budou vaše osobní údaje uchovávány?

4.1 Vaše osobní údaje budou uchovávány pouze po dobu nezbytnou k naplnění příslušného účelu.

4.2 Bez ohledu na bod 4.1 bude společnost CIS-Cert uchovávat vaše údaje po delší dobu, pokud a nakolik je to nezbytné pro splnění zákonných povinností uchovávání (např. podle § 132 odst. 1 BAO; § 190, § 212 UGB: 7 let) nebo pro uplatnění nebo obhajobu právních nároků (3 roky), přičemž v případě hrozícího nebo probíhajícího řízení budou údaje zpracovávány až do ukončení řízení.

4.3 Dokumenty k žádosti, zprávy o auditu a hodnocení, jakož i další dokumenty související s certifikací se v souladu s § 12 odst. 8 zákona o akreditaci z roku 2012 uchovávají zpravidla po dobu 10 let, pokud normativní ustanovení nevyžadují delší uchovávání.

4.4 Pokud je zpracování údajů založeno na vašem souhlasu, bude CIS-Cert zpracovávat vaše údaje až do jeho odvolání, pokud již nebylo dosaženo účelu zpracování. V takovém případě budou údaje vymazány, jakmile již nebudou pro splnění účelu nezbytné.

 

5. Jaká máte práva

 

5.1 Máte právo na přístup podle čl. 15 GDPR, právo na opravu podle čl. 16 GDPR, právo na výmaz podle čl. 17 GDPR, právo na omezení zpracování podle čl. 18 GDPR, právo vznést námitku podle čl. 21 GDPR, právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování, podle čl. 22 GDPR a právo na přenositelnost údajů podle čl. 20 GDPR. Kromě toho máte právo podat stížnost u příslušného dozorového úřadu pro ochranu osobních údajů podle čl. 77 GDPR. Další informace o svých právech naleznete na adrese https://www.dsb.gv.at/rechte-der-betroffenen.

5.2 Příslušným dozorovým úřadem je Rakouský úřad pro ochranu osobních údajů, Barichgasse 40-42, 1030 Vídeň (https://www.dsb.gv.at/).

5.3 Pokud máte jakékoli dotazy v souvislosti se zpracováním svých osobních údajů nebo chcete uplatnit některá práva podle GDPR, jako je právo na zrušení nebo právo na informace, obraťte se na společnost CIS-Cert, jak je popsáno výše v bodě 1.3.