Právní informace

GDPR & Ochrana osobních údajů

Informace o zpracování osobních údajů ve společnosti Elvian Technologies s.r.o. — informační povinnost dle čl. 13 Nařízení (EU) 2016/679 (GDPR) a zákona č. 110/2019 Sb.

Účinnost od 14. 5. 2026 · Verze 1.0
Obsah
  1. Kontakt a stížnosti

1Úvodní ustanovení a role

Toto informační memorandum (dále jen „Memorandum") plní informační povinnost společnosti Elvian Technologies s.r.o. (dále jen „Elvian") podle čl. 13 a 14 Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen „GDPR"), a podle zákona č. 110/2019 Sb., o zpracování osobních údajů (dále jen „ZZOÚ").

Elvian zpracovává osobní údaje ve dvou odlišných rolích, a toto Memorandum se vztahuje na obě:

  • Správce (čl. 4 odst. 7 GDPR) — ve vztahu k vlastním zaměstnancům, uchazečům o zaměstnání, dodavatelům, smluvním partnerům, návštěvníkům webu a kontaktním osobám klientů.
  • Zpracovatel (čl. 4 odst. 8 a čl. 28 GDPR) — ve vztahu k osobním údajům zaměstnanců klientů (správců), které Elvian zpracovává v rámci služeb mzdového účetnictví a personální agendy podle pokynů klienta. V této roli je správcem klient (zaměstnavatel) a subjekty údajů (zaměstnanci) uplatňují svá práva primárně u něj. Pravidla zpracování v této roli upravuje samostatná Smlouva o zpracování osobních údajů (DPA), viz čl. 11.

2Identifikace správce a pověřence

Obchodní firmaElvian Technologies s.r.o.
SídloNa Folimance 2155/15, 120 00 Praha 2, Česká republika
IČO06641288
DIČCZ06641288
ZápisObchodní rejstřík vedený Městským soudem v Praze
Kontaktní e-mailinfo@elvian.cz
E-mail pro GDPR dotazygdpr@elvian.cz
Pověřenec pro ochranu osobních údajů (DPO)Jana Šmidílková · jana.smidilkova@elvian.cz · +420 731 462 048

Pověřenec byl jmenován v souladu s čl. 37 GDPR s ohledem na rozsah a povahu zpracování v rámci mzdového a personálního outsourcingu (zejména rozsáhlé systematické zpracování zvláštních kategorií údajů dle čl. 9 GDPR).

3Kategorie zpracovávaných osobních údajů

V rámci výkonu obou rolí (správce / zpracovatel) zpracováváme následující kategorie osobních údajů. Konkrétní rozsah se vždy řídí účelem a zásadou minimalizace dle čl. 5 odst. 1 písm. c) GDPR:

  • Identifikační údaje — jméno, příjmení, akademický titul, datum a místo narození, rodné číslo, státní občanství, číslo a typ dokladu totožnosti.
  • Kontaktní údaje — adresa trvalého pobytu, doručovací adresa, telefon, e-mail, ID datové schránky.
  • Údaje o pracovním poměru — datum nástupu a ukončení, pracovní pozice, druh pracovněprávního vztahu, výše a složky mzdy, pracovní úvazek, místo výkonu práce.
  • Mzdové údaje — výplata, daňové odvody, srážky ze mzdy, exekuce, dávky nemocenského pojištění, dovolená, docházka.
  • Vzdělání a kvalifikace — dosažené vzdělání, certifikáty, kurzy, lékařské prohlídky a povinná školení (BOZP).
  • Údaje o rodinných příslušnících — pouze pokud jsou nezbytné pro daňové úlevy, zdravotní pojištění nebo nárokové dávky (manžel/ka, vyživované děti).
  • Bankovní údaje — číslo účtu pro výplatu mzdy.
  • Zvláštní kategorie údajů (čl. 9 GDPR):
    • Údaje o zdravotním stavu — v rozsahu nezbytném pro pracovnělékařské prohlídky, dávky nemocenského pojištění, invalidní důchod, ZTP/P pro daňové úlevy.
    • Členství v odborové organizaci — pouze, žádá-li si zaměstnanec o srážku členského příspěvku ze mzdy.

