loader logo loader anim

SMĚRNICE PRO OCHRANU A ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

 

Správce: BEKRSERVIS Jaroslav Bednář, IČ: 60125012 Sídlo: 569 82  Borová 349

Zpracoval:  Jaroslav Bednář

Schválil:  Jaroslav Bednář

Účinnost od:25.5.2018

Za aktualizaci odpovídá: Jaroslav Bednář

 

 

I. Co směrnice řeší?

  1. Směrnice je scelujícím dokumentem pro zpracování a ochranu osobních údajů, upravuje tok osobních údajů u Správce, počínaje získáním osobních údajů, přes třídění, archivaci, použití pro plnění smluvních i zákonných povinností až po likvidaci, výmaz. Směrnice navazuje na novou právní úpravu ochrany osobních údajů účinnou od 25.5.2018 – Nařízení EU č. 2016/679, obecného nařízení o ochraně osobních údajů (dále jen „GDPR“).
  2. Směrnice je návodem pro všechny zaměstnance a pracovníky Správce se záměrem usnadnit orientaci v GDPR i praktickou aplikaci v rámci činností Správce. Směrnice obsahuje i nezbytnou teorii tak, aby při práci s ní nebylo nutné jinde vyhledávat základní pojmy a pravidla GDPR. Směrnice obsahuje i odkaz na všechny ostatní dokumenty užívané u Správce a zajišťuje jednotný přístup k ochraně osobních údajů u Správce a potřebné standardy a přispívá k prokázání souladu s GDPR.

 

 

II. Pro koho je směrnice závazná?

  1. Tato směrnice je závazná pro Správce a jeho zaměstnance.
  2. Za zaměstnance se pro tyto účely považují jakosoby, které pracují pro Správce (jako zaměstnavatele) na základě pracovní smlouvy, tak i na základě dohody o pracovní činnosti nebo dohody o provedení práce.
  3. S touto směrnicí a každou její aktualizací v tištěné nebo elektronické formě musí být prokazatelně seznámeni všichni zaměstnanci, nejpozději v den její účinnosti a noví zaměstnanci před nástupem do práce. Seznámení se směrnicí, popř. i s dalšími interními dokumenty Správce potvrdí svým podpisem na samostatné listině nebo např. podpisem pracovní smlouvy nebo dodatku k pracovní smlouvě, kde je seznámení zmíněno.

 

 

III. Důležité pojmy

  • Správce – obecně je to fyzická nebo právnická osoba, která určuje, jak (jakými prostředky, např. s využitím aplikace na automatizované třídění kontaktů a rozesílání e-mailů) a k jakému účelu (např. k zasílání obchodní nabídky, k uzavření smlouvy) budou osobní údaje jiných fyzických osob zpracovávány.
  • Zpracovatel – je to fyzická nebo právnická osoba zpracovávající osobní údaje jiných fyzických osob, která ale na rozdíl od Správce nezpracovává údaje podle svého vlastního rozhodnutí, ale podle pokynů Správce. Příkladem Zpracovatele je externí účetní společnost. V praxi jí osobní údaje (převážně v podobě faktur s osobními údaji anebo v podobě uzavřených smluv) Správce předá s pokynem, aby tyto osobní údaje použila ke zpracování účetnictví. Účetní společnost tedy osobní údaje z faktur předaných Správcem zpracuje pro Správce. Zpracovatelem není zaměstnanec Správce, je to vždy jen třetí „externí“ osoba.

