Prohlášení o zpracování osobních údajů
Tímto prohlášením se řídí zpracování osobních údajů Správcem, které od Vás (jakožto druhé smluvní strany) Správce obdržel v souvislosti s uzavřením a plněním nájemní smlouvy ohledně nájmu prostor sloužících k podnikání v obchodním centru WESTFIELD CHODOV, která byla sjednána mezi Správcem, jako pronajímatelem, a Vámi, jako nájemcem, anebo jiné smlouvy, kterou jste uzavřel se Správcem jako jeho dodavatel v souvislosti s předmětem podnikání Správce (dále jen „Předmětná smlouva“).
Tímto prohlášením se rovněž řídí zpracování osobních údajů Správcem ve vztahu ke kontaktním osobám smluvních stran Předmětné smlouvy, jak je dále popsáno v kapitole 3 níže.
1. SPRÁVCE OSOBNÍCH ÚDAJŮ
Společnost CENTRUM CHODOV, a.s., se sídlem na adrese Na příkopě 388/1, Staré Město, 110 00 Praha 1, IČO: 242 06 377, zapsaná u Městského soudu v Praze, sp. zn. B 17833 (dále jen „Správce“), jako správce osobních údajů, Vás tímto informuje o zpracování osobních údajů a o právech s tím souvisejících.
Kontaktní údaje Správce jsou následující: WESTFIELD CHODOV, Roztylská 2321/19, 148 00 Praha 11, adresa elektronické pošty infowch@urw.com. Správce nejmenoval pověřence pro ochranu osobních údajů.
2. ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Pokud jste před uzavřením Předmětné smlouvy anebo v rámci plnění takové Předmětné smlouvy jako nájemce anebo dodavatel, který je zároveň subjektem údajů (fyzickou osobou) ve smyslu čl. 4 odst. 1 nařízení Evropského Parlamentu a Rady (EU) č. 2016/679 ze dne 27.4.2016 (dále jen „GDPR“), poskytl Správci své osobní údaje, a to zejména jméno, příjmení, společnost, pozice, telefon, e-mail, další informace týkající se Vašeho zaměstnání, údaje o plnění smlouvy a jiné související údaje vyplývající ze smlouvy (dále jen „Osobní údaje“), pak bude Správce takové Osobní údaje zpracovávat v rozsahu nezbytném pro plnění Předmětné smlouvy a v souladu s podmínkami stanovenými v tomto prohlášení.
Osobní údaje získáváme přímo od Vás. Abychom zajistili zpracování jen přesných a aktuálních údajů, můžeme rovněž údaje pravidelně aktualizovat z veřejných zdrojů (zejména obchodní rejstřík, živnostenský rejstřík, ARES, insolvenční rejstřík vašich internetových stránek dodavatelů).
3. ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ VE VZTAHU K VAŠIM KONTAKTNÍM OSOBÁM
Pokud nejste subjektem osobních údajů (fyzická osoba) ve smyslu čl. 4 odst. 1 GDPR a/nebo pokud jste poskytl Správci před uzavřením Předmětné smlouvy anebo v rámci plnění Předmětné smlouvy osobní údaje členů svých orgánů, svých zaměstnanců a/nebo jiných kontaktních osob (dále jen „Kontaktní osoby“) v rozsahu jméno, příjmení, společnost, pozice, telefon, e-mail, které jsou nezbytné pro plnění Předmětné smlouvy a pro zajištění efektivní komunikace mezi smluvními stranami Předmětné smlouvy, prohlašujete a Správci zaručujete, že vůči těmto Kontaktním osobám jste splnil veškeré povinnosti stanovené v GDPR a zároveň splnil za Správce veškeré informační povinnosti Správce (zejména tedy Kontaktním osobám poskytl informace uvedené v tomto prohlášení a případně další informace požadované právními předpisy, zejména v rozsahu vyžadovaném čl. 13 a 14 GDPR) tak, aby Správce mohl tyto osobní údaje zpracovávat pro výše uvedené účely.
Správce bude zpracovávat pouze osobní údaje Kontaktních osob, které mu poskytnete. Zpracování osobních údajů Kontaktních osob probíhá na základě oprávněného zájmu Správce, kterým je zajištění efektivní komunikace mezi smluvními stranami.
