GDPR Policy

Read GDPR Policy in Czech Language

Information Notice on Personal Data Protection

Legal Information

This document is prepared by the company Cattron s.r.o., with registered office at Minkovická 696, Liberec 463 12, Czech Republic, Czech Republic, ID No. 07392770 (hereinafter “Cattron“), especially in consideration of REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (hereinafter “GDPR“) and Act No. 110/2019 Coll., on the processing of personal data, as amended.

This information notice is intended for data subjects from whom Cattron has obtained personal data (information according to Article 13 GDPR) and for data subjects whose personal data Cattron has obtained other than from these data subjects (information according to Article 14 GDPR).

What Will You Find in This Document?

  • Identity and contact details of the controller (Section I)
  • Purposes of processing and legal basis for processing (Section II)
  • Categories of processed personal data (Section II)
  • Categories of recipients of personal data (Section III)
  • Retention period of personal data (Section IV)
  • Data subject’s rights regarding the protection of their personal data (Section V)
  • Consequences of potential non-consent to processing (Section VI)

I. Identity and Contact Details of the Controller

Personal data controller:

Business name: Cattron s.r.o.

Address: Minkovická 696, Liberec 463 12, Czech Republic, ID No. 07392770

Cattron is not legally obliged to appoint a data protection officer.

II. What Personal Data Does Cattron Process and Why?

As a data controller, Cattron primarily processes personal data obtained in the course of its business activities from its contractual partners (especially suppliers and customers). Cattron processes this data for the purpose of fulfilling contractual relationships, particularly to identify individuals authorized to bind the contractual party or act on its behalf (contact persons) and in connection with communication with these individuals (e.g., electronic identifiers in email communication).

Cattron obtains this personal data either directly from the data subject (particularly if the data subject is a supplier/customer directly) and/or from individuals with whom data subjects have a certain contractual relationship (usually employees or similar workers of Cattron’s suppliers and customers, who provide this information to Cattron in connection with the relevant contractual relationship).

For the above purpose, Cattron processes the following data:

  • Identification data – name, surname, job title (job position in the given contractual partner), signature, ID number, VAT ID, registration details
  • Contact details – address, phone number, email address, and other similar information, payment-related information (bank account number)
  • Electronic identifiers – IP address, cookies

Cattron also processes personal data of job applicants based on their consent. Personal data is obtained directly from the job applicant or from an external employment agency. In addition to the above categories of personal data, Cattron processes the following categories of personal data for job applicants:

Visual likeness – camera recording (in designated areas), employee photos in the internal database

Education/qualification data – primarily professional resume, educational documents, certifications, driver’s license

Cattron also processes personal data of its employees and similar workers. These data subjects are informed about the processing of personal data in a separate information notice.

Cattron also processes personal data in cases where it is necessary to protect its property or other legitimate interests. For this purpose, Cattron operates a camera system in its premises and may identify individuals entering the company’s premises. The operation of the camera system is subject to strict rules and is carried out only to the extent necessary, ensuring it does not unduly interfere with the privacy of employees and third parties. In all these cases, Cattron ensures that the interests in question do not outweigh the interests or fundamental rights and freedoms of data subjects whose personal data is to be processed.

For the above purpose, Cattron processes the following data:

  • Identification data – name, surname, identification document number, visual likeness

The processing of personal data by Cattron is generally based on the data subject’s consent to the processing of their personal data. If the data subject has not given consent, Cattron processes the relevant personal data because such processing is necessary for the performance of contracts concluded by Cattron, compliance with legal obligations of Cattron, or for the purposes of the legitimate interests of the controller related to the proper performance of the aforementioned contracts or for the protection of Cattron’s property.

III. Does Cattron Transfer Personal Data to Other Parties?

While Cattron’s primary goal is to process personal data using its own means, in some cases, it is necessary to transfer personal data to other entities (so-called recipients of personal data). To protect personal data, Cattron has established internal processes to ensure that this information is only disclosed to designated third parties, and only in justified cases and to the extent necessary. In cases where the recipient of personal data acts as a processor for Cattron, the transfer of personal data occurs only based on a data processing agreement.

To fulfill its legal or contractual obligations, Cattron may transfer obtained personal data to the relevant tax authority (Financial Office), an external company managing accounting for Cattron, auditors, a cooperating law firm for legal advice, etc.

In some cases, Cattron also transfers personal data to its parent company based in the USA, to the extent that this data is stored on the company’s IT network, which is operated on servers located in the USA. This transfer of personal data outside the European Union only takes place in compliance with strict legal conditions and based on contractual documentation ensuring proper protection of personal data transferred outside the European Union – this involves the use of “standard data protection clauses” according to Article 46(2)(c) of the GDPR.