Jedna osoba (fyzická nebo právnická) může být vůči někomu v postavení Správce, vůči jinému v postavení Zpracovatele. Zmíněná účetní je Zpracovatelem ve vztahu k údajům, které jí její klient (Správce) předá k zaúčtování. Ovšem stejná účetní je Správce, pokud zpracovává přímo osobní údaje tohoto klienta. K tomu dojde např. v situaci, že e-mailový kontakt svého klienta použije k zaslání e-mailové zprávy, ve které mu pošle návrh dodatku smlouvy o vedení účetnictví. Dalšími typickými Zpracovateli jsou přepravci, kteří doručují pro Správce zboží jeho zákazníkům (jim Správce předává osobní údaje – jméno, příjmení, adresu, popř. i další kontaktní údaje zákazníků). Zpracovatelem osobních údajů může být i externí dodavatel zajišťující administrativu, advokátní kanceláře, personální agentury, bezpečnostní agentury, provozovatelé různých aplikací nebo cloudových úložišť atd. Vždy jen za podmínky, že zpracovávají osobní údaje, nikoli „jen“ údaje. Pokud bude účetní zpracovávat jen zjednodušené doklady, na kterých není jméno, příjmení ani jiný identifikátor konkrétního člověka, nepůjde o zpracování osobních údajů a nebude Zpracovatelem ve smyslu GDPR.

  • Subjekt osobních údajů (dále též jen „Subjekt“) – je to fyzická osoba (nikdy ne právnická), která je identifikovaná nebo identifikovatelná a o jejíž osobní údaje jde. Subjektem jsou naši zákazníci, pokud jsou to „občané“ nebo podnikatelé – fyzické osoby (OSVČ), Subjektem je každý zaměstnanec, dodavatel – fyzická osoba, zájemce o naši činnost, který nám dá k dispozici své osobní údaje např. vyplněním údajů do kontaktního formuláře na webu nebo třeba v průběhu telefonické objednávky.
  • Zpracování osobních údajů– je to jakákoli operace provedená s osobními údaji. Je jedno, jestli jde o automatizovanou nebo „manuální“ operaci, tj. je to jak situace, kdy je jméno, příjmení a e-mail zákazníka zapsán do diáře kvůli dalšímu kontaktování anebo třeba situace, kdy přímo softwarová aplikace údaje z webového formuláře zařadí do elektronické databáze. Zpracování je i samotné uložení nebo ponechání údajů v počítači. Dalšími příklady zpracování jsou strukturování, vyhledání, nahlédnutí, použití, seřazení, zkombinování, výmaz, zničení.
  • Běžné osobní údaje – jsou to veškeré informace o Subjektu údajů, které nespadají do zvláštních kategorií osobních údajů. Běžným osobním údajem je např. jméno a příjmení, identifikační číslo, IP adresa, e-mail (pokud to není anonymní e-mail typu zlatíčko12@seznam.cz), adresa bydliště, vzdělání, zájmy, majetkové poměry, zaměstnání.
  • Zvláštní kategorie osobních údajů – jde o citlivější údaje a jsou přímo vymezeny v GDPR jako osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, dále genetické nebo biometrické údaje, pokud mají být zpracovávány za účelem jedinečné identifikace fyzické osoby a dále jsou to i údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
  • Údaje o zdravotním stavu – jsou to veškeré osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně takových údajů o poskytnutí zdravotních služeb, které vypovídají o zdravotním stavu daného člověka (sem tedy může spadat i údaj o předepsaných/užívaných léčivých přípravcích).
  • Profilování – je to automatizované zpracování osobních údajů, které se použije k vytvoření profilů fyzických osob, odhadu jejich budoucího chování, preferencí (a následně např. k cílení reklamy). K tomu se využívají např. údaje o ekonomické situaci, zdravotním stavu, dosavadních nákupech, míst, kde se Subjekt často nachází, údaje o zájmech, spolehlivosti. Profilování ve firmě Bekrservis neprobíhá.

 

 

IV. Zásady zpracování osobních údajů

  • Zákonnost:

Osobní údaje lze zpracovávat pouze na základě některého ze zákonných důvodů.

Pro běžné osobní údaje je všech 6 zákonných důvodů uvedeno v čl. 6, odst. 1 GDPR, pro zvláštní kategorie osobních údajů jsou zákonné důvody v čl. 9 GDPR.

Přehled zákonných důvodů užívaných pro jednotlivé činnosti při zpracování konkrétních osobních údajů je uveden v záznamech o zpracování, které tvoří přílohuč. 1 této směrnice. Pokud je zákonným důvodem souhlas Subjektu údajů, je nutné ověřit, zda máme platný souhlas Subjektu (viz čl. V. této směrnice).

