Ochrana osobních údajů
Vnitropodniková směrnice o ochraně osobních údajů určuje práva a povinnosti všech pracovníků společnosti vzhledem k ochraně osobních údajů subjektů údajů. Všichni pracovníci společnosti, zejména ti, kteří v rámci své pracovní náplně zpracovávají osobní údaje, musí být s obsahem směrnice srozuměni a této porozumět. Vhodnou variantou jsou pravidelná vnitropodniková školení pro stávající pracovníky a řádné proškolení pracovníků nabíraných.
SMĚRNICE SPOLEČNOSTI Jana Marková
O OCHRANĚ OSOBNÍCH ÚDAJŮ
- ÚČEL SMĚRNICE
- Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů ve Společnosti. Tato směrnice je jedním z organizačních opatření ochrany osobních údajů ve smyslu ust. článku 32 GDPR.
- Tato směrnice dále upravuje procesy realizace práva subjektu údajů na přístup k osobním údajům ve smyslu ust. článku 15 GDPR a ohlašování případů porušení zabezpečení osobních údajů ve smyslu ust. článku 33 a 34 GDPR.
- PŮSOBNOST
- Tato směrnice se vztahuje na každého Pracovníka Společnosti, když zpracovává osobní údaje nebo plní jinou činnost, která je upravena v GDPR.
- Každý Pracovník Společnosti, jehož se tato směrnice dotýká, bude proškolen na ochranu osobních údajů dle této směrnice a proškolení své osoby stvrdí podpisem.
- TERMÍNY, DEFINICE A ZKRATKY
- V této směrnici mají níže uvedené pojmy následující význam:
- Dozorový úřad – Úřad pro ochranu osobních údajů;
- GDPR – Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
- Osobní údaj – jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
- Pověřená osoba – [BUDE DOPLNĚNO] - osoba prověřená Společností k činnostem souvisejícím se zpracováním osobních údajů, zejména prevencí incidentů, zabezpečením zpracování osobních údajů, řešením stížností a žádostí, správou systémů a dalšími činnostmi;
- Pracovník – je každá osoba, zejména zaměstnanec v pracovním poměru, zaměstnanec v rámci dohody o práci konané mimo pracovní poměr (tj. dohody o provedení práce a dohody o pracovní činnosti);
- Společnost – je obchodní společnost Jana Marková, IČO: 10770020, se sídlem Podivín, Boženy Němcové 658/59, PSČ 691 45, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 370401;
- Subjekt údajů – každá fyzická osoba, včetně osob samostatně výdělečně činných;
- Zpracování osobních údajů – je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
- ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
- Pověřená osoba určuje účel/y a prostředky zpracování osobních údajů pro každou evidenci ve Společnosti. Pověřená osoba dále určí dobu, po kterou bude každý osobní údaj zpracováván, nebo kritéria, pomocí kterých půjde tato doba určit. Osobní údaje jsou zpracovávány po dobu určenou právními předpisy nebo po dobu trvání zákonné licence ke zpracovávání osobních údajů správcem - Společností. Účel jakožto i retenční doba zpracovávání osobních údajů jsou evidovány v záznamech o činnostech zpracování vedených dle ust. článku 30 GDPR.
- Pracovníci jsou povinni zpracovávat osobní údaje ve vztahu k subjektu údajů korektně a zákonným způsobem.
- Každý Pracovník smí zpracovávat osobní údaje pouze za Společností určeným účelem, a to pouze Společností určenými prostředky.
- Pracovníci jsou oprávněni zpracovávat osobní údaje pouze v souladu s pokyny Společnosti. Pracovníci smí zpracovávat pouze osobní údaje nezbytné pro plnění svých povinností vůči Společnosti. Společnost za tímto účelem zřizuje Pracovníkům přístup pouze k nezbytně nutným evidencím osobních údajů.
- Má-li Pracovník podezření, nebo dozví-li se, že jsou osobní údaje jakéhokoliv subjektu údajů nepřesné, neúplné či zastaralé, ohlásí to Pověřené osobě. Má-li Pracovník podezření, nebo dozví-li se, že jsou osobní údaje zpracovávány déle, než je nezbytné pro účely, pro které jsou zpracovávány, ohlásí to rovněž Pověřené osobě.
- Pracovníci jsou povinni ukládat fyzické materiály, které obsahují osobní údaje subjektu údajů, v uzamykatelných stolech nebo uzamykatelných skříních, které se nacházejí v uzamykatelných kancelářích Pracovníků, nebo v centrálně umístěných uzamykatelných skříních Společnosti - archivu. Nelze je vynášet ze Společnosti, předávat, zpřístupňovat či kopírovat neoprávněným osobám.