4Účely zpracování

  • Plnění zákonných povinností v oblasti mezd a personalistiky — výpočet a výplata mezd, srážky daní, odvody na sociální a zdravotní pojištění, plnění oznamovacích povinností.
  • Plnění oznamovacích povinností vůči orgánům veřejné správy — Česká správa sociálního zabezpečení, zdravotní pojišťovny, finanční úřad, úřad práce, Český statistický úřad.
  • Vedení mzdové a personální evidence v rozsahu vyžadovaném zejména zákonem č. 262/2006 Sb., zákoníkem práce, zákonem č. 586/1992 Sb., o daních z příjmů, a zákonem č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení.
  • Provoz zaměstnaneckého portálu — bezpečný přístup zaměstnance k vlastním výplatním páskám, dovoleným, dokumentům.
  • Archivace dokumentů — v rozsahu a po dobu stanovenou právními předpisy (viz čl. 8).
  • Vedení záznamů o činnostech zpracování dle čl. 30 GDPR a plnění povinností vůči Úřadu pro ochranu osobních údajů.
  • Ochrana oprávněných zájmů Elvianu — vymáhání pohledávek, obhajoba právních nároků, zajištění bezpečnosti IT systémů (logování přístupů).

5Právní základy zpracování

Účel Právní základ
Zpracování mezd a personální evidence dle pokynů klienta (Elvian jako zpracovatel) čl. 28 GDPR ve vazbě na čl. 6 odst. 1 písm. c) GDPR (zákonná povinnost správce – klienta)
Plnění zákonných povinností (odvody, hlášení, archivace) čl. 6 odst. 1 písm. c) GDPR — plnění právní povinnosti
Zpracování údajů vlastních zaměstnanců Elvianu čl. 6 odst. 1 písm. b) GDPR (smlouva) + čl. 6 odst. 1 písm. c) GDPR
Zaměstnanecký portál a IT bezpečnost (logy) čl. 6 odst. 1 písm. f) GDPR — oprávněný zájem
Zvláštní kategorie údajů — zdravotní stav čl. 9 odst. 2 písm. b) GDPR (povinnosti v oblasti pracovního práva a sociálního zabezpečení) + § 11 ZZOÚ
Zvláštní kategorie údajů — členství v odborech čl. 9 odst. 2 písm. a) GDPR (výslovný souhlas zaměstnance)
Marketingová komunikace vůči obchodním partnerům čl. 6 odst. 1 písm. a) GDPR (souhlas) nebo čl. 6 odst. 1 písm. f) (oprávněný zájem)

6Příjemci osobních údajů a subzpracovatelé

Osobní údaje předáváme pouze následujícím kategoriím příjemců a vždy v rozsahu nezbytně nutném pro plnění konkrétního účelu:

  • Klient (zaměstnavatel) — v režimu BPO je klient správcem údajů svých zaměstnanců a Elvian mu předává výstupy zpracování.
  • Orgány veřejné správy — Česká správa sociálního zabezpečení, zdravotní pojišťovny, finanční úřad, úřad práce, soudy a orgány činné v trestním řízení (v rozsahu zákonné oznamovací povinnosti nebo na základě vyžádání podle zákona).
  • Banky a poskytovatelé platebních služeb — pro účely výplaty mezd a úhrady odvodů.
  • Profesionální poradci — auditoři, daňoví poradci, advokáti (vždy pod zákonnou povinností mlčenlivosti).
  • Pojišťovny a exekutoři — v rozsahu vyžadovaném zákonem (srážky ze mzdy, výkon rozhodnutí).
  • Subzpracovatelé — poskytovatelé IT a cloudových služeb — provozovatelé mzdového a personálního software, hosting, e-mail, zálohování, kybernetická bezpečnost. Subzpracovatelé jsou vázáni smlouvou o zpracování podle čl. 28 odst. 4 GDPR. Aktualizovaný seznam subzpracovatelů Elvian zpřístupní klientovi na vyžádání.

Osobní údaje neprodáváme třetím stranám a neprovádíme automatizované rozhodování s právními účinky pro subjekt údajů ve smyslu čl. 22 GDPR.

