Prohlášení o ochraně osobních údajů
1. Úvod
Toto prohlášení o ochraně osobních údajů popisuje, jakým způsobem EY zpracovává a ukládá osobní údaje fyzických osob získané prostřednictvím nástroje Qualtrics CoreXM (dále jen „Nástroj“). Prohlášení je nutné chápat v kontextu firemního prohlášení EY o ochraně osobních údajů, zveřejněného na webových stránkách ey.com Privacy Statement. V případě rozporu mezi oběma prohlášeními má přednost toto prohlášení. Přečtěte si ho prosím pečlivě.
2. Kdo Nástroj spravuje?
Název EY zahrnuje jednu či více členských firem Ernst & Young Global Limited („EYG“), z nichž každá je samostatnou právnickou osobou a může si sama určovat, pro jaké účely a jakými prostředky bude osobní údaje zpracovávat (tj. působí jako tzv. samostatný správce osobních údajů, resp. v obdobné roli). Správcem osobních údajů zpracovávaných a ukládaných v Nástroji je společnost EY Global Services Limited. Nástroj je užíván na základě licence udělené společností Qualtrics, se sídlem 400 West Qualtrics Drive, Provo, UT 84606, USA.
Společnost EY Global Services Limited bude Vámi poskytnuté osobní údaje sdílet s členskými firmami EYG (viz níže bod 6 „Kdo má přístup k Vašim osobním údajům?“).
Nástroj je hostován na serverech v německém Frankfurtu.
3. K čemu slouží Vaše osobní údaje?
Nástroj umožňuje provádět celopodnikové průzkumy, které slouží různým potřebám v rámci EY. Zaměstnanci EY, kontraktoři a všechny osoby s e-mailovou adresou EY mohou jeho prostřednictvím sbírat data potřebná pro obchodní účely, v tomto konkrétním případě pro účely nominování účastníků do soutěže EY Podnikatel roku, pořádané společností EY v České republice.
Vaše osobní údaje zpracované v Nástroji budou používat autoři nominačních formulářů pro interní účely.
Právní základ zpracovávání Vašich osobních údajů v Nástroji je dán tím, že je to nezbytné z důvodu oprávněného zájmu správce nebo třetí strany, s výjimkou případů, kdy převažují zájmy nebo základní práva a svobody subjektu údajů, které vyžadují ochranu osobních údajů. V daném případě je oprávněným zájmem správce organizace soutěže EY Podnikatel roku České republiky, administrace nominací a případné pozvání nominovaných podnikatelů k účasti v soutěži. Soutěžící dostávají informaci o tom, kdo je nominoval, pouze v případě, že si to nominující osoba přeje.
Proti zpracování svých osobních údajů z důvodu výše zmíněných oprávněných zájmů EY můžete kdykoli vznést námitku na základě své konkrétní situace.
4. Jaké typy osobních údajů se v nástroji zpracovávají?
V Nástroji se zpracovávají následující kategorie osobních údajů:
- U autorů nominačních formulářů: celé jméno a e-mailová adresa EY
- U interních nominujících osob: celé jméno, e-mailová adresa EY, pracovní zařazení, osobní číslo (Global Personnel Number (GPN)) a kancelář EY
- U externích fyzických osob, např. u externích nominujících osob: jméno, příjmení, telefonní číslo (pokud ho osoba poskytla) a e-mailová adresa; u nominovaného podnikatele se v omezeném rozsahu zpracovává jméno, příjmení, telefonní číslo (pokud ho poskytl) a e-mailová adresa
- U všech fyzických osob: údaje, které osoba do Nástroje zadala při jeho vyplňování
Údaje pocházejí z následujících zdrojů: od partnerů a zaměstnanců EY, případně od kontraktorů, klientů a jiných nominujících osob.
5. Citlivé osobní údaje
Citlivým údajem je osobní údaj vypovídající o rasovém nebo etnickém původu, politických názorech, náboženském vyznání a filozofickém přesvědčení, členství v odborových organizacích, dále genetický nebo biometrický údaj, údaj vypovídající o zdravotním stavu, sexuálním životě nebo sexuální orientaci.