- Pracovníci jsou povinni zabezpečovat elektronické materiály, které obsahují osobní údaje subjektu údajů, zejména používat silná hesla k ochraně svěřených i svých osobních počítačů a mobilních telefonů či dalších elektronických zařízení, emailových účtů, jakožto i dalších využívaných aplikací. Pracovníci jsou povinni veškerá hesla v přiměřených lhůtách, nejméně však jedenkrát za rok, měnit. Využití a sílu hesel kontroluje v pravidelných intervalech Pověřená osoba.
- Pracovníci jsou povinni zamezit nahodilému a neoprávněnému přístupu k osobním údajům subjektu údajů a jsou vázáni mlčenlivostí o všech osobních (případně citlivých) údajích, ke kterým mají přístup v rámci plnění svých pracovních povinností. Pokud kterýkoliv Pracovník zjistí neoprávněné zpracování osobních údajů subjektu údajů (ať v písemné či elektronické podobě), je povinen bezodkladně ohlásit tuto skutečnost Pověřené osobě, která zajistí nápravu.
- Emaily přijímané a odesílané Pracovníky jsou součástí plnění jejich pracovních povinností. Pracovníci jsou povinni nakládat s informacemi obsaženými v emailové korespondenci pouze v rozsahu své pracovní náplně. Při postupování obchodních informací v rámci Společnosti a zejména mimo Společnost vždy posuzují, zda poskytované informace nejsou nad rámec jejich pracovního oprávnění a zda jsou poskytovány v nezbytně nutném rozsahu. Ve sporných případech (v případě pochybností) jsou povinni konzultovat problém s Pověřenou osobou, v důležitých momentech obchodního styku tyto konzultace provádějí vždy (přeposílají Pověřené osobě email ke schválení před jeho samotným odesláním, zejména externím uživatelům).
- Dle výše uvedených ustanovení je ochrana osobních údajů subjektu údajů ve Společnosti zabezpečena:
- u údajů ve fyzické podobě formou jejich uzamčením oprávněnou osobou (uzamykání kanceláří, skříní a stolů);
- u údajů v elektronické podobě formou přístupových hesel k jednotlivým elektronickým zařízením a k elektronicky využívaným aplikacím (silná a pravidelně měněná hesla);
- u údajů v ústní podobě formou jasně vymezených kompetencí a pracovních povinností určených v pracovní náplni Pracovníků.
- V případě, kdy Pracovníci pořizují fotografické a/nebo audiovizuální záznamy subjektu údajů – zákazníků Společnosti pro marketingové účely, jsou vždy povinni předem subjekt údajů požádat o udělení souhlasu se zpracováním osobních údajů, tedy subjekt údajů výslovně informovat o tom, že předmětem jeho souhlasu je pořízení fotografických a/nebo audiovizuálních záznamů, a jejich další použití k marketingovým účelům Společnosti, zejména ke zveřejnění těchto osobních údajů na sociálních sítích Společnosti, kterými jsou (i) Facebook, (ii) Instagram, (iii) Twitter, (iv) YouTube a (v) Foursquare. Pracovníci jsou rovněž povinni informovat subjekt údajů o tom, že jeho souhlas je svobodný, tedy jeho udělením není jakkoliv podmíněn nákup zboží a/nebo služeb Společnosti, a taktéž o tom, že subjekt údajů může svůj případně udělený souhlas kdykoliv a bez udání důvodů odvolat. V takovém případě bude zveřejňování těchto osobních údajů Pověřenou osobou bezodkladně ukončeno a osobní údaje budou zlikvidovány.
- POVĚŘENÉ OSOBY
- Pověřená osoba je osobou prověřenou Společností k činnostem souvisejícím se zpracováním osobních údajů, zejména prevencí incidentů, zabezpečením zpracování osobních údajů, řešením stížností a žádostí, správou systémů a dalšími činnostmi.
- Pracovníci Společnosti se mohou kdykoliv obrátit na Pověřenou osobu v případě řešení problémů v souvislosti s ochranou osobních údajů. Pověřená osoba tedy slouží jako kontaktní osoba zaměstnance společnosti v otázkách bezpečnosti a ochrany osobních údajů.
- ZPRÁVA O POSOUZENÍ VLIVŮ
- Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody subjektů údajů, provede Společnost před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů, a to dle ust. článku 35 a násl. GDPR. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.
- Posouzení vlivu se zpracuje vždy pro:
- systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
- rozsáhlé zpracování zvláštních kategorií údajů uvedených v ust. článku 9 odst. 1 GDPR nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v ust. článku 10 GDPR; nebo
- rozsáhlé systematické monitorování veřejně přístupných prostorů.
- Posouzení bude obsahovat alespoň:
- systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů Společnosti;
- posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
- posouzení rizik pro práva a svobody subjektů údajů; a
- plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu.
- Pokud ze zprávy o posouzení vlivů vyplývá, že by předmětné zpracování osobních údajů mělo za následek vysoké riziko pro práva a svobody subjektů údajů v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, Společnost konzultuje zprávu o posouzení vlivů s Dozorovým úřadem. Podrobnosti určí Pověřená osoba.
