GDPR

OCHRANA OSOBNÍCH ÚDAJŮ

Podnikatel Jan Vavřín, se sídlem Studenec 184, 675 02 Koněšín identifikační číslo: 75256746

(dále jako „Společnost“)

PREAMBULE

 

Tato směrnice navazuje na předchozí politiku Společnosti v oblasti ochrany osobních údajů a od data účinnosti nahrazuje veškeré předchozí interní předpisy Společnosti v této oblasti.

Směrnice upravuje postup Společnosti, statutárních orgánů a zaměstnanců při nakládání s osobními údaji, ochranu osobních údajů před jejich zneužitím a postup k zajištění práv subjektů osobních údajů.

Směrnice je zpracována v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jako „GDPR“).

Směrnice dále upravuje způsob provádění osvěty mezi zaměstnanci a statutárními orgány Společnosti.

Cílem směrnice je zajistit fungování Společnosti v souladu se zákonem i GDPR tak, aby osobní údaje byly zpracovávány legálně, aby byly chráněny před zneužitím a aby byla zajištěna ochrana výkonu práv subjektů osobních údajů.

Směrnice také upravuje postup Společnosti v případě úniku či zneužití osobních údajů.

Osobou odpovědnou za splnění cíle směrnice i za faktický soulad směrnice s platnou legislativou je statutární orgán Společnosti.

Každý adresát této směrnice je povinen zpracovávat osobní údaje v souladu se zákonem č. 101/2000 Sb., GDPR a touto směrnicí.

OBECNÁ ČÁST

POJMY

Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů, na základě, kterého a/nebo kterých může být jednotlivec přímo nebo nepřímo identifikován. Typicky se jedná o kombinaci (či pouze jeden z údajů) těchto údajů: jméno, příjmení, datum a místo narození, rodinný stav, rodné číslo, státní příslušnost, adresa trvalého bydliště, telefonní spojení domů, do zaměstnání, emailová adresa, identifikátor datové schránky, zaměstnavatel, osobní číslo, číslo bankovního účtu apod.

Subjektem osobních údajů je fyzická osoba, k níž se osobní údaje vztahují.

Citlivým údajem se rozumí osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu, sexuálním životě, genetický údaj a některé biometrické údaje.

Anonymním údajem se rozumí takový údaj, který nelze vztáhnout k určenému nebo určitelném subjektu údajů, a to ať je v původním stavu či po provedeném zpracování.

Zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které jsou s osobními údaji prováděny systematicky.

Správcem osobních údajů se rozumí fyzická nebo právnická osoba, která určuje účel a prostředky zpracování osobních údajů a za zpracování osobních údajů odpovídá.

Zpracovatelem osobních údajů se rozumí fyzická nebo právnická osoba, která pro správce zpracování osobních údajů provádí.

Příjemcem osobních údajů se rozumí subjekt, kterému jsou data zpracovatelem na základě pokynu správce zpřístupněna.

Kategorií subjektů osobních údajů se rozumí skupina subjektů osobních údajů, kterou je možno dle jejího charakteristického zařazení vymezit v celku subjektů osobních údajů. Typicky půjde o kategorie např. zaměstnanci, obchodní partneři, návštěvy apod.

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Osobní údaje musí být zpracovávány korektně a zákonným způsobem.

Dbát, aby subjekt osobních údajů neutrpěl újmu na svých právech.

Stanovit účel, prostředky a způsob zpracování osobních údajů.

Shromažďovat osobní údaje otevřeně.

Zpracovávat pouze přesné a správné osobní údaje.

Zpracovávat osobní údaje v souladu se stanoveným účelem.

Nesdružovat osobní údaje získané k rozdílným účelům.

Uchovávat osobní údaje po dobu nezbytně nutnou k dosažení účelu zpracování.

Odstranit osobní údaje v případě, že účel zpracování byl naplněn nebo na oprávněné žádosti subjektu osobních údajů.

Shromažďovat a zpracovávat osobní údaje pouze na základě a v rozsahu informovaného souhlasu subjektu osobních údajů a/nebo plnění zákonné povinnosti a/nebo oprávněného zájmu.

Dodržovat informační povinnost při shromažďování a/nebo zpracování osobních údajů.

SOUHLAS KE ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Souhlas subjektů údajů je svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektů údajů se zpracováním osobních údajů.