7Předání mimo EU/EHP

Osobní údaje zpracováváme primárně na území Evropské unie a Evropského hospodářského prostoru. K předání do třetích zemí dochází pouze ve výjimečných a jasně odůvodněných případech, a to vždy za podmínek stanovených kapitolou V GDPR (čl. 44 a násl.):

  • Na základě rozhodnutí Evropské komise o odpovídající úrovni ochrany dle čl. 45 GDPR, nebo
  • S využitím standardních smluvních doložek přijatých Evropskou komisí dle čl. 46 odst. 2 písm. c) GDPR, doplněných o doplňková ochranná opatření, vyžadují-li to okolnosti, nebo
  • Na základě jiné záruky uvedené v čl. 46 a 47 GDPR (závazná podniková pravidla, schválené kodexy chování).
Informace o předávání: Pokud v rámci konkrétní služby dochází k předání osobních údajů mimo EU/EHP, Elvian o tom klienta informuje předem a na žádost zpřístupní kopii uplatněných záruk.

8Doba uchovávání údajů

Doba uchovávání jednotlivých kategorií osobních údajů odpovídá zákonným archivačním lhůtám stanoveným zejména následujícími předpisy:

Kategorie údajůLhůtaPrávní základ
Mzdové listy 30 let po roce, kterého se týkají § 35a odst. 4 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení
Stejnopisy evidenčních listů důchodového pojištění 3 kalendářní roky po roce, kterého se týkají § 38 odst. 4 zákona č. 582/1991 Sb.
Daňové doklady a evidence pro účely DPH 10 let od konce zdaňovacího období § 35 zákona č. 235/2004 Sb., o dani z přidané hodnoty
Účetní záznamy a doklady (vč. doložení mzdových nákladů) 5 let, mzdové listy a daňové doklady 10 let § 31 zákona č. 563/1991 Sb., o účetnictví
Mzdové podklady pro daň z příjmů (potvrzení, prohlášení) 10 let po skončení zdaňovacího období § 38n zákona č. 586/1992 Sb., o daních z příjmů, ve vazbě na § 148 zákona č. 280/2009 Sb., daňový řád
Evidence pracovní doby zaměstnance Po dobu trvání pracovního poměru § 96 zákona č. 262/2006 Sb., zákoníku práce
Pracovněprávní dokumentace (smlouvy, dohody, výpovědi) 10 let od skončení pracovního poměru Smluvní praxe a promlčecí lhůty dle § 629 a § 636 OZ
Údaje o uchazečích o zaměstnání, kteří nebyli přijati 6 měsíců od ukončení výběrového řízení (delší pouze se souhlasem) Oprávněný zájem & čl. 6 odst. 1 písm. a) GDPR

Po uplynutí archivační lhůty jsou osobní údaje bezpečně skartovány v listinné podobě a nevratně smazány nebo anonymizovány v elektronické podobě.

9Práva subjektů údajů

Každý subjekt údajů (zaměstnanec, uchazeč, kontaktní osoba) má v souladu s kapitolou III GDPR následující práva:

  • Právo na přístup (čl. 15) — získat potvrzení, zda jsou údaje zpracovávány, a kopii zpracovávaných údajů.
  • Právo na opravu (čl. 16) — opravit nepřesné údaje nebo doplnit neúplné.
  • Právo na výmaz (čl. 17, „právo být zapomenut") — v případech, kdy zpracování není nutné pro plnění zákonné povinnosti nebo jiného právního titulu.
  • Právo na omezení zpracování (čl. 18) — pozastavit zpracování v zákonem stanovených případech.
  • Právo na přenositelnost (čl. 20) — získat údaje ve strukturovaném strojově čitelném formátu, je-li zpracování založeno na souhlasu nebo smlouvě a probíhá automatizovaně.
  • Právo vznést námitku (čl. 21) — proti zpracování založenému na oprávněném zájmu.
  • Právo nebýt předmětem automatizovaného rozhodování (čl. 22) — Elvian takové rozhodování neprovádí.
  • Právo odvolat souhlas (čl. 7 odst. 3) — kdykoli, je-li zpracování založeno na souhlasu (odvolání nemá zpětnou účinnost).
  • Právo podat stížnost u dozorového úřadu — Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz.
Kde uplatnit žádost: Je-li Elvian správcem (vlastní zaměstnanci, partneři, web), žádost adresujte přímo nám na gdpr@elvian.cz. Pokud Elvian zpracovává údaje jako zpracovatel (v rámci BPO služeb pro zaměstnavatele), uplatněte žádost u svého zaměstnavatele jakožto správce; Elvian mu poskytne potřebnou součinnost.