V souladu s Předmětnou smlouvou se Správci dále zavazujete na jeho výzvu doložit splnění informační povinnosti vůči Kontaktním osobám, eventuálně jej neprodleně informovat o tom, že nejsou splněny podmínky pro zpracování osobních údajů Kontaktních osob a o změnách osobních údajů Kontaktních osob. Případné zpracování osobních údajů Kontaktních osob se bude řídit podmínkami stanovenými výše v tomto prohlášení.
4. ÚČEL, DOBA A PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Vaše osobní údaje zpracováváme především za účelem plnění smluvních povinností dle Předmětné smlouvy a zefektivní komunikace mezi smluvními stranami. Osobní údaje tedy zpracováváme zejména pro účely:
Ze strany Správce nedochází k automatizovanému individuálnímu rozhodování ani profilování ve smyslu čl. 22 GDPR.
5. KATEGORIE PŘÍJEMCŮ OSOBNÍCH ÚDAJŮ
Příjemci Osobních údajů budou společnost Unibail-Rodamco Česká Republika s.r.o., IČO: 438 73 464, se sídlem Praha 1 - Staré Město, Na Příkopě 388/1, PSČ: 110 00, spisová značka: C 5217 vedená u Městského soudu v Praze, a dále společnost Unibail Management S.A.S., se sídlem na adrese 7 Place du Chancelier Adenauer, 75016 Paříž, Francie, zapsaná v Rejstříku obchodu a společností v Paříži pod č. 414878389. Správce nemá v úmyslu Osobní údaje předat mimo území Evropské unie.
K osobním údajům mohou mít rovněž přístup dodavatelé našich IT systémů a souvisejících služeb, kteří se nacházejí v postavení zpracovatelů osobních údajů.
K některým Osobním údajům mohou mít dále výjimečně přístup externí auditoři, daňoví poradci či právní zástupci, pokud je to nezbytné pro vymáhání či zaúčtování pohledávek nebo pro ochranu našich oprávněných zájmů. Pokud se na nás při výkonu svých pravomocí obrátí orgány veřejné moci s žádostí o poskytnutí informací, jejichž součástí mohou být Osobní údaje, budeme na základě povinností vyplývajících ze zákona nebo jiného právního aktu povinni v nezbytném rozsahu Vaše Osobní údaje zpřístupnit.
S výše uvedenými příjemci, kteří jsou v pozici zpracovatelů Osobních údajů, jsme uzavřeli smlouvy o zpracování osobních údajů, které zaručují nejméně stejnou úroveň ochrany vašich Osobních údajů jako toto prohlášení.
6. ZABEZPEČENÍ DAT
Zavedli jsme a udržujeme nezbytná přiměřená technická a organizační opatření, vnitřní kontroly a procesy bezpečnosti informací v souladu s nejlepší obchodní praxí odpovídající možnému hrozícímu riziku pro Vás jako subjekt údajů. Zároveň zohledňujeme stav technologického vývoje s cílem chránit Vaše Osobní údaje před náhodnou ztrátou, zničením, změnami, neoprávněným zveřejněním nebo přístupem. Tato opatření mohou mimo jiné zahrnovat přijetí přiměřených kroků k zajištění odpovědnosti zaměstnanců, kteří mají přístup k Osobním údajům, školení zaměstnanců, pravidelné zálohování, postupy pro obnovu dat a řízení incidentů, softwarovou ochrana zařízení, na kterých jsou uloženy Osobní údaje atd.
7. PRÁVA SUBJEKTŮ ÚDAJŮ
Máte právo požadovat po Správci opravu nepřesných Osobních údajů, které se Vás týkají, anebo doplnění neúplných Osobních údajů, právo požadovat omezení zpracování Osobních údajů (zejména v případě, pokud popíráte přesnost zpracovávaných Osobních údajů, zpracování Osobních údajů je protiprávní, Správce již Osobní údaje nepotřebuje, vznesl jste námitku proti zpracování), vznést námitku či stížnost proti zpracování Osobních údajů, požadovat přenesení Osobních údajů, požadovat přístup k Osobním údajům, být informován o porušení zabezpečení Osobních údajů, právo na výmaz a další případná práva stanovená v obecně závazných právních předpisech.
Subjekty údajů, tj. Vy a/nebo Kontaktní osoby, mnohou svá práva uplatňovat na adrese MyRights.
