Article
Avature – Privacy notice
Information on processing your personal data for Onboarding process
EMPLOYER TO EMPLOYEE INFORMATION ON PERSONAL DATA PROCESSING
Date: 1 November 2020
Definitions:
- “Controller” means the natural or legal person, public authority, agency or other body which, alone or jointly with others, determines the purposes and means of the processing of personal data; In respect of this Personal data processing, the Controller means the Employer.
- “Data Protection Legislation” means the following legislation to the extent applicable from time to time: (a) national legal regulations implementing Directive on the protection of individuals with regard to the processing of personal data and on the free movement of such data (95/46/EC) and Directive on Privacy and Electronic Communications (2002/58/EC); (b) the General Data Protection Regulation ((EU) 2016/679); and (c) any other national legal regulations on personality rights protection and data privacy.
- “Employment Relationship” means the employment relationship or another labour-law relationship under the Labour Code (agreement to complete a job or agreement to perform work) between the Employee and the Employer.
- “Employment Contract” means an agreement establishing the Employment Relationship, as defined above.
- “Labour Code” means Act No. 262/2006 Coll., the Labour Code, as amended.
- “Personal Data” means any information relating to an identified or identifiable natural person; an identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, an online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person;
- “Processor” means a natural or legal person, public authority, agency or other body which processes personal data on behalf of the Controller;
- “Recipient” means a natural or legal person, public authority, agency or another body, to which the personal data are disclosed. In respect of the Employee’s Personal Data, the Recipient may be e.g. the employee (employees) of the Controller, the Processor (Processors) or the employee (employees) of the Processor. Public authorities which may receive Personal data in the framework of a particular inquiry in accordance with the legislation shall not be regarded as recipients.
- “Deloitte Entities” or “Deloitte” refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private company limited by guarantee (“DTTL”), its network of member firms, and their related entities. DTTL and each of its member firms are legally separate and independent entities. DTTL (also referred to as "Deloitte Global") does not provide services to clients. Please see https://www2.deloitte.com/cz/cs/pages/about-deloitte/articles/about-deloitte.html to learn more about our global network of member firms. Deloitte Central Europe is a regional organisation of entities organised under the umbrella of Deloitte Central Europe Holdings Limited, the member firm in Central Europe of Deloitte Touche Tohmatsu Limited. Services are provided by the subsidiaries and affiliates of Deloitte Central Europe Holdings Limited, which are separate and independent legal entities.
- “Deloitte Czech Republic Entities” refers to Deloitte entities operating within the Czech Republic, which are Deloitte Advisory s.r.o., Deloitte Audit s.r.o., Deloitte BPS a.s., Deloitte CZ Services s.r.o., Deloitte Security s.r.o., Deloitte Legal s.r.o., advokátní kancelář and Deloitte Central Europe Service Centre s.r.o..
- “Employee” means an individual identified in the opening part of the form.
- “Employer” means a legal entity identified in the opening part of the form.
Scope of processing:
The Employer processes the Personal Data in the following scope:
- Personal data in the scope required by applicable legal regulations (Labour Code and other legislation relating to the Employment Relationship);
- Personal data provided by the Employee before entering into an Employment Contract;
- Personal data regarding the professional qualifications and experience of the Employee;
- Other personal data regarding the Employment Relationship of the Employee and the performance of his/her obligations related to the Employment Relationship (e.g.: data relating to the performance evaluation, attendance in training courses and e-learnings, lists of telephone calls made, use of Deloitte equipment and systems, etc.); and
- Photographs, video and audio recordings of the Employee made during or in the context of the performance of his/her work activity, or as part of marketing, training or other events organised by the Employer or Deloitte Czech Republic Entities; and
- Results and evaluation of admission tests, information regarding attendance in assessment centres, interviews and notes of Deloitte HR staff on them.
