Zásady ochrany osobních údajů
1. Úvod a právní rámec
Tyto zásady zpracování osobních údajů („Zásady“) popisují, jak společnost SIANDIS, s. r. o., se sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, IČO 08530106, zapsaná v OR u Městského soudu v Praze, sp. zn. C 320454 („SIANDIS“), nakládá s osobními údaji fyzických osob. Zásady vycházejí z Nařízení (EU) 2016/679 (GDPR) a zákona č. 110/2019 Sb., o zpracování osobních údajů. SIANDIS považuje veškeré osobní údaje za důvěrné a nakládá s nimi v souladu se zásadami zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace, přesnosti, omezení doby uložení, integrity, důvěrnosti a odpovědnosti dle čl. 5 GDPR.
2. Postavení SIANDIS – správce vs. zpracovatel
SIANDIS vystupuje ve dvou odlišných rolích: • Správce osobních údajů – zejména při: - provozu těchto webových stránek, - vedení vlastní účetní a daňové agendy, - vyřizování obecných dotazů a poptávek, - pracovněprávní agendě (uchazeči o spolupráci apod.). • Zpracovatel osobních údajů – u všech činností prováděných na základě mandátu klienta (OSINT, investigace, due diligence, AML/KYC, krizová investigace, SOCMINT, analýzy), kdy: - klient určuje účely a právní tituly zpracování, - SIANDIS postupuje výhradně dle dokumentovaných pokynů klienta a ověřuje existenci právního titulu, - smluvní vztah je vždy upraven dohodou o zpracování osobních údajů (DPA) nebo rovnocenným ujednáním v hlavní smlouvě. Pokud v textu dále není výslovně uvedeno jinak, popisuje Zásady postavení SIANDIS jako správce (zejména v souvislosti s webem a vlastní agendou).
3. Kategorie subjektů údajů
V rámci své činnosti může SIANDIS zpracovávat osobní údaje zejména těchto kategorií osob: • návštěvníci webových stránek, • klienti – fyzické osoby a fyzické osoby jednající za právnické osoby, • statutární orgány, UBO (skuteční majitelé), PEP a další osoby ve všech úrovních řízení a rozhodování, • obchodní partneři klientů a jejich zástupci, • osoby prověřované v rámci OSINT, investigativních a due diligence mandátů (reputační, integrity, bezpečnostní, ekonomická a AML/KYC prověrka), • uchazeči o spolupráci a externí odborníci.
4. Kategorie osobních údajů
Konkrétní rozsah údajů závisí na povaze mandátu a právním titulu, typicky jde o: • Identifikační údaje – jméno, příjmení, titul, datum narození, adresa, funkce/pozice, vztah k prověřované entitě (statutár, UBO, PEP, partner apod.). • Kontaktní údaje – poštovní adresa, e‑mail, telefon, jiné kontaktní kanály. • Údaje o smluvních a obchodních vztazích – údaje o poskytovaných službách, komunikaci, fakturaci, platebních transakcích (v rozsahu nezbytném pro účetní a daňové účely). • Údaje z OSINT/SOCMINT a dalších analýz – informace z veřejných rejstříků, databází, médií, otevřených zdrojů, odborných a komerčních databází, včetně údajů o reputaci, rizikových faktorech a historickém chování v obchodních vztazích. • Údaje z investigativní a forenzní činnosti – zvukové a obrazové záznamy (audio a video) z rozhovorů, výslechů, schůzek či terénních šetření, pokud jsou pořizovány v souladu s právními předpisy; logy, forenzní výstupy, metadata. • Technické a provozní údaje – IP adresa, logy přístupů, identifikátory zařízení, cookies a obdobné technologie při návštěvě webu. SIANDIS nevytváří a nevede samostatnou centrální marketingovou databázi osobních údajů a nezpracovává osobní údaje pro účely školení či interního „tréninku modelů“ mimo rámec jednotlivých případů.