Pokud budete uplatňovat svá práva, můžeme Vás požádat o poskytnutí některých dodatečných osobních údajů, které jste nám dříve již sdělili. Poskytnutí takových údajů je nezbytné pro ověření, zda byl příslušný požadavek skutečně zaslán Vámi. Odpovíme Vám do jednoho měsíce po obdržení Vaší žádosti, přičemž si však vyhrazujeme právo tuto lhůtu ve složitých případech prodloužit o další dva měsíce.
a) Oprava Osobních údajů
Podle platné právní úpravy máte právo na opravu nebo doplnění Osobních údajů, které s námi sdílíte.
Přijímáme přiměřená opatření k zajištění toho, abyste mohli udržovat Vaše Osobní údaje přesné a aktuální.
b) Vymazání Osobních údajů
Můžete nás kdykoliv požádat o vymazání Vašich Osobních údajů.
Pokud nás kontaktujete s takovou žádostí, smažeme bez zbytečného odkladu všechny Vaše Osobní údaje, které máme, pokud Vaše Osobní údaje již nepotřebujeme pro plnění smluvních nebo zákonných povinností či pro ochranu našich oprávněných zájmů, jak jsou popsány výše.
c) Zpřístupnění a přenositelnost Vašich Osobních údajů
Máte právo požadovat informaci o tom, zda zpracováváme Vaše Osobní údaje a v jakém rozsahu. Rovněž máte právo požadovat, abychom Vám zpřístupnili Osobní údaje, které jste nám poskytli a další osobní údaje týkající se Vaší osoby.
Pokud budete požadovat přenos Vašich Osobních údajů, které zpracováváme na základě plnění smlouvy, můžete nás požádat o jejich přenos přímo třetí straně (jinému správci údajů), kterého uvedete ve své žádosti, za předpokladu, že takový požadavek nebude mít negativní vliv na práva a svobody jiných osob a bude technicky proveditelný.
d) Právo vznést námitky
V případě, že Vaše Osobní údaje zpracováváme na základě našeho oprávněného zájmu (např. pokud zpracováváme Vaše údaje jakožto kontaktní osoby našeho dodavatele), máte právo z důvodu týkajícího se vaší konkrétní situace kdykoliv vznést námitku proti takovému zpracování. Pokud v takovém případě neprokážeme naše závažné oprávněné důvody pro zpracování, které by převážily nad Vašimi zájmy nebo právy a svobodami nebo pokud neprokážeme, že tyto údaje jsou nutné pro určení, výkon a obhajobu našich právních nároků, tak tyto údaje nebudeme dále zpracovávat a bez zbytečného odkladu je vymažeme.
e) Omezení zpracování
Pokud nás požádáte o omezení zpracování svých osobních údajů, např. v případě, kdy zpochybňujete přesnost, zákonnost nebo naši potřebu zpracovávat Vaše osobní údaje, omezíme zpracovávání vašich osobních údajů na nezbytné minimum (uložení), a případně je budeme zpracovávat pouze pro určení, výkon nebo obhajobu právních nároků, nebo z důvodu ochrany práv jiné fyzické nebo právnické osoby, nebo jiných omezených důvodů předepsaných platnými právními předpisy. Pokud dojde ke zrušení omezení a my budeme ve zpracovávání Vašich osobních údajů pokračovat, budeme Vás o tom bez zbytečného odkladu informovat.
f) Stížnost u Úřadu pro ochranu osobních údajů
Máte právo podat stížnost týkající se námi prováděného zpracovávání Vašich osobních údajů u Úřadu pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7. Internetové stránky úřadu: www.uoou.cz.
Tento dokument může být pravidelně aktualizován.
Poslední aktualizace ze dne 21.5.2018
________________________________________________________________________
PRIVACY POLICY – ENGLISH VERSION
This Privacy Policy applies to processing of personal data by the Controller that you (as the other contractual party) provided to the Controller in relation to the execution and performance of the agreement on lease of premises for business purposes in the shopping center WESTFIELD CHODOV, entered into by the Controller as the landlord and you as the tenant, or another agreement entered into by you as Controller’s supplier and the Controller in relation to the scope of Controller’s business (hereinafter as the “Agreement”).