  • Transparentnost:

Zpracování osobních údajů probíhá až poté, kdy byla Subjektu dána k dispozici srozumitelná a přehledná informace o tom, jak bude při zpracování osobních údajů postupováno a jaká jsou jeho práva a jak je může uplatnit.

Při osobním kontaktu, v e-mailové komunikaci a u webových formulářů obdrží Subjekt tzv. 1. vrstvu informací (informaci, kdo je Správcem, jaké údaje a k jakému účelu budou zpracovávány a pokud je nutný souhlas ke zpracování, tak i informaci, že souhlas lze kdykoli odvolat) a ohledně podrobností je mu předán odkaz na celý text Informace pro Subjekty údajů, který v aktuálním znění tvoří přílohu č. 2této směrnice. Pro zaměstnance je k dispozici samostatná Informace týkající se ochrany jejich osobních údajů ze strany Správce. Text tvoří přílohu č. 3této směrnice.

  • Minimalizace a účelové omezení:

Zpracovávají se jen takové osobní údaje, které jsou k danému účelu nutně potřebné.

  • Přesnost a aktuálnost:

V případě, že dojde ke zjištění, že zpracovávané údaje jsou nepřesné, nesprávné anebo došlo k jejich změně, bezodkladně po takovém zjištění a je-li to potřebné, tak až po dalším ověření, se takové údaje opraví nebo vymažou. Opravu (aktualizaci) nebo výmaz provádí vždy jen osoba k tomu Správcem oprávněná, v opačném případě předá své zjištění osobě oprávněné.Přehled oprávnění jednotlivých pracovníků Správce tvoří přílohu č. 4této směrnice. Kontrola aktuálnosti a přesnosti zpracovávaných údajů je prováděna průběžně, cílená kontrola – ověřování u Subjektů údajů minimálně 1x za 3 roky. Dojde-li ke změně údajů, oprava/aktualizace se provede ve všech databázích/zdrojích, kterých se změna týká. Je-li to potřebné, ponechá se jak původní, tak opravená verze. Není-li (např. z důvodu potvrzení, že v danou dobu bylo doručováno na správnou adresu klienta, kterou až následně změnil nebo pro prokázání, že v danou dobu bylo při poskytování služby, konzultace postupováno podle údajů v tu dobu platných) nutné uchovávat i původní údaje, oprávněný pracovník provede jejich výmaz a provede kontrolu, že nadále je pracováno pouze s aktuálními údaji (včetně toho, že i zálohovány jsou již jen aktuální údaje).

Je-li to pro konkrétní zpracování (zejména uzavření smlouvy nebo vlastní plnění dle smlouvy) potřebné, ověří správnost osobních údajů pracovník Správce ve veřejných databázích (např. IČ, DIČ, adresa, bankovní účet plátce DPH, potřebné registrace) a pokud toto není možné anebo je zjištěn nesoulad mezi údaji sdělenými Subjektem a zjištěnými pracovníkem Správce, požádá Subjekt o doložení správnosti údajů. O doložení správnosti údajů požádá vždy, pokud tak ukládá příslušný zákon (a případně opatří kopii dokladu totožnosti, je-li k tomu zákonem nebo na základě souhlasu Subjektu oprávněn). Pokud je ověření správnosti údajů nebo formální doložení totožnosti Subjektu nezbytné pro dané zpracování nebo stanovené právním předpisem, nesmí pracovník Správce k dalšímu zpracování přistoupit, nejsou-li k tomu splněné podmínky. Subjektu k tomu poskytne přiměřené, srozumitelné poučení.

 

 

V. Souhlas Subjektu údajů

  1. U běžných osobních údajů se souhlas se zpracováním údajů od Subjektu vyžaduje jen v případech, kdy není možné zpracování na základě jiného důvodu.
  • Příklad: Pokud jde o údaje, které potřebujeme k dodání plnění ze smlouvy (jméno, příjmení, dodací adresa, e-mail nebo telefon pro kontaktování ze strany přepravce, jde-li o dodání zboží), k jejich zpracování není nutný souhlas, protože zákonným důvodem pro zpracování je „nutnost zpracování pro splnění smlouvy“.
  1. U zvláštních kategorií osobních údajů naopak zpravidla právním důvodem je právě souhlas Subjektu.Souhlas není potřeba, pokud jde např. o plnění povinností Správce v oblasti pracovního práva, v oblasti preventivního nebo pracovního lékařství, včetně posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče.