Purpose of Processing:
The purpose of processing the Employee's Personal Data is to exercise the rights and obligations of the Employer under the Employment Contract, the Labour Code and other relevant legal regulations, particularly administration of HR agenda and payroll management, archiving documents; using email and other hosted applications, actions related to fulfilling the Employee's obligations arising from the Employment Relationship, training and education of employees, providing benefits, including the organisation of events for the Employer's staff, and also actions related to presentation of the Employer on the labour market or related to the provision of the Employer’s services to their clients including official external communication of the Employer and Deloitte Czech Republic Entities with regional, national and foreign media (newspapers and other printed media, television, radio, etc.) as well as ensuring the continuity of recruitment and internal mobility of Deloitte Czech Republic Entities' staff.
The Employer is also entitled to process the Personal Data for the purpose of monitoring employee compliance with the Employer's internal regulations regarding the security of the Employer's equipment and systems. Processing for this purpose and in the scope necessary to meet this purpose is based on the Employer's legitimate interest in ensuring the continuity of their business activities and the protection of their economic, commercial and financial interests and, above all, compliance with the confidentiality rules. This includes, in particular, preventing the occurrence of and eliminating technical problems, preventing and avoiding activities carried out intentionally in violation of the law, public policy or intentionally disrupting rights and dignity of third persons, preventing and supressing intellectual property rights infringement as well as the confidentiality and integrity of the Employer's data, the security and good technical functionality of their systems and the regulation of related costs, as well as ensuring material protection of all resources of the Employer.
Recipients of the Employee’s Personal Data:
The Employer is authorised to provide the Personal data of the Employee to the Recipients listed below in the scope necessary to exercise the rights and obligations arising from the Employment Contract between the Employee and the Employer, to meet the Employer's legitimate interest, or according to the agreement between the Employee and the Employer.
Recipients who act as Processors process the Personal Data under the conditions and in the scope agreed with the Employer in a written agreement or authorisation.
The list of the Processors of the Deloitte CE Employees’ Personal Data is published and available here:
The list of the Processors of the Deloitte Czech Republic Employees’ Personal Data is published and available here:
The above-mentioned lists are available in hard-copy format in HR department and will be provided to the Employee at his/her request.
The Employee is hereby informed that the Employer may provide the Employee's Personal Data for the above purposes to Deloitte Czech Republic Entities, Deloitte CE Entities and other Deloitte Entities, including the countries located outside the EU in which Data protection does not have to be guaranteed on the same level as required by the EU law. These transfers to countries outside the territory of the European Union, whether to Processors (which are identifiable from the above Lists of the Employees’ Personal Data Processors) or to Controllers, are based on standard contractual clauses approved by the European Union, which guarantee an appropriate level of protection as required by the Data Protection Legislation. In some specific cases, such as mobility or cross-border cooperation programmes, the Employee's Personal Data may be transferred to the Recipient outside the European Union, with the Recipient being responsible for compliance with local data processing legislation.
Photographs, video and audio recordings and related Employee’s Personal Data may, for the purposes described above, be published on the website of the Employer and Deloitte Czech Republic Entities, intranet and TV screens in the offices of the Employer or as part of communication of the Employer and Deloitte Czech Republic Entities with regional, national and foreign media (newspapers and other printed media, television, radio etc.). In such cases, other employees of Deloitte Czech Republic Entities or the public are also the Recipients of Personal Data.
Personal data of the Employee may also be provided to competent authorities authorised based on applicable legislation.
Duration of the Employee’s Personal Data Processing:
The Employee's Personal Data will be processed until the purposes of processing such Personal Data are met or for the period required by applicable legislation. The results and evaluation of the admission tests, information regarding the attendance in assessment centres, interviews and Deloitte HR staff's notes on them will be processed to ensure the continuity of recruitment and internal mobility of the staff of Deloitte Entities for no more than 2 years after the establishment of the contractual relationship. After the end of the respective processing period, the Employee's Personal Data will be anonymised or permanently deleted.
Employee Obligations:
The Employee is responsible for the accuracy and timeliness of the Personal Data provided to the Employer. The Employee undertakes to inform the Employer immediately of any changes to the Personal Data provided by him/ her.