- Zprávy o posouzení vlivů budou v rámci Společnosti uchovávány Pověřenou osobou.
- KOMUNIKACE SE SUBJEKTY ÚDAJŮ
- Pracovník, který obdržel v jakékoliv formě (písemně, telefonicky, osobně) jakoukoliv žádost či stížnost fyzické osoby, která se týká nebo by se mohla týkat ochrany osobních údajů, zejména žádosti ve smyslu ust. článku 15 až 22 GDPR, oznámí tuto skutečnost Pověřené osobě.
- Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne Pověřená osoba v okamžiku získání osobních údajů subjektu údajů informace dle ust. článku 13 GDPR, v případě, že osobní údaje nebyly získány od subjektu údajů, poskytne Pověřená osoba tyto informace v souladu s ust. článku 14 odst. 3 GDPR. Povinnost poskytnout uvedené informace lze splnit odkazem na zásady ochrany osobních údajů Společnosti, které jsou dostupné na adrese www. [BUDE DOPLNĚNO].cz.
- Pověřená osoba vyřizuje požadavky subjektů údajů v souladu s obecnými pokyny Společnosti, vždy však tak, aby žádosti subjektu údajů bylo vyhověno bez zbytečného odkladu, a aby mu byly k vyřízení jeho žádosti poskytnuty veškeré informace a v případě, že žádosti nebylo vyhověno, aby byly sděleny důvody tohoto rozhodnutí.
- Ověřování identity subjektu údajů bude prováděno vždy přiměřeným způsobem, který zaručí dostatečnou identifikaci subjektu údajů s ohledem na formu podání, využitý komunikační prostředek a obsah žádosti subjektu údajů.
- Všechny požadavky subjektů údajů musí být vyřízeny bez zbytečného odkladu, nikdy ne později než do 1 měsíce ode dne jejich obdržení.
- V případě žádosti subjektu údajů o přístup k osobním údajům poskytne Pověřená osoba subjektu údajů nejméně informaci, zda osobní údaje, které se subjektu údajů týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, poskytne mu osobní údaje subjektu údajů a informace o:
- účelu jejich zpracování;
- kategoriích dotčených osobních údajů;
- příjemcích nebo kategoriích příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemcích ve třetích zemích nebo v mezinárodních organizacích;
- plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritériích použitých ke stanovení této doby;
- existenci práva požadovat od Společnosti opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
- právu podat stížnost u Dozorového úřadu;
- veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
- skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
- Informace podle tohoto článku poskytuje Společnost subjektu údajů ve stejné formě, v jaké o informace subjekt údajů požádal.
- V případě opakovaných nebo zcela zjevně nedůvodných žádostí subjektu údajů je subjektu údajů účtováno 100,- Kč za každou opakovanou žádost.
- Uchování požadavků a odpovědí bude realizováno Pověřenou osobou.
- OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
- Jakékoli porušení zabezpečení osobních údajů dle ust. článku 4 odst. 12 GDPR Společnost bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, ohlásí Dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
- Ohlášení Dozorovému úřadu se děje prostřednictvím aplikace datové schránky.
- Ohlášení Dozorovému úřadu podle tohoto článku musí přinejmenším obsahovat:
- popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
- jméno a kontaktní údaje Pověřené osoby, která může poskytnout bližší informace;
- popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
- popis opatření, která Společnost přijala nebo navrhla k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
- Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Společnost toto porušení bez zbytečného odkladu subjektu údajů.
- Pracovníci hlásí veškeré případy porušení zabezpečení Pověřené osobě.
- Logování incidentů zpracovává Pověřená osoba ve formě seznamu incidentů s popisem události.
- VZDĚLÁVÁNÍ
- Společnost zajistí pravidelná školení Pracovníků na zásady dodržování ochrany osobních údajů ve smyslu GDPR.
- PROVÁDĚNÍ OZNÁMENÍ PODLE TÉTO SMĚRNICE
- Ukládá-li tato směrnice povinnost osobě oznámit jakoukoliv informaci druhé osobě, provede první osoba oznámení v písemné podobě. Za tuto písemnou podobu se považuje listinný dopis nebo email.
- KONTROLA DODRŽOVÁNÍ SMĚRNICE
- Dohled nad dodržováním této směrnice a závazných právních předpisů vykonává statutární orgán Společnosti.
- V případě jakýchkoli pochybností o výkladu této směrnice či rozsahu a obsahu zákonných povinností poskytuje statutární orgán Společnosti závazný výklad, kterým jsou povinni se řídit.
- Statutární orgán Společnosti odpovídá za aktualizaci této směrnice.
V Podivíně dne 1. 5. 2021
________________________________
za Společnost
Jana Marková, jednatel