As a communication channel for receiving reports of possible illegal conduct under Act No. 171/2023 Coll., on the protection of whistleblowers, as amended, Cattron uses a tool from Syntrio, Inc. Personal data of whistleblowers processed through this channel may be processed on servers located outside the European Union. Syntrio, Inc. is an active participant in the “EU-U.S. Data Privacy Framework” program, making data transfers outside the European Union compliant with European law.

IV. How Long Does Cattron Retain Personal Data?

Cattron has established internal rules to retain personal data only for the period prescribed by law (e.g., for accounting documents, 5 years), or for the period necessary to protect the legitimate interests of the company, especially its rights arising from relevant legal acts – typically, this is a period of 10 years after the termination of the relevant contractual relationship, and in justified cases, the processing period may be extended.

Records from the camera system are kept for 3 days.

After the reasons mentioned above cease to exist, Cattron performs the deletion of this data.

Personal data processed by Cattron solely based on the consent of the data subject is retained by Cattron only for the duration of this consent.

V. What Rights Does the Data Subject Have Regarding Their Personal Data?

The data subject, in relation to the processing of their personal data by Cattron, has the following rights:

  • Right of access to personal data concerning them – the data subject has the right to request a copy of their personal data processed by Cattron;
  • Right to rectify inaccurate or incomplete personal data;
  • Right to erasure of personal data concerning the data subject (“right to be forgotten”) in specified cases, meaning Cattron will destroy personal data and no longer retain it;
  • Right to restrict processing of personal data concerning the data subject in selected cases;
  • Right to object to processing or to lodge a complaint with the supervisory authority, which is the Office for Personal Data Protection (with its registered office at Pplk. Sochora 27, 170 00 Prague 7), if the data subject believes that the processing of personal data violates the GDPR;
  • Right to data portability in specified cases, i.e., (i) the right of the data subject to obtain (primarily download) personal data concerning them provided to Cattron and (ii) the right to transfer this data to another controller without hindrance from Cattron, meaning the direct provision of personal data by Cattron to another controller.

VI. What Happens if the Data Subject Does Not Consent to Processing?

If the provision of personal data is necessary for the proper performance of the relevant contract by Cattron and/or for the legitimate interests of Cattron, and the data subject refuses to provide their personal data, Cattron may refuse performance or unilaterally terminate the relevant legal act. Cattron may also deny access to its premises to individuals who do not agree to the processing of their likeness through the camera system, which serves to protect Cattron’s premises.

In the case of personal data processed by Cattron based on the consent of the data subject, providing consent is voluntary. Non-provision or withdrawal of consent will generally have no negative consequences for the data subject, except for the potential inability to further perform or cooperate on the part of Cattron. If consent is withdrawn, the processing of personal data based on consent before its withdrawal remains lawful.

In Liberec, January 2, 2024

Informační sdělení k ochraně osobních údajů

Právní informace

Tento dokument je vypracován společností Cattron s.r.o., se sídlem, Minkovická 696, Liberec 463 12, Czech Republic, IČO 07392770 (dále jen „Cattron“), a to zejména s ohledem na NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) a zákon o
č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů. 

Toto informační sdělení je určeno jak subjektům údajů, od nichž Cattron osobní údaje získal (jedná se tedy o informace ve smyslu článku 13 GDPR), tak i subjektům údajů, jejichž osobní údaje Cattron získal jinak než od těchto subjektu údajů (jedná se tedy o informace ve smyslu článku 14 GDPR). 

Co se v tomto dokumentu dozvíte?

  • Totožnost a kontaktní údaje správce (bod I.)
  • Účely zpracování a právní základ pro zpracování (bod II.)
  • Kategorie zpracovávaných osobních údajů (bod II.)
  • Kategorie příjemců osobních údajů (bod III.)
  • Doba uchovávání osobních údajů (bod IV.)
  • Práva subjektu údajů ve vztahu k ochraně jeho osobních údajů (bod V.)
  • Následky případného neposkytnutí souhlasu se zpracováním (bod VI.)
  1. Totožnost a kontaktní údaje správce

Správce osobních údajů:

Obchodní firma: Cattron s.r.o.

Sídlo: Minkovická 696, Liberec 463 12, Czech Republic, IČO 07392770

Cattron nemá zákonnou povinnost ustanovit pověřence pro ochranu osobních údajů.