For the duration of the Employment Relationship and after its termination, the Employee is obliged to keep confidentiality in respect of the Personal Data relating to the employees of the Employer, their clients, external suppliers and other individuals with whom the Employee came into contact during the Employment Relationship, which are processed in connection with the performance of work duties of the Employee for the Employer. The Employee must not apply the Personal Data for private purposes or disclose them or made them available without the consent of the Employer or the relevant individual. Other Employee's obligations regarding the Personal Data handling are listed in internal regulations of the Employer about which the Employee was informed and which he/she undertakes to comply with.
Security measures:
The Employer and the Processor(s) shall introduce technological, physical, administrative and procedural guarantees which will be in compliance with the standards adopted in the relevant industry for the purpose of protecting and ensuring confidentiality, integrity or availability of processed Personal Data, prevention of unauthorised use of or unauthorised access to the Personal Data and prevention of violation of the Personal Data security (security incidents) in compliance with the guidelines and internal policies of Deloitte CE and applicable legislation. Deloitte CE Entities are the holders of ISO 27001 certification, which is a widely recognised international standard for information security.
Data subject rights:
ShapeThe Employee as the Data subject is entitled to require access to his/her Personal Data (and ask a copy of your Personal Data), their update, or deletion or restriction of processing or may raise an objection against the processing, and also has the right to data portability (the right to receive a copy of the Personal Data that the Employee has provided to the Employer in a structured machine-readable format and request the transmission of such data to another recipient). All rights listed herein may be exercised by sending a written notice to the HR department or to the e-mail address CEprivacy@deloitte.com. At this e-mail address, the contractual partner may also contact the Company with questions regarding the processing of Personal Data, including security measures when transferring the Personal Data outside the EU.
The Employee is also entitled to lodge a complaint with a local personal data supervisory authority, i.e., the Office for Personal Data Protection.
For more information on the Data subject rights, please refer to internal regulation 1604.03 On the Exercise of the Data subject rights which is available here: 1604.02 Employees' Personal Data Protection.pdf (deloitte.com)
INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ POSKYTNUTÁ ZAMĚSTNAVATELEM ZAMĚSTNANCI
Datum: 1. listopadu 2020
Definice:
- „Správce“ označuje fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování Osobních údajů. Ve vztahu k tomuto zpracování Osobních údajů je Správcem Zaměstnavatel.
- „Právní předpisy v oblasti ochrany osobních údajů“ označují následující právní předpisy v rozsahu, v jakém se v příslušném okamžiku aplikují: (a) vnitrostátní právní předpisy implementující Směrnici 95/46/ES o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, jakož i Směrnici 2002/58/ES o soukromí a elektronických komunikacích; (b) Obecné nařízení o ochraně osobních údajů ((EU) 2016/679) a (c) jakékoliv další vnitrostátní právní předpisy týkající se ochrany osobnosti a osobních údajů.
- „Pracovní poměr” označuje pracovní poměr nebo jiný pracovně-právní vztah podle Zákoníku práce (dohoda o provedení práce nebo dohoda o pracovní činnosti) mezi Zaměstnancem a Zaměstnavatelem.
- „Pracovní smlouva” označuje smlouvu zakládající Pracovní poměr, jak je definován výše.
- „Zákoník práce“ označuje zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů.
- „Osobní údaje” označují veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
- „Zpracovatel” označuje fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, který zpracovává Osobní údaje pro Správce.
- „Příjemce“ označuje fyzickou nebo právnickou osobu, orgán veřejné moci, agenturu nebo jiný subjekt, jemuž jsou Osobní údaje poskytnuty. Ve vztahu k Osobním údajům Zaměstnance může být Příjemcem například zaměstnanec (zaměstnanci) Správce, případně Zpracovatel (Zpracovatelé) či zaměstnanec (zaměstnanci) Zpracovatele. Orgány veřejné moci, které mohou obdržet Osobní údaje v souvislosti s konkrétním požadavkem v souladu s právními předpisy, se za Příjemce nepovažují.