This Privacy Policy also applies to processing of personal data by the Controller of the contact persons of the contractual parties to the Agreement, as further specified in Section 3 below.
1. PERSONAL DATA CONTROLLER
The company CENTRUM CHODOV, a.s. with its registered seat at Na příkopě 388/1, Staré Město, 110 00 Praha 1, company ID: 242 06 377, registered in the Městský soud v Praze, sp. zn. B 17833 (hereinafter as the “Controller”), as the personal data Controller, hereby informs you about processing of your personal data and about your related rights.
Contact details of the Controller are: WESTFIELD CHODOV, Roztylská 2321/19, 148 00 Praha 11, e-mail address: infowch@urw.com.
2. EXTENT OF PERSONAL DATA PROCESSING
In case you as tenant or supplier, who at the same time is the data subject (natural person) within the meaning of Art. 4(1) of Regulation (EU) 2016/679 of the European Parliament and of the Council from April 27, 2016 (hereinafter as the “GDPR”), have provided the Controller prior to the execution of the Agreement or during its performance with personal data in the extent of name, surname, company, employment position, phone number, e-mail, other information related to your employment, data regarding the performance of the Agreement, and other related data resulting from the Agreement (hereinafter as the “Personal Data”), then the Controller shall process such Personal Data in the extent necessary for the performance of the Agreement and in compliance with the conditions stated in this Privacy Policy.
We have obtained the Personal Data directly from you. In order to ensure that we process only data that are accurate and up-to-date, we may regularly update the data also from public sources (mainly the commercial register, the trade licensing register, ARES, the insolvency register and suppliers’ web sites).
3. PROCESSING OF PERSONAL DATA IN RELATION TO YOUR CONTACT PERSONS
In case you are not the data subject (natural person) within the meaning of Art. 4 (1) of the GDPR and/or in case you have provided the Controller, prior to the execution of the Agreement or during its performance, with the personal data of the members of your corporate bodies, of your employees and/or other contact persons (hereinafter as the “Contact Persons”) in the extent of name, surname, company, employment position, phone number, e-mail, which data are necessary for the performance of the Agreement and for ensuring an effective communication between the contractual parties to the Agreement, you hereby declare and guarantee to the Controller that you have fulfilled all duties and obligations vis-à-vis such persons as provided by the GDPR and that you have, at the same time, fulfilled all information obligations of the Controller on behalf of the Controller (mainly that you have provided the Contact Persons with the information contained in this Privacy Policy, as well as other information as required under legal regulation, especially in the extent required by Articles 13 and 14 of the GDPR) in order to enable the Controller to process the Personal Data for the below stated purposes.
The Controller shall process only the Personal Data of the Contact Persons that you provide to him. The Personal Data of the Contact Persons are processed on the basis of the legitimate interest of the Controller in ensuring an effective communication between the contractual parties.
In compliance with the Agreement signed with the Controller, the other contractual party is obliged to provide the Controller upon its request with evidence of fulfilment of the information obligation vis-à-vis the Contact Persons, or to promptly inform the Controller that the conditions for processing the Personal Data are not fulfilled or that the Personal Data have changed. The processing of the Personal Data of the Contact Persons shall be governed by the conditions stated in this Privacy Policy.
4. PURPOSE, PERIOD AND LEGAL BASIS OF THE PERSONAL DATA PROCESSING
We process your Personal Data (including the Personal Data of the Contact Persons) for the purpose of fulfilment of the contractual obligations under the Agreement and a more effective communication between the contractual parties. It follows that the Personal Data are processed mainly for the following purposes:
The Controller does not perform automated individual decision-making or profiling within the meaning of Article 22 of the GDPR.
5. CATEGORIES OF PERSONAL DATA RECIPIENTS
Recipients of Personal Data are the company Unibail-Rodamco Česká Republika s.r.o., with its registered seat at Praha 1 - Staré Město, Na Příkopě 388/1, PSČ: 110 00, company ID: 438 73 464, registered in the Městský soud v Praze, sp. zn. C 5217 and the company Unibail Management S.A.S, with its registered seat at the address 7 Place du Chancelier Adenauer, 75016 Paris, France, registered in the Commercial and Company Register in Paris under No. 414878389. The Controller does not intend to transfer the Personal Data outside the European Union.