  1. Jaké osobní údaje Cattron zpracovává a proč?

Cattron jako správce osobních údajů zpracovává v prvé řadě osobní údaje, které v rámci své podnikatelské činnosti získá od svých smluvních partnerů (zejména dodavatelů a odběratelů), a které Cattron zpracovává za účelem plnění daných smluvních vztahů, a to zejména za účelem zjištění, jaké osoby jsou oprávněny smluvní stranu zavazovat, popřípadě za ni v určitém případně jednat (kontaktní osoby) a rovněž v souvislosti s komunikací s těmito osobami (např. elektronické identifikátory při emailové komunikaci).

Tyto osobní údaje Cattron získává buď přímo od subjektu údajů (zejména pokud je dodavatelem/odběratelem přímo subjekt údajů) a/nebo od osob, se kterými jsou subjekty údajů v určitém smluvním vztahu (obvykle se jedná o zaměstnance či obdobné pracovníky dodavatelů a odběratelů Cattron, kteří tyto informace dále poskytují Cattron v souvislosti s daným smluvním vztahem).

Za výše uvedeným účelem Cattron zpracovává následující údaje:  

  • Identifikační údaje – jméno, příjmení, případně funkce (pracovní zařazení v daném smluvním partnerovi), podpis, IČO, DIČ, registrační údaje, podpis
  • Kontaktní údaje – kontaktní adresa, telefonní číslo, e-mailová adresa a další podobné informace, platební spojení (číslo bankovního účtu)
  • Elektronické identifikátory – IP adresa, cookies.

Cattron rovněž zpracovává osobní údaje svých uchazečů o zaměstnání, a to na základě jejich souhlasu. Osobní údaje jsou získány přímo od uchazeče o zaměstnání, případně od externí společnosti – zprostředkovatele zaměstnání. V tomto případě kromě výše uvedených kategorií osobních údajů Cattron dále zpracovává následující kategorie osobních údajů:

  • Podobizna – kamerový záznam (ve vyznačených prostorách), fotografie zaměstnance v interní databázi
  • Údaje o vzdělání / kvalifikaci – především profesní životopis, doklady o vzdělání, certifikace, řidičské oprávnění

Cattron dále zpracovává osobní údaje svých zaměstnanců a obdobných pracovníků. Tyto subjekty údajů jsou informovány o zpracování osobních údajů v samostatném informační sdělení.

Cattron dále zpracovává osobní údaje v případech, kdy je to nezbytné k ochraně jeho majetku či dalších oprávněných zájmů. Za tímto účelem Cattron provozuje ve svých prostorách kamerový systém, popř. provádí identifikaci cizích osob, které vstupují do prostor společnosti. Provozování kamerového systému podléhá přísně stanoveným pravidlům a je prováděno pouze v nezbytně nutném rozsahu tak, aby nadměrně nezasahovalo do soukromí zaměstnanců a třetích osob. Ve všech těchto případech Cattron dbá na to, aby nad těmito zájmy nepřevážily zájmy nebo základní práva a svobody subjektů údajů, jejichž osobní údaje mají být zpracovány.

Za výše uvedeným účelem Cattron zpracovává následující údaje:  

  • Identifikační údaje – jméno, příjmení, číslo identifikačního dokladu, podobizna

Zpracování osobních údajů společností Cattron je zpravidla prováděno na základě souhlasu subjektu údajů se zpracováním jeho osobních údajů. V případě, že souhlas subjektu údajů udělen nebyl, Cattron  dané osobní údaje zpracovává z důvodu, že je toto zpracování nezbytné pro plnění smluv uzavřených společností Cattron a splnění odpovídajících právních povinností Cattron, případně je nezbytné pro účely oprávněných zájmů správce, které souvisejí s řádným plněním výše uvedených smluv, popřípadě pro účely ochrany majetku Cattron.      

  1. Předává Cattron osobní údaje dalším osobám?

Přestože cílem Cattron je zpracování osobních údajů primárně vlastními prostředky, v některých případech je nezbytné předat osobní údaje dalším subjektům (tzv. příjemcům osobních údajů). Za účelem ochrany osobních údajů má Cattron nastavené vnitřní procesy takovým způsobem, aby byly tyto osobní údaje předávány jen vymezeným třetím stranám, a to pouze v odůvodněných případech a v nezbytném rozsahu. V případě, že je příjemce osobních údajů ve vztahu ke Cattron zpracovatelem osobních údajů, dochází k předávání osobních údajů pouze na základě smlouvy o zpracování osobních údajů.     

Aby mohl Cattron plnit své zákonné či smluvní povinnosti, předává získané osobní údaje např.  příslušnému správci daně (Finančnímu úřadu), externí společnosti, která pro Cattron vede účetní agendu, auditorům, spolupracující advokátní kanceláři v případě potřeby právního poradenství apod.