EY prostřednictvím Nástroje cíleně neshromažďuje žádné citlivé osobní údaje a Nástroj neslouží ke zpracování takovýchto údajů. Tyto údaje prosím v nominačním formuláři neuvádějte.
6. Kdo má přístup k Vašim osobním údajům?
K Vašim osobním údajům v Nástroji mají přístup následující osoby/týmy:
- Pracovníci EY mají přístup k údajům v nominačních formulářích, které vytvořili nebo k nimž jim byl udělen přístup.
- Pět administrátorů (Brand Admin) ve Spojených státech a v Indii má neomezený přístup k Nástroji pro následující účely: implementace a údržba aplikace se standardními konfiguracemi, definování šablon a metadat a konfigurace banky otázek a logiky větvení pro všeobecné účely. Tito administrátoři zajišťují pracovníkům EY přístup k Nástroji a registrují uživatele pro účely přístupových a kontrolních práv.
- Autoři nominačních formulářů působící v České republice mají přístupová práva pro čtení, psaní, editaci a mazání (v závislosti na typu údajů) pro účely: správy a kontroly přístupu k nominačnímu formuláři, informací poskytovaných prostřednictvím Nástroje a vytváření zpráv na základě těchto informací pro účely nominačního procesu soutěže EY Podnikatel roku České republiky.
- Interní i externí nominující osoby (tj. pracovníci EY, klienti EY, případně třetí strany požádané o nominaci) působící po celém světě mají přístupová práva pro čtení, psaní a editaci pouze k údajům, které samy zadaly do nominačního formuláře pro účely jeho podání.
- Pracovníci dodavatele systému působící ve Spojených státech, Irsku, Polsku a v Austrálii mají omezená přístupová práva pro čtení, psaní, editaci a mazání pro účely systémové podpory, např. pro účely revizí a odstraňování problémů.
Výše uvedená přístupová práva se týkají přenosu osobních údajů v různých jurisdikcích (včetně jurisdikcí mimo Evropskou unii), v nichž EY působí (seznam kanceláří EY je k dispozici na https://www.ey.com/en_gl/locations). Seznam společností EY, které poskytují služby externím klientům, je k dispozici zde . EY bude zpracovávat Vaše osobní údaje v Nástroji v souladu se zákony a profesními předpisy platnými ve Vaší jurisdikci. Předávání osobních údajů v rámci sítě EY se řídí závaznými podnikovými pravidly EY (Binding Corporate Rules).
Shromážděné osobní údaje předáváme nebo zpřístupňujeme rovněž externím poskytovatelům podpůrných služeb (a jejich dceřiným společnostem a s nimi propojeným osobám), kteří zajišťují podporu pro naše interní podpůrné procesy. Spolupracujeme například se softwarovými firmami, které nám dodávají IT infrastrukturu a zajišťují její fungování a podporu (jedná se mimo jiné o správu identity, hosting, analýzy dat, zálohování, zabezpečení a cloudové úložné služby), nebo s firmami, které zajišťují uchovávání a bezpečnou likvidaci našich tištěných souborů. Naší zásadou je spolupracovat pouze s poskytovateli služeb, kteří jsou povinni dodržovat odpovídající úroveň ochrany, bezpečnosti a důvěrnosti osobních údajů a kteří splňují veškeré příslušné právní požadavky pro přenos osobních údajů mimo jurisdikci, ve které byly původně shromážděny.
V případě Vašeho souhlasu může EY sdílet Vaše jméno a příjmení s Vámi nominovanou osobou.
U osobních údajů, které byly shromážděny v Evropském hospodářském prostoru (EHP) nebo které se týkají jednotlivců z EHP, EY vyžaduje, aby mechanismus jejich přenosu byl v souladu s příslušným právem. Přenos osobních údajů z Nástroje dodavateli systému se řídí smlouvou uzavřenou mezi EY a tímto dodavatelem, která obsahuje standardní doložky o ochraně osobních údajů přijaté Evropskou komisí.