The Personal Data may also be accessed by our suppliers of IT systems and connected services, which are in position of processors of personal data.
Some Personal Data may be exclusively accessed by external auditors, tax advisors and legal representatives, if this is necessary for the enforcement or recording of receivables or for the defence of our legitimate interests. If public authorities in the course of execution of their authority request from us information comprising also the Personal Data, we are obliged under applicable laws or other legal act to make available your Personal Data in the necessary extent.
We have entered into contracts on personal data processing with the above-mentioned recipients, who are in the position of processors of personal data, that ensure the same level of protection of your Personal Data as this Privacy Policy.
6. DATA SECURITY
We have adopted and follow necessary appropriate technical and organizational measures, internal controls and data security processes in compliance with the best market practice corresponding to the potential risk to you as the data subject. At the same time we take into account the state of technological development with the aim to protect your Personal Data against accidental loss, destruction, alternation, unauthorised disclosure or access. These measures may include adoption of appropriate measures aimed at ensuring accountability of employees, who have access to the Personal Data, training of employees, regular backups, processes for recovery of data and management of accidents, software protection of devices on which the Personal Data are stored, etc.
7. RIGHTS OF DATA SUBJECTS
You have the right to request from the Controller rectification of inaccurate Personal Data that concern you or completion of incomplete Personal Data, the right to request restriction of Personal Data processing (especially if you object to the accuracy of the processed Personal Data, if the processing of the Personal Data is illegal, if the Controller no longer needs the Personal Data, if you have objected against the processing), the right to object or complain against the Personal Data processing, the right to demand access to the Personal Data, the right to be informed about breaches of Personal Data security, the right to demand erasure of Personal Data and any other rights granted by applicable laws as specified below.
The data subjects, i.e. you and/or the Contact Persons, may exercise their rights at the address infowch@urw.com via e-mail or, upon prior agreement, at the contact address of the Controller.
Should you exercise your rights, we may ask you to provide some additional Personal Data, which you have already provided to us. Providing of such data is necessary for verification whether the demand was actually sent by you. We shall respond within one month after receipt of the demand, however, we reserve the right to prolong this term in complicated cases by additional two months.
The data subjects may exercise the following rights:
a) Rectification of Personal Data
Pursuant to valid legal regulation you have the right to obtain rectification or completion of inaccurate or incomplete Personal Data provided to us.
We take appropriate measures in order to ensure that you may keep your Personal Data accurate and up-to-date.
b) Erasure of Personal Data
At any time, you may request from us erasure of your Personal Data.
Should you contact us with such a request, we shall immediately erase all your Personal Data that are in our possession, unless we need to further keep your Personal Data for the performance of contractual or statutory obligations or for the protection of our legitimate interests as specified above.
c) Access to Personal Data
You have the right to be informed whether we process your Personal Data and in what extent. At the same time, you have the right to request access to your Personal Data that you have provided to us and other personal data related to you, including the copies of such data.
Should you ask for transfer of your Personal Data that we process on grounds of performance of the Agreement, you may request to have them transmitted directly to the third party (another controller of data) specified in your request, under the conditions that such request will not have a negative impact on the rights and freedoms of other persons and that it is technically feasible.
d) Right to object
In case we process your Personal Data on grounds of our legitimate interest (e.g. if we process your data as those of a contact person of our supplier) you have the right to object at any time against such processing for a reason concerning your specific situation.
If in such case we fail to prove our serious legitimate reasons for the processing that override your interests, rights or freedoms, or if we fail to prove that these data are necessary for the determination, exercise or defence of your legal rights, we shall not process such data any longer and we shall erase them.
e) Restriction of data processing
Should you demand restriction of processing of your Personal Data, e.g. in cases when you question the accuracy or lawfulness of, or our need for, the processing of your Personal Data, we shall restrict the processing of your Personal Data to a necessary minimum (storage) and eventually we shall process them solely for the determination, exercise or defence of legal rights, or in order to protect the rights of another natural person or legal entity, or for other restricted reasons specified under applicable laws. We shall inform you promptly when we will continue to process your Personal Data following the cancellation of the restriction.
f) Complaint to the Data Protection Authority
You have the right to raise a complaint concerning the processing of the Personal Data by us to the Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.
This document can be revised or updated from time to time.
Last modification on May 21, 2018.