Elvian na žádost reaguje bez zbytečného odkladu, nejpozději do 1 měsíce od jejího přijetí. V komplexních případech může být lhůta prodloužena o další 2 měsíce, o čemž subjekt údajů předem informujeme.

10Zabezpečení a postup při bezpečnostním incidentu

Elvian s ohledem na povahu, rozsah, kontext a účely zpracování a na pravděpodobnost a závažnost rizik pro práva subjektů údajů přijímá vhodná technická a organizační opatření dle čl. 32 GDPR, zejména:

  • Šifrované úložiště (data at rest) a šifrovaný přenos (TLS 1.2+/HTTPS pro zaměstnanecký portál a všechny webové aplikace).
  • Řízení přístupů na principu „need-to-know" a „least privilege", vícefaktorové ověřování (MFA) pro administrátorské účty.
  • Pravidelné zálohování s testovaným obnovením a geografickou redundancí.
  • Logování přístupů a detekce neoprávněných nebo neobvyklých operací.
  • Mlčenlivost zaměstnanců a subdodavatelů — smluvně, na úrovni vnitřní směrnice i periodických školení.
  • Pravidelná školení zaměstnanců v oblasti ochrany osobních údajů a kybernetické bezpečnosti.
  • Vedení záznamů o činnostech zpracování dle čl. 30 GDPR.
  • Posouzení vlivu na ochranu osobních údajů (DPIA) dle čl. 35 GDPR u zpracování s vysokým rizikem pro práva subjektů údajů.

Postup při bezpečnostním incidentu: Dojde-li k porušení zabezpečení osobních údajů ve smyslu čl. 4 odst. 12 GDPR, postupuje Elvian podle interního plánu reakce na incident:

  • Je-li Elvian správcem, ohlásí porušení Úřadu pro ochranu osobních údajů bez zbytečného odkladu, nejpozději do 72 hodin od okamžiku, kdy se o něm dozvěděl, dle čl. 33 GDPR. Subjekty údajů informuje dle čl. 34 GDPR, je-li riziko pro jejich práva vysoké.
  • Je-li Elvian zpracovatelem, oznámí porušení správci (klientovi) bez zbytečného odkladu poté, co se o něm dozvěděl, zpravidla do 24 hodin, dle čl. 33 odst. 2 GDPR, a poskytne mu nezbytnou součinnost pro splnění jeho oznamovacích povinností.

11Role zpracovatele a Smlouva o zpracování (DPA)

Při poskytování služeb mzdového účetnictví a personální agendy vystupuje Elvian zpravidla v roli zpracovatele ve smyslu čl. 28 GDPR. Správcem zůstává klient (zaměstnavatel), který určuje účely a prostředky zpracování a udílí Elvianu pokyny.

Pravidla zpracování jsou upravena samostatnou Smlouvou o zpracování osobních údajů (Data Processing Agreement, DPA), která tvoří přílohu hlavní Smlouvy s klientem a splňuje požadavky čl. 28 odst. 3 GDPR. DPA upravuje zejména:

  • Předmět, dobu trvání, povahu a účel zpracování, kategorie subjektů údajů a typy osobních údajů.
  • Dokumentované pokyny správce a povinnosti zpracovatele.
  • Povolování dalších subzpracovatelů (obecné povolení s povinností předchozí informace o změnách).
  • Technická a organizační opatření zabezpečení.
  • Postup oznamování porušení zabezpečení správci.
  • Součinnost při uplatnění práv subjektů údajů, DPIA a při auditech.
  • Povinnosti při ukončení smlouvy — vrácení nebo výmaz osobních údajů (volba správce).

12Kontakt pro otázky GDPR a stížnosti

E-mail pro GDPR: gdpr@elvian.cz
Obecný kontakt: info@elvian.cz
Adresa: Elvian Technologies s.r.o., Na Folimance 2155/15, 120 00 Praha 2, Česká republika
Pověřenec pro ochranu osobních údajů (DPO): Jana Šmidílková · jana.smidilkova@elvian.cz · +420 731 462 048

Reagujeme nejpozději do 1 měsíce od přijetí žádosti. V komplexních případech může být lhůta prodloužena o další 2 měsíce, o čemž vás budeme informovat.

Dozorový úřad: Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz, posta@uoou.cz.