5. Zdroje osobních údajů
Osobní údaje pocházejí zejména z těchto zdrojů: • přímo od subjektů údajů (komunikace, formuláře, e‑maily, smlouvy), • od klientů a jejich smluvních partnerů – zejména v roli zpracovatele, • z veřejných zdrojů: obchodní a jiné veřejné rejstříky, registry, insolvenční rejstřík, katastr, sankční a PEP seznamy, oficiální databáze, média, odborné publikace, sociální sítě aj., v souladu s právem EU a ČR, • z placených a specializovaných databází a OSINT/SOCMINT nástrojů – screeningové databáze, korporátní databáze, nástroje pro analýzu velkých objemů dat, nástroje pro monitoring (vč. dark/deep web, pokud je to právně přípustné), • z informací třetích stran (whistlebloweři, informátoři, partneři) – pokud mají souhlas se zveřejněním identity, mohou být vedeny jako identifikované zdroje; v opačném případě jsou zdroje anonymizovány a používány jako „zdrojové linky“ bez přímé identifikace. Vždy se uplatňuje princip vícezdrojovosti a ověřování validity dat – klíčové informace se, pokud to povaha věci umožňuje, ověřují z více nezávislých zdrojů.
6. Účely a právní základy zpracování
6.1 Web, komunikace, smluvní vztahy (role správce) Jako správce SIANDIS zpracovává osobní údaje zejména pro tyto účely: • provoz, bezpečnost a optimalizace webu (technické logy, nezbytné cookies) – oprávněný zájem, • vyřízení dotazů a poptávek zaslaných prostřednictvím kontaktních formulářů nebo e‑mailem – oprávněný zájem, případně předsmluvní jednání, • plnění smluvních povinností vůči klientům a dodavatelům – plnění smlouvy, • vedení účetnictví, daňová agenda, regulatorní povinnosti – plnění právní povinnosti, • zasílání přiměřených obchodních sdělení stávajícím klientům – oprávněný zájem v mezích zákona č. 480/2004 Sb., případně souhlas tam, kde je vyžadován. 6.2 OSINT, investigace, due diligence, AML/KYC (role zpracovatele) U všech vyšetřovacích, OSINT, due diligence, AML/KYC a souvisejících činností jedná SIANDIS výhradně jako zpracovatel na základě platného mandátu a právního titulu klienta. • Klient je správcem osobních údajů a určuje: - účely zpracování (např. prověrka obchodního partnera, AML/KYC, interní vyšetřování incidentu, compliance audit), - právní titul (plnění právní povinnosti, oprávněný zájem, plnění smlouvy, souhlas apod.). • SIANDIS: - zpracovává údaje jen v rozsahu nezbytném pro mandát, - vždy ověřuje existenci právního titulu klienta („de lege“) a právního zájmu na provedení prověrky / investigace, - nikdy nepřekračuje přiměřené meze zásahu do práv dotčených osob a jedná v souladu se zásadou proporcionality. V případě AML/KYC prověrek je rozsah zpracování vždy omezen na požadavky příslušných AML/KYC předpisů a interních politik klienta.
7. Analytika, profilování, hodnocení rizik
V rámci poskytovaných služeb se provádějí: • hodnocení rizik a scoring – např. rating reputačního, integrity, AML nebo compliance rizika, • práce s hypotézami a scénáři – včetně formulace pracovních hypotéz, jejich vážení a postupného ověřování, • využití metodik typu General mode, NATO 6×6 (Admiralty code) či obdobných hodnoticích rámců pro hodnocení kvality zdrojů a informací. SIANDIS neprovádí automatizované individuální rozhodování ve smyslu čl. 22 GDPR: • veškeré analytické výstupy slouží jako podklad pro lidské rozhodnutí, • závěry a doporučení vždy vyhodnocuje člověk – analytik/investigator, který provádí syntézu dat, posuzuje kontext, motivy a dopady.
8. Cookies a podobné technologie
Web SIANDIS může používat následující kategorie cookies: • Nezbytné (technické) cookies – zajištění základních funkcí webu, bezpečnosti a správného zobrazení; zpracovávány na základě oprávněného zájmu. • Preferenční cookies – např. volba jazyka; použity pouze, pokud to vyžaduje funkčnost a/nebo byl udělen souhlas. • Analytické/statistické cookies – pro měření návštěvnosti a zlepšování webu; využívány na základě souhlasu uživatele, pokud to právní předpisy vyžadují. • Marketingové cookies – SIANDIS je standardně nevyužívá; pokud by byly nasazeny, pouze na základě výslovného souhlasu s možností kdykoli jej odvolat. Podrobnosti o konkrétních cookies (druhy, doba uložení, poskytovatelé) mohou být uvedeny v samostatném cookie banneru / přehledu cookies.