 

  1. Zda je nebo není souhlas právním důvodem u konkrétního zpracování je řešeno v jednotlivých záznamech o činnostech zpracování (viz příloha č. 1). Souhlas musí být:
  • Informovaný = vždy ověřit, že Subjekt dostal před udělením souhlasu informace o tom, jaké údaje, komu a k jakému účelu svěřuje ke zpracování, že souhlas může odvolat + odkaz na celé znění Informace o ochraně osobních údajů.Proces udělování souhlasu v e-mailové komunikaci je popsánv příloze č. 5
  • Nepodmíněný = nelze např. uzavření smlouvy/poskytnutí služby/dodání zboží podmínit udělením souhlasu se zpracováním osobních údajů, které k uzavření a plnění smlouvy není nutné a souhlas je potřeba požadovat odděleně (např. zaškrtnutím samostatné položky na webovém nebo tištěném formuláři, potvrzením samostatného odstavce v písemné komunikaci apod.)
  • Doložitelný = je to Správce, kdo prokazuje, že souhlas Subjekt dal.U Správce to v konkrétních případech znamená archivování „prostých“ e-mailů nebo tištěných dokumentů, ve kterých Subjekt souhlas udělil (tedy včetně uzavřených smluv, které souhlas obsahují). U souhlasu uděleného prostřednictvím vyplnění některého z webových formulářů je souhlas prokázán údajem v databázi ve spojení s texty a nastavením formulářů a souvisejícího mailingu. Souhlas udělený v rámci monitorovaného telefonního hovoru je prokazován záznamem hovoru.
  • Odvolatelný = Subjekt může svůj souhlas kdykoli odvolat. Ovšem v praxi i poté musí být některé osobní údaje zpracovávány, např. pro vedení účetnictví, takže zásadně není možné jen kvůli odvolání souhlasu bez prověření ostatních účelů zpracování, takové osobní údaje zlikvidovat.O tom, že může souhlas odvolat, je Subjekt vždy předem poučen. Vyžaduje-li to povaha osobních údajů nebo účel jejich zpracování, ověří pracovník Správce, zda odvolání souhlasu opravdu učinil Subjekt (např. zasláním SMS, telefonickým nebo e-mailovým dotazem, ve výjimečném případě při osobní schůzce).

Příklad: Klient udělil souhlas s použitím svého jména a příjmení v referenci na činnost Správce a po půl roce svůj souhlas odvolá. V tom případě se vymaže reference z webových stránek, ovšem jméno a příjmení klienta nadále bude zpracováváno v účetní evidenci, stejně tak kvůli tomu nebude skartovaná smlouva uzavřená předtím s klientem, pokud ještě neuplynula lhůta stanovená pro toto zpracování.

Vždy je ověřována totožnost Subjektu udělujícího souhlas, v míře reálně odpovídající způsobu komunikace a údajů a účelů, ke kterým se souhlas uděluje.

 

 

VI. Analýza rizik

  1. Správce ještě před účinností GDPR provedl vstupní analýzu zpracovávaných osobních údajů, způsobů jejich získávání, činností při zpracování a přijal odpovídající opatření pro zajištění souladu zpracování osobních údajů GDPR, které jsou obsažená zejména v této směrnici a jejích přílohách. Správce analyzoval možná rizika tohoto zpracování pro práva Subjektů a neshledal, že by šlo o taková rizika, aby bylo nutné zpracovávat DPIA (tj. posouzení vlivu na ochranu osobních údajů) a neshledal ani naplnění podmínek pro povinné ustanovení pověřence pro ochranu osobních údajů.
  2. V případě, že Správce přikročí k novým způsobům zpracování osobních údajů, novým činnostem nebo s využitím inovativních technologií, vždy před zahájením takového zpracování posoudí případná rizika.