7. Uchovávání osobních údajů
Osobní údaje uchováváme pouze po dobu nezbytně nutnou pro účely popsané v bodě „K čemu slouží Vaše osobní údaje?“. Doba uchovávání se v jednotlivých jurisdikcích liší a je stanovena v souladu s platnými lokálními právními a profesními předpisy.
Abychom mohli plnit příslušné právní a profesní předpisy a uplatňovat a hájit naše zákonná práva, a rovněž pro účely archivace a pro historické účely musíme shromážděné informace uchovávat po významnou dobu.
Interní zásady a postupy uchovávání osobních údajů v Nástroji jsou stanoveny těmito interními předpisy: globální zásady uchovávání záznamů (EY Records Retention Global Policy), harmonogram uchovávání záznamů platný pro příslušný stát a v případě dat protokolů (log data) zásady EY IT Logging Policy. V České republice uchováváme údaje po dobu 10 let.
Po uplynutí stanovené doby budou Vaše osobní údaje vymazány.
8. Bezpečnost
EY chrání důvěrnost a bezpečnost informací, které shromažďuje v rámci své podnikatelské činnosti. Přístup k těmto informacím je omezen a byly přijaty zásady a postupy, jejichž cílem je chránit tyto informace před ztrátou, zneužitím a nevhodným zpřístupněním. Podrobnější informace o přístupu EY k ochraně osobních údajů a bezpečnosti informací jsou k dispozici v brožuře Protecting your data.
9. Správa Vašich osobních údajů
EY poskytne Vaše osobní údaje třetím stranám pouze v případě, že k tomu budeme mít Váš souhlas nebo pokud budeme mít zákonnou povinnost tak učinit (neplatí pro třetí strany vymezené v bodě 6).
Máte právní nárok požadovat podrobnosti o osobních údajích, které o Vás EY.
Pokud chcete zjistit, zda jsou Vaše osobní údaje v Nástroji zpracovávány, případně chcete získat přístup k Vašim osobním údajům vedeným v Nástroji, resp. odvolat svůj souhlas s jejich zpracováním (pokud je to relevantní), obraťte se prosím na zástupce EY, s nímž obvykle spolupracujete, nebo e-mailem na global.data.protection@ey.com.
10. Opravy osobních údajů, jejich výmaz, omezení zpracování nebo přenositelnost
Máte možnost ověřit si, zda jsou Vaše osobní údaje správné a aktuální. Pokud máte námitky proti jejich zpracování nebo požadujete jejich opravu, výmaz, omezení zpracování nebo jejich snadno přenosnou kopii, obraťte se prosím na zástupce EY, s nímž obvykle spolupracujete, nebo e-mailem na global.data.protection@ey.com.
11. Stížnosti
Pokud máte obavy z možného porušení zákona o ochraně osobních údajů či jiných souvisejících předpisů, obraťte se prosím na orgán EY, který má na starosti ochranu osobních údajů (EY Global Privacy Leader), na adrese: Office of the General Counsel, 6 More London Place, London, SE1 2DA, Velká Británie, nebo e-mailem na global.data.protection@ey.com, případně se obraťte na zástupce EY, s nímž obvykle spolupracujete. EY Privacy Leader bude Vaši stížnost řešit a bude Vás informovat o přijatých opatřeních.
Pokud nebudete spokojen/a s tím, jak společnost EY Vaši stížnost vyřešila, máte právo se obrátit na příslušný úřad pro ochranu osobních údajů ve svém státě a rovněž na místně příslušný soud.
Některé členské firmy EY sídlící v zemích mimo Evropskou unii ustanovily svého zástupce pro EU, který je zastupuje v záležitostech týkajících se zpracování osobních údajů, na něž se vztahuje obecné nařízení EU o ochraně osobních údajů (EU General Data Protection Regulation, GDPR). Podrobnější informace a kontaktní údaje těchto zástupců jsou k dispozici zde.
12. Kontaktujte nás
Máte-li nějaké dotazy nebo přetrvávající pochyby o ochraně svých osobních údajů, obraťte se prosím na zástupce EY, s nímž obvykle spolupracujete, nebo e-mailem na global.data.protection@ey.com.