9. Příjemci osobních údajů
Osobní údaje může SIANDIS zpřístupnit pouze v nezbytném rozsahu těmto kategoriím příjemců: • poskytovatelé IT a cloudových služeb, hostingu, šifrované komunikace a bezpečnostních technologií (včetně nástrojů pro prevenci úniku dat – DLP), • poskytovatelé specializovaných OSINT/SOCMINT nástrojů a screeningových databází, • externí analytici, forenzní experti, právní a daňoví poradci a další profesionálové zapojení do konkrétního mandátu, • orgány veřejné moci a regulační orgány, pokud je předání vyžadováno právními předpisy, • klienti – jako správci osobních údajů, kterým jsou předávány výstupní zprávy, podklady a důkazní materiál v rozsahu dohodnutém v mandátu. Se všemi zpracovateli jsou uzavírány smlouvy o zpracování, které obsahují záruky ochrany osobních údajů dle GDPR.
10. Předávání do třetích zemí
Případné předání osobních údajů mimo Evropský hospodářský prostor se uskutečňuje pouze, pokud je: • daná země kryta rozhodnutím Evropské komise o odpovídající ochraně, nebo • uzavřeny standardní smluvní doložky (SCC) či jiný mechanismus zajišťující odpovídající úroveň ochrany. Informace o konkrétních přenosech do třetích zemí budou subjektům údajů sděleny prostřednictvím klienta nebo přímo SIANDIS, podle toho, kdo je správcem.
11. Doba uchování osobních údajů
Doba uchování je nastavena s ohledem na: • dobu trvání smluvního vztahu / mandátu, • promlčecí lhůty a další lhůty nutné k ochraně práv SIANDIS i klienta, - specifické povinnosti v oblasti účetnictví, daní a compliance. Typicky platí: • mandátní a investigativní spisy – po dobu trvání mandátu a dále po dobu, která odpovídá běžným standardům pro profesionální investigativní a due diligence služby (obvykle až 10 let od ukončení mandátu, není‑li požadována kratší nebo delší doba zákonem či smlouvou), • účetní a daňové doklady – dle lhůt daných právními předpisy (zpravidla 5–10 let), • provozní logy a bezpečnostní záznamy – po dobu nezbytnou k zajištění bezpečnosti systémů a vyšetření incidentů. SIANDIS neuchovává samostatnou „osobní databázi“ pro marketing či jiné sekundární účely; po uplynutí potřebné doby jsou údaje buď bezpečně vymazány, nebo nevratně anonymizovány.
12. Bezpečnost zpracování
SIANDIS uplatňuje technická a organizační opatření odpovídající povaze zpracování a rizikům: • veškerá komunikace s klienty a vybranými partnery probíhá na šifrovaných platformách (např. Proton) nebo prostřednictvím jiných end‑to‑end šifrovaných kanálů, • nasazeny jsou nástroje pro prevenci úniku dat (DLP), řízení přístupu podle principu „need‑to‑know“, šifrování dat v klidu i při přenosu, segmentace systémů a logování přístupů, • audio a video záznamy, investigativní podklady a citlivé analýzy jsou uchovávány v oddělených, přísně řízených úložištích, • osoby podílející se na zpracování jsou vázány mlčenlivostí a pravidly pro práci s citlivými informacemi; přístupová práva jsou pravidelně revidována. Konkrétní bezpečnostní opatření nejsou z důvodu bezpečnosti popsána v plném rozsahu, jejich úroveň však odpovídá charakteru činností SIANDIS.
13. Práva subjektů údajů
Subjekt údajů má při zpracování svých osobních údajů zejména tato práva dle GDPR: • právo na přístup, • právo na opravu, • právo na výmaz („být zapomenut“) v zákonem stanovených případech, • právo na omezení zpracování, • právo na přenositelnost, • právo vznést námitku proti zpracování založenému na oprávněném zájmu, • právo kdykoli odvolat souhlas (pokud je právním titulem souhlas), • právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, Česká republika, V případech, kdy SIANDIS vystupuje jako zpracovatel, se uplatnění práv typicky provádí prostřednictvím příslušného klienta – správce osobních údajů.
14. Kontakt a změny Zásad
Kontaktní údaje SIANDIS pro otázky ochrany osobních údajů jsou uvedeny v sekci „Kontakt“ na webu. SIANDIS je oprávněn tyto Zásady aktualizovat; aktuální verze je vždy zveřejněna na webu s uvedením data účinnosti.