 

 

VII. Přístup k osobním údajům a jejich zabezpečení

  1. Přístup k údajům uloženým v elektronické formě v počítačích mají oprávnění pracovníci Správce. Přístup do počítačů i jednotlivých aplikací, úložišť dat je chráněný přístupovými hesly. Totéž platí i ohledně údajů na webových stránkách Správce. Přístupová hesla mají vždy aspoň 8 znaků (pokud to daná aplikace umožňuje). Je zakázané používat hesla skládající se jen ze stejných číslic, písmen nebo znaků nebo jednoduché posloupnosti typu „12345678“. Jako heslo není možné použít pouze křestní jméno nebo příjmení daného pracovníka. Každý pracovník je povinen zajistit, aby se přístupové údaje nemohly jednoduše dostat k neoprávněné osobě, neponechává napsané přístupové údaje v blízkosti daného počítače apod. Pokud předá přístupové údaje jiné osobě, odpovídá za případnou újmu způsobenou zneužitím přístupových údajů stejně, jako kdyby přístup zneužil sám. V případě, že musí pracovník opustit pracoviště nebo jiné místo, kde se nachází počítač, do kterého má přístup, ujistí se před odchodem, že je počítač vypnutý anebo nastavený spořič obrazovky apod. tak, aby bez zadání přístupových údajů neměla jiná osoba do počítače k osobním údajům přístup. Pravidla uvedená v tomto odstavci platí i pro mobilní telefony a další zařízení, ve kterých jsou osobní údaje Subjektů, které Správce zpracovává. Tatáž pravidla platí i pro případ, kdy jsou daná PC a další zařízení pracovníkovi k dispozici i pro soukromé použití anebo když naopak přistupuje k těmto osobním údajům ze svého vlastního soukromého zařízení.
  2. Při sdílení osobních údajů s dalšími pracovníky Správce, Subjekty a dalšími osobami příslušný pracovník vždy ověří, zda je oprávněn dané osobní údaje sdílet a zda je zabráněno neoprávněnému přístupu třetích osob k takovým údajům.
  3. Umožňuje-li to daná aplikace, je evidován přístup jednotlivých osob (přihlášení) a případně i zpracování jimi provedené.
  4. Správce využívá při své činnosti jen prověřené a soulad s GDPR garantující aplikace a IT. Zajišťuje jejich nutnou aktualizaci. Údaje jsou zpracovávány počítačích a ukládány na nosičích dat /Server housing, kde jsou pravidelně zálohovány.Pracovníci správce jsou povinni zajistit, že nepřipojí k pracovním PC taková externí zařízení, která by mohla narušit ochranu osobních údajů (hrozba virů, kopírování údajů pro neoprávněné osoby apod.). Pracovníci Správce nejsou oprávněni pořizovat kopie či výpisy, opisy osobních údajů zpracovávaných Správcem ani pořizovat kopie, výpisy či opisy osobních údajů nebo je jakýmkoli jiným způsobem zpřístupnit třetím osobám, pokud nejde o případy uvedené v čl. VIII. Této směrnice.
  5. Osobní údaje obsažené v listinných dokumentech jsou vždy minimálně v uzamykatelné místnosti. Osobní údaje, ke kterým mají přístup jen někteří pracovníci Správce (např. osobní spisy zaměstnanců, účetní doklady, smlouvy, spisy klientů), jsou v uzamykatelných skříních, klíč má k dispozici příslušný pracovník a o každém přístupu jiné osoby je učiněn záznam s poznamenáním důvodů (oprávnění k nahlédnutí).
  6. Správce a jeho pracovníci zajišťují odpovídající ochranu i osobním údajům obsaženým ve všech evidencích, včetně diářů, prezenčních listin apod.
  7. K dalším technických a organizačním bezpečnostním opatřením používaným u Správce patří kamerový systém, přístup do objektu Správce pouze s použitím čipové karty, zápis v evidenci přístupů do objektu.