- „Společnosti skupiny Deloitte” nebo „Deloitte“ označuje jednu či více společností Deloitte Touche Tohmatsu Limited, britské soukromé společnosti s ručením omezeným zárukou („DTTL“), síť jejích členských firem a jejich spřízněných a přidružených subjektů. Společnost DTTL a každá z jejích členských firem představuje samostatný a nezávislý právní subjekt. Společnost DTTL (rovněž označovaná jako „Deloitte Global“) služby klientům neposkytuje. Více informací o naší globální síti členských firem je uvedeno na adrese https://www2.deloitte.com/cz/cs/pages/about-deloitte/articles/about-deloitte.html. „Deloitte CE“ je regionálním sdružením subjektů zastřešených společností Deloitte Central Europe Holdings Limited, která je členskou firmou sdružení Deloitte Touche Tohmatsu Limited ve střední Evropě. Odborné služby poskytují dceřiné a přidružené podniky společnosti Deloitte Central Europe Holdings Limited, které jsou samostatnými a nezávislými právními subjekty.
- „Společnosti skupiny Deloitte v České republice“ jsou společnosti skupiny Deloitte působící v České republice, kterými jsou Deloitte Advisory s.r.o., Deloitte Audit s.r.o., Deloitte BPS a.s., Deloitte CZ Services s.r.o., Deloitte Security s.r.o., Deloitte Legal s.r.o., advokátní kancelář a Deloitte Central Europe Service Centre s.r.o..
- „Zaměstnanec“ je fyzická osoba identifikovaná v úvodní části formuláře.
- „Zaměstnavatel“ je právnická osoba identifikovaná v úvodní části formuláře.
Rozsah zpracování:
- Zaměstnavatel zpracovává Osobní údaje Zaměstnance v následujícím rozsahu:
- Osobní údaje v rozsahu požadovaném příslušnými právními předpisy (Zákoníkem práce a dalšími právními předpisy týkajícími se Pracovního poměru);
- Osobní údaje poskytnuté Zaměstnancem před uzavřením Pracovní smlouvy;
- Osobní údaje týkající se odborné kvalifikace a zkušeností Zaměstnance;
- Další Osobní údaje týkající se Pracovního poměru Zaměstnance a plnění jeho povinností souvisejících s Pracovním poměrem (např.: údaje týkající se hodnocení výkonnosti, údaje týkající se účasti na školeních a e-learninzích, seznamy uskutečněných telefonních hovorů, použití zařízení a systémů Deloitte atd.); a
- Fotografie, video a audio nahrávky Zaměstnance pořízené při nebo v souvislosti s výkonem jeho pracovní činnosti, nebo v rámci marketingových, školících nebo jiných akcí organizovaných Zaměstnavatelem nebo Společnostmi skupiny Deloitte v České republice; a
- Výsledky a hodnocení vstupních testů, informace ohledně účasti v assessment centrech, na pohovorech a poznámky Deloitte HR personálu k nim.
Účel zpracování:
Účelem zpracování Osobních údajů Zaměstnance je výkon práv a povinností Zaměstnavatele dle Pracovní smlouvy, Zákoníku práce a dalších příslušných právních předpisů, zejména správa personální agendy a mezd, archivace dokumentů; využívání emailu a jiných hostovaných aplikací, úkony související s plněním povinností Zaměstnance vyplývajících z Pracovního poměru, školení a vzdělávání zaměstnanců, poskytování benefitů včetně organizace akcí pro personál Zaměstnavatele a dále úkony související s prezentací Zaměstnavatele na trhu práce či související s poskytováním služeb Zaměstnavatele jeho klientům, včetně oficiální externí komunikace Zaměstnavatele a Společností skupiny Deloitte v České republice s regionálními, celostátními i zahraničními médii (noviny a jiná tištěná média, televize, rozhlas etc.) a též zajištění návaznosti náboru a interní mobility personálu Společností skupiny Deloitte.