Cattron rovněž v některých případech předává osobní údaje své mateřské společnosti se sídlem v USA, a to v rozsahu, v jakém jsou tato data uložena na firemní IT síti, která je provozována na serverech umístěných na území USA. Toto předávání osobních údajů mimo území Evropské unie se děje pouze za dodržení přísných zákonných podmínek a to na základě smluvní dokumentace, která zaručuje náležitou ochranu osobních údajů předaných mimo území Evropské unie – jedná se o takzvané „standardní doložky o ochraně osobních údajů“ podle článku 46 odst. 2 písm. c) GDPR.

Jako komunikační kanál pro přijímání oznámení o možném protiprávním jednání ve smyslu zákona č. 171/2023 Sb., o ochraně oznamovatelů, ve znění pozdějších předpisů, používá Cattron nástroj od společnosti Syntrio, Inc. Osobní údaje oznamovatelů, které jsou prostřednictvím tohoto kanálu zpracovávány, mohou být zpracovávány na serverech umístěných mimo Evropskou unii. Společnost Syntrio, Inc. je aktivním účastníkem programu „EU-U.S. Data Privacy Framework“, předávání údajů mimo Evropskou unii je proto v souladu s evropským právem.

  1. Jak dlouho Cattron osobní údaje uchovává?

Cattron má nastavena vnitřní pravidla tak, aby osobní údaje uchovával pouze po dobu uloženou právními předpisy (např. u účetních podkladů 5 let), popř. po dobu, která je potřebná k ochraně oprávněných zájmů společnosti, zejména jejích práv vyplývajících z příslušných právních jednání  – zpravidla se jedná o dobu 10 let po ukončení daného smluvního vztahu, v odůvodněných případech může být doba zpracování prodloužena.

Záznamy z kamerového systému jsou uchovávány po dobu 3 dnů.

 Po té, co výše uvedené důvody pominou, Cattron provádí výmaz těchto údajů.

Osobní údaje, které Cattron zpracovává výlučně na základě souhlasu subjektu údajů, uchovává Cattron pouze po dobu trvání tohoto souhlasu.

  • Jaká práva má subjekt údajů ve vztahu ke svým osobním údajům?

Subjekt údajů má ve vztahu ke zpracování jeho osobních údajů vůči Cattron následující práva:

  • Právo na přístup k osobním údajům, které se ho týkají – subjekt údajů má právo vyžádat si kopii svých osobních údajů, které o něm Cattron zpracovává;
  • Právo na opravu osobních údajů v případě nepřesných údajů, anebo neúplných osobních údajů;
  • Právo na výmaz osobních údajů týkajících se subjektu údajů (právo „být zapomenut“) ve stanovených případech, tj. aby Cattron zlikvidoval osobní údaje a dále je neuchovával;
  • Právo na omezení zpracování osobních údajů, které se týkají subjektu údajů ve vybraných případech;
  • Právo ve stanovených případech vznést námitku proti zpracování, případně podat stížnost dozorovému orgánu, kterým je Úřad pro ochranu osobních údajů (se sídlem Pplk. Sochora 27, 170 00 Praha 7), pokud se subjekt údajů domnívá, že zpracováním osobních údajů je porušeno GDPR;
  • Právo na přenositelnost údajů ve stanovených případech, tj. (i) právo subjektu údajů získat (tedy především stáhnout) osobní údaje, které se ho týkají a které poskytl Cattron (ii) právo předat tyto údaje dalšímu správci bez toho, aby tomu Cattron bránil, tj. přímé poskytnutí osobních údajů Cattron jinému správci.
  • Co se stane, když subjekt údajů neudělí souhlas se zpracováním?

Pokud je poskytnutí osobních údajů nezbytné pro řádné plnění příslušné smlouvy ze strany Cattron a/nebo pro účely oprávněných zájmů Cattron a subjekt údajů odmítne své osobní údaje poskytnout, může Cattron odmítnout plnění, popř. jednostranně ukončit příslušné právní jednání. Cattron rovněž může odepřít přístup do svých prostor osobám, které nesouhlasí se zpracováním své podobizny prostřednictvím kamerového systému, který slouží k ochraně prostor společnosti Cattron. 

V případě osobních údajů, které Cattron zpracovává na základě souhlasu subjektu údajů, je poskytnutí souhlasu subjektu údajů dobrovolné. Neposkytnutí, resp. odvolání souhlasu nebude mít pro subjekt údajů zpravidla žádné negativní důsledky, s výjimkou případné nemožnosti dalšího plnění/součinnosti ze strany Cattron. V případě, že bude souhlas odvolán, zpracování osobních údajů založené na souhlasu před jeho odvoláním je však stále zákonné.

V Liberci dne 02.01.2024