 

 

VIII. Předávání údajů třetím osobám

  1. Třetím osobám jsou osobní údaje Subjektů předávány pouze v případě, že jde o předání
  • Zpracovateli, se kterým má Správce písemnou smlouvu o zpracování osobních údajů (v tištěné nebo elektronické podobě) nebo v případech, kdy Zpracovatel smlouvy o zpracování neuzavírá a pouze deklaruje naplnění podmínek GDPR v rámci veřejně přístupného dokumentu (např. Česká pošta, s.p.) nebo
  • správnímu orgánu či jinému orgánu / osobě v případech, kdy tak stanoví právní předpis závazný pro Správce. Půjde především o zpřístupnění v rámci probíhajících kontrolních šetření dle zákona. Před předáním osobních údajů je vždy nutno ověřit, že opravdu dle právního předpisu má příslušný orgán a pracovník za něj údaje přebírající oprávnění pro přístup k osobním údajům. Pracovník Správce, který není kompetentní ke zpřístupnění osobních údajů, obratem informuje kompetentního pracovníka o tom, že byl vznesen požadavek o zpřístupnění / předání osobních údajů nebo informací o nich.
  1. Při předávání osobních údajů v elektronické formě je preferováno zaheslované sdílení nebo předání na externím médiu před zasíláním v podobě příloh e-mailových zpráv. Je-li užíván e-mail, minimálně dokumenty obsahující zvláštní kategorie osobních údajů musí být chráněné heslem nebo šifrováním.
  2. Při jakémkoli předávání osobních údajů (v elektronické nebo tištěné / psané listinné podobě) pracovník Správce ověří, že jde o oprávněného příjemce a předává jen nezbytně nutné osobní údaje a učiní o tom záznam nebo jiným vhodným způsobem (např. potvrzením průvodní e-mailové zprávy) zajistí důkaz o předání osobních údajů, je-li to možné. V případech, které nesnesou odkladu, tak učiní ihned, jak odpadnou překážky bránící okamžitému zajištění důkazu o řádném předání.
  3. Osobní údaje nejsou předávány mimo země EU.
  4. Správce, resp. oprávněný pracovník vede Seznam Zpracovatelů, který je průběžně aktualizován. Seznam tvoří přílohu č. 6.

 

 

 IX. Realizace práv Subjektů

  1. Subjektům jsou poskytovány informace o jejich právech v souladu s čl. 13 a 14 GDPR a o zpracování osobních údajů u Správce. Informace je poskytnuta zveřejněním jejího textu na webových stránkách www.bekrservis.cz , dále je odkaz na informaci v patičce každé e-mailové zprávy, v objednávkovém formuláři a dalších webových formulářích, kam Subjekt zadává své osobní údaje.
  2. Právo na přístup k osobním údajům: Subjekt má právo požadovat, aby mu Správce sdělil, jestli zpracovává jeho osobní údaje a pokud ano, aby mu poskytl přístup k těmto údajům a informacím o jejich zpracování. K uplatnění tohoto práva může Subjekt využít formulář, který tvoří přílohu č.7a je k dispozici na webových stránkách Správce. Žádost je nutné vyřídit bez zbytečného odkladu, nejpozději do 30 dnů od přijetí požadavku Subjektu, pokud tomu nebrání vážné provozní důvody. V případě, že není možné 30denní lhůtu stihnout, je potřeba Subjekt o tom informovat a uvést i důvody. Vyřizující pracovník Správce vždy zváží, zda je dostatečně zřejmé, že žádost podal přímo Subjekt a pokud ne, ověří tuto skutečnost, např. doplňujícím dotazem jiným komunikačním prostředkem, než pomocí kterého byla žádost podaná (např. e-mailovou žádost telefonicky, pokud je na Subjekt k dispozici e-mail i telefon). Vždy je „totožnost“ žadatele ověřena, pokud jde o zvláštní kategorie osobních údajů nebo pokud komunikuje z jiných kontaktů, než které jsou o něm v databázi Správce. Pokud poskytnutím údajů bylo nepříznivě dotčeno právo třetích osob nebo by poskytnutím byla ohrožena povinnost mlčenlivosti, údaje se Subjektu s odůvodněním neposkytnou. Pokud jsou u Správce osobní údaje Subjektu zpracovávané, poskytnou se tyto informace (pokud žádá Subjekt jen o část informací, postačí poskytnutí pouze vyžádaných informací):
  • Účely zpracování
  • Kategorie dotčených osobních údajů
  • Příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny
  • Plánovaná doba, po kterou budou osobní údaje uloženy, popř. kritéria pro stanovení této doby
  • Existence práva požadovat od Správce opravu nebo výmaz osobních údajů, omezení jejich zpracování nebo vznést námitku proti tomuto zpracovávání
  • Právo podat stížnost u ÚOOÚ
  • Veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získané přímo od Subjektu
  • Pokud o to Subjekt požádá, poskytne se kopie zpracovávaných osobních údajů. Při opakovaném poskytování kopií zpracovávaných údajů již lze od Subjektu požadovat přiměřený poplatek za administrativní náklady.
  • Pokud Subjekt o informace žádá elektronicky, poskytnou se mu v elektronické formě, běžně používané, pokud výslovně nežádá např. o listinnou formu.