Zaměstnavatel je též oprávněn zpracovávat Osobní údaje za účelem sledování dodržování interních předpisů Zaměstnavatele týkajících se zabezpečení zařízení a systémů Zaměstnavatele ze strany Zaměstnanců. Zpracování za tímto účelem a v rozsahu nezbytném k naplnění tohoto účelu je založeno na oprávněném zájmu Zaměstnavatele na zajištění kontinuity jeho obchodní činnosti a ochrany jeho ekonomických, obchodních a finančních zájmů a především dodržování pravidel důvěrnosti informací. Toto zahrnuje zejména předcházení výskytu a odstraňování technických problémů, předcházení a zabraňování činnostem prováděným záměrně v rozporu se zákonem, veřejným pořádkem či úmyslně narušujícím práva a důstojnost třetích osob, předcházení a potlačování porušování práv duševního vlastnictví, a též důvěrnosti a celistvosti dat Zaměstnavatele, bezpečnosti a dobré technické funkčnost jeho systémů a regulace souvisejících nákladů, stejně tak jako zajištění materiální ochrany všech zdrojů Zaměstnavatele.
Příjemci Osobních údajů Zaměstnance:
Zaměstnavatel je oprávněn poskytovat Osobní údaje Zaměstnance Příjemcům uvedeným níže, a to v rozsahu nezbytném k výkonu práv a povinností vyplývajících z Pracovní smlouvy mezi Zaměstnancem a Zaměstnavatelem, plnění oprávněného zájmu Zaměstnavatele, nebo dle dohody mezi Zaměstnancem a Zaměstnavatelem.
Příjemci, kteří jsou Zpracovateli, zpracovávají Osobní údaje za podmínek a v rozsahu, dohodnutém se Zaměstnavatelem v písemné dohodě či pověření.
Seznam Zpracovatelů Osobních údajů zaměstnanců v rámci Deloitte CE je uveřejněn a je přístupný zde:
Seznam Zpracovatelů Osobních údajů zaměstnanců v České republice je uveřejněn a je přístupný zde: https://resources.deloitte.com/sites/centraleurope/CE%20Policies/1600%20Security/1612%20Data%20Processors%20-%20Local/1612.01%20List%20of%20Employee%20Personal%20Data%20Processors%20-%20Czech%20Republic.pdf
Výše uvedené seznamy v listinné podobě jsou dostupné na HR oddělení a budou Zaměstnanci poskytnuty na jeho žádost.
Zaměstnanec je tímto informován, že Zaměstnavatel může poskytnout Osobní údaje Zaměstnance k výše uvedeným účelům Společnostem skupiny Deloitte v České republice, společnostem Deloitte CE a jiným Společnostem skupiny Deloitte, a to i do zemí mimo území Evropské unie, v nichž nemusí být ochrana údajů garantována na stejné úrovni, jaká je vyžadována právními předpisy Evropské unie. Tato předání do zemí mimo území Evropské unie, ať už Zpracovatelům (kteří jsou zřejmí ze Seznamů Zpracovatelů Osobních údajů zaměstnanců výše) nebo Správcům, jsou založena na standardních smluvních doložkách schválených Evropskou unií, které zaručují vhodnou úroveň ochrany tak, jak je vyžadováno Právními předpisy v oblasti ochrany osobních údajů. V některých specifických případech, jako jsou programy mobility nebo přeshraniční spolupráce, lze Osobní údaje Zaměstnance převést Příjemci mimo Evropskou unii, přičemž tento Příjemce odpovídá za soulad s místními Právními předpisy v oblasti zpracování osobních údajů.
Fotografie, video a audio nahrávky a související Osobní údaje Zaměstnance mohou být za výše popsanými účelem zveřejněny na webových stránkách Zaměstnavatele a Společností skupiny Deloitte v České republice, intranetu a TV obrazovkách v kancelářích Zaměstnavatele či v rámci komunikace Zaměstnavatele a Společností skupiny Deloitte v České republice s regionálními, celostátními i zahraničními médii (noviny a jiná tištěná média, televize, rádio etc.). V takových případech jsou příjemci Osobních údajů též ostatní zaměstnanci Společností skupiny Deloitte v České republice či veřejnost.