 

  1. Právo na opravu: Jde o právoSubjektuna to, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají, anebo doplnilneúplné osobní údaje, pokud je to potřeba s ohledem na účel zpracování. Toto právo je u Správce zajišťováno i průběžnou kontrolou zpracovávaných osobních údajů (viz úvodní část této směrnice). Pokud jsou dle příslušného pracovníka Správce zpracovávané osobní údaje přesné, informuje o tom žadatele s odůvodněním.
  2. Právo na výmaz: Rozumí se tím povinnost Správce zlikvidovat osobní údaje, které o Subjektu zpracovává, pokud je splněna alespoň jedna podmínka:
  • Osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • Subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování (tj. není potřeba nadále údaje zpracovávat např. pro vedení účetnictví),
  • Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • Osobní údaje byly zpracovávány protiprávně,
  • Osobní údaje musí být vymazány ke splnění právní povinnosti,
  • Osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 GDPR.

 

Výše uvedené podmínky se ovšem neuplatní, pokud je zpracování nezbytné:

  • Pro určení, výkon nebo obhajobu právních nároků(tj. např. již i probíhá soudní řízení a údaje jsou nutné pro prokázání nároku);
  • Pro výkon práva na svobodu projevu a informace;
  • Pro splnění právní povinnosti;
  • Z důvodu veřejného zájmu v oblasti veřejného zdraví podle GDPR;
  • Pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely podle GDPR, pokud je pravděpodobnéže by právo na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování

Vždy tedy oprávněný pracovník Správce pečlivě uváží, zda tu není některý z důvodů, proč nemůže být právu na výmaz vyhověno.

  1. Právo na přenositelnost: Toto právo má Subjekt pouze v případě, že jde o údaje, které jsou zpracovávány na základě souhlasu anebo jde o zpracování pro účely plnění smlouvy a současně (k souhlasu nebo smlouvě) jde o údaje zpracovávané automatizovaně. Pokud jsou obě podmínky splněny a Subjekt požádá o přenesení údajů k jinému Správci, je potřeba mu vyhovět. Pokud to je technicky možné a Subjekt o to požádá, předá příslušný pracovník údaje ve strojově čitelné podobě rovnou novému Správci. (týká se např. spisů/záznamů vedených v elektronické podobě)
  2. Právo vznést námitku: Pokud proti automatizovanému zpracování prováděnému na základě oprávněného zájmu vznese Subjekt námitku, příslušný pracovník Správce posoudí, zda je námitka oprávněná, resp. zda přesto nepřevládá oprávněný zájem Správce a současně není dalším zpracováváním (používáním osobních údajů) poškozován Subjekt. Pokud převládne oprávněný zájem Správce, lze údaje nadále zpracovávat. Pokud je předmětem námitky zpracování pro přímý marketing, po vznesení námitky vždy musí být ukončeno zpracování osobních údajů Subjektu pro účely přímého marketingu.
  3. Vzor odpovědi na uplatnění práv Subjektu tvoří přílohu č. 8.

 

 

X. Hlášení porušení zabezpečení osobních údajů

  1. Pokud dojde ke zjištění porušení zabezpečení osobních údajů, zapíše se toto zjištění do interního evidence, která tvoří přílohuč. 9.
  2. Oprávněný pracovník Správce neprodleně provede zhodnocení takového porušení. Pokud dojde k závěru, že je nepravděpodobné, že by toto porušení mohlo způsobit riziko pro práva a svobody Subjektů, pouze toto poznamená do evidence dle předchozího odstavce. Jako příklad lze uvést situaci, kdy se ztratí mobil, ve kterém jsou kontakty na Subjekty, ale mobil je zajištěn heslem, a navíc lze deaktivovat vloženou SIM. Současně zajistí provedení potřebných opatření za účelem eliminace nebo aspoň snížení rizika pro Subjekty (např. zmíněnou blokaci SIM ve ztraceném mobilu).
  3. V případě, že mohou být ohrožena práva nebo svobody Subjektů, je Správce, resp. oprávněný pracovník povinen do 72 hodin od zjištění ohlásit incident na ÚOOÚ. Hlášení provede s využitím vzoru, který tvoří přílohu č. 10.
  4. Pokud jde o porušení zabezpečení osobních údajů takového charakteru, že je pravděpodobné, že porušení bude mít za následek vysoké riziko pro práva a svobody Subjektů, zajistí oprávněný pracovník i informování Subjektů údajů, a to bez zbytečného odkladu. Jako příklad lze uvést zneužití databáze obsahující zvláštní kategorie osobních údajů (např. údaje o prodělání závažných onemocnění). V oznámení se co nejsrozumitelnějším způsobem uvedou aspoň tyto údaje:
  • Kontaktní údaje pracovníka nebo pracoviště, které může poskytnout bližší informace.
  • Popis pravděpodobných důsledků porušení.
  • Popis přijatých nebo navržených opatření, která slouží k vyřešení dané situace anebo aspoň ke zmírnění možných nepříznivých dopadů.

 

 

 XI. Proškolení zaměstnanců

  1. Zaměstnanci jsou školeni při nástupu do zaměstnání a poté pravidelně 1x za 18 měsíců, pokud v mezidobí nedojde k významnější změně v ochraně osobních údajů, tj. změně platných právních předpisů, případně této směrnice nebo jiných interních předpisů Správce.
  2. Všichni zaměstnanci jsou při nástupu do zaměstnání poučeni i o povinnosti mlčenlivosti, pokud jde o osobní údaje zpracovávané Správcem. Povinnost mlčenlivosti je stanovena přímo i v pracovní smlouvě nebo DPP, DPČ.
  3. O proškolení, stejně jako o seznámení s touto směrnicí a dalšími dokumenty v oblasti ochrany osobních údajů u Správce, je vždy proveden záznam, který dotčení zaměstnanci podepíší. Vzor tvoří přílohu č. 11.

 

 

XII. Kontrola

  1. Správce i jeho pracovníci pravidelně, minimálně 1x ročně provedou kontrolu nastavení celého procesu zpracování osobních údajů a v případě zjištěných nedostatků přijme Správce potřebná opatření k nápravě. Zejména jsou pravidelně testovány IT systémy.Pokud jsou uzavřeny smlouvy se Zpracovateli, týká se revize a kontrola i plnění povinností Zpracovatelů ve vztahu ke Správci.
  2. O provedených kontrolách a přijatých opatřeních pořídí příslušný pracovník Správce záznam.

 

SEZNAM PŘÍLOH:

  1. Záznamy o činnostech zpracování
  2. Informace pro Subjekty údajů + formulář
  3. Informace pro Subjekty údajů – zaměstnance
  4. Seznam oprávnění zaměstnanců Správce v oblasti ochrany osobních údajů
  5. Popis postupu při získávání souhlasu v elektronické komunikaci
  6. Seznam Zpracovatelů
  7. Formulář pro uplatnění práv Subjektu údajů
  8. Vzor odpovědi na žádost Subjektu, kterou uplatňuje svá práva
  9. Evidence porušení zabezpečení osobních údajů
  10. Hlášení porušení zabezpečení osobních údajů na ÚOOÚ
  11. Vzor záznamu o školení