Osobní údaje Zaměstnance mohou být rovněž poskytnuty příslušným orgánům oprávněným na základě platných právních předpisů.
Doba, po kterou budou Osobní údaje Zaměstnance zpracovávány:
Osobní údaje Zaměstnance budou zpracovávány do doby, kdy budou splněny účely zpracování těchto Osobních údajů případně po dobu vyžadovanou platnými právními předpisy. Výsledky a hodnocení vstupních testů, informace ohledně účasti v assessment centrech, na pohovorech a poznámky Deloitte HR personálu k nim budou zpracovávány zajištění návaznosti náboru a interní mobility personálu Společností skupiny Deloitte max. 2 roky po založení Smluvního vztahu. Po skončení příslušné doby zpracování budou Osobní údaje Zaměstnance anonymizovány nebo trvale vymazány.
Povinnosti Zaměstnance:
Zaměstnanec je odpovědný za přesnost a aktuálnost Osobních údajů, které poskytl Zaměstnavateli. Zaměstnanec se zavazuje, že bude Zaměstnavatele neprodleně informovat o jakýchkoliv změnách Osobních údajů, které poskytl.
Během doby trvání Pracovního poměru a po jeho skončení je Zaměstnanec povinen zachovávat důvěrnost Osobních údajů týkajících se zaměstnanců Zaměstnavatele, jeho klientů, externích dodavatelů a dalších fyzických osob, s nimiž Zaměstnanec přišel během Pracovního poměru do styku, které jsou zpracovány v souvislosti s výkonem pracovních povinností Zaměstnance pro Zaměstnavatele. Zaměstnanec nesmí Osobní údaje použít pro soukromé účely, ani je nesmí zveřejnit nebo zpřístupnit bez souhlasu Zaměstnavatele nebo dané fyzické osoby. Další povinnosti Zaměstnance týkající se nakládání s Osobními údaji jsou uvedeny v interních předpisech Zaměstnavatele, o nichž byl Zaměstnanec informován a které se zavazuje dodržovat.
Bezpečnostní opatření:
Zaměstnavatel a Zpracovatel/é zavedou technologické, fyzické, administrativní a procedurální záruky, které budou v souladu se standardy přijatými v příslušném odvětví za účelem ochrany a zajištění důvěrnosti, integrity nebo dostupnosti zpracovávaných Osobních údajů, zabránění neoprávněnému užití nebo neoprávněnému přístupu k Osobním údajům a zabránění porušení zabezpečení Osobních údajů (bezpečnostní incidenty) v souladu s pokyny a interními postupy Deloitte CE a platnými právními předpisy. Společnosti Deloitte CE jsou držiteli certifikace ISO 27001, což je široce uznávaný mezinárodní standard pro bezpečnost informací.
Práva subjektu údajů:
ShapeZaměstnanec jakožto subjekt Osobních údajů má právo požadovat přístup ke svým Osobním údajům (a žádat kopii Vašich Osobních údajů), jejich aktualizaci, opravu nebo vymazání či omezení zpracování, případně může vznést proti zpracování námitku, a má též právo na přenositelnost údajů (právo obdržet kopii Osobních údajů, které Zaměstnanec poskytl Zaměstnavateli ve strukturovaném strojově čitelném formátu a žádat předání těchto údajů dalšímu příjemci). Veškerá zde uvedená práva mohou být uplatněna zasláním písemného oznámení HR oddělení nebo na e-mailovou adresu CEprivacy@deloitte.com. Na této emailové adrese může Smluvní partner kontaktovat Společnost též s dotazy týkajícími se zpracování Osobních údajů včetně bezpečnostních opatření při předání osobních údajů mimo EU.
Zaměstnanec má rovněž právo podat stížnost u lokálního orgánu dohledu nad zpracováním osobních údajů, tzn. Úřadu pro ochranu osobních údajů.
Pro více informací o právech subjektů osobních údajů, se, prosím, seznamte s interním předpisem 1604.03 O výkonu práv subjektů osobních údajů, který je dostupný zde: 1604.02 Employees' Personal Data Protection.pdf (deloitte.com)