Pokud jsou osobní údaje zpracovávány na základě souhlasu subjektu osobních údajů, platí následující:

  • souhlas musí být předchozí
  • souhlas musí být písemný
  • souhlas musí být informovaný a konkrétní
  • souhlas musí být odvolatelný

 Předchozí souhlas

Souhlas musí být udělen nejpozději při prvním zpracováním (nejčastěji shromážděním) osobních údajů.

Písemný souhlas

Za účelem unesení případného důkazního břemena Společností jsou všichni adresáti této směrnice povinni přijímat udělení souhlasu pouze v písemné formě podepsané subjektem osobních údajů. Podpisem se rozumí originál vlastnoručního podpis subjektu osobních údajů a zaručený elektronický podpis při komunikaci elektronickou formou. V případě elektronické komunikace datovou schránkou se elektronický podpis nevyžaduje.

Informovaný a konkrétní souhlas

Informovaný souhlas je takový souhlas, při kterém je subjekt osobních údajů informován o rozsahu, účelu, zpracovateli, způsobu zpracování, příjemci, svých právech, poučen o povinnosti, nebo dobrovolnosti, poskytnutí osobních údajů. Konkrétní souhlas je takový souhlas, který jednoznačně s informovanými sděleními souhlasí.

Odvolatelný souhlas

Odvolatelný souhlas je takový souhlas, který může subjekt osobních údajů odvolat a je o tomto právu informován.

Konkrétní postupy a procesy Společnosti, při kterých jsou souhlasy osobních údajů udělovány budou popsány v samostatných kapitolách. V případě netypického procesu jsou adresáti směrnice povinni se řídit těmito obecnými ustanoveními.

U typických postupů a procesů jsou adresáti této směrnice povinni využit formulář vyhotovený Společností. V případě netypického postupu je zpracovatel povinen zajistit souhlas se všemi podstatnými náležitostmi.

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ NA ZÁKLADĚ ZÁKONNÉ POVINNOSTI A PRÁVA

Zpracováním osobních údajů na základě zákonné povinnosti se rozumí povinnost zpracovávat osobní údaje, které Společnosti ukládá zákon platný a účinný v České republice.

Zpracování osobních údajů pro splnění právní povinnosti

Zvláštní kategorií je zpracování osobních údajů nezbytné pro splnění právní povinnosti ve vztahu k orgánům státní správy, soudům, orgánům činným v trestním řízení, orgánům vykonávající dohled, kontrolním orgánům apod. V těchto případech musí být splněna informační povinnosti pouze v případě, kdy to zákon přímo ukládá.

Zpracování osobních údajů v případě oprávněného zákonného zájmu Společnosti a/nebo jiné fyzické nebo právnické osoby

Zpracování osobních údajů v případě oprávněného zákonného zájmu Společnosti je takové zpracování osobních údajů, kdy zpracovatel zpracuje osobní údaje k jinému účelu a/nebo bez udělení souhlasu, a to k naplnění oprávněného zákonného zájmu Společnosti. Typicky se tímto zpracováním rozumí uplatnění práva na náhradu škody způsobené zaměstnancem Společnosti jako zaměstnavateli a dalších popsaných v samostatných kapitolách.

Zpracování osobních údajů v případě oprávněného zákonného zájmu jiné fyzické nebo právnické osoby je takové zpracování osobních údajů, kdy zpracovatel zpracuje osobní údaje k jinému účelu a/nebo bez udělení souhlasu, a to k naplnění oprávněného zákonného zájmu jiné fyzické nebo právnické osoby. Každé takového zpracování je zpracovatel povinen konzultovat se statutárním orgánem společnosti.

INFORMAČNÍ POVINNOST

Je povinností Společnosti jakožto správci osobních údajů ve vztahu k subjektu osobních údajů. Spočívá v:

  • povinnosti informovaného souhlasu,
  • povinnosti informovat subjekt o zpracování osobních údajů na základě zákonné povinnosti zpracovávat osobní údaje, a to při prvním takovémto zpracování, ledaže zákon stanoví jinak,
  • na základě žádosti subjektu osobních údajů poskytnout informace (více kapitola vyřízení žádosti v části práva subjektů osobních údajů) a
  • v případě, že se Společnost zpracovává osobní údaje, které nejsou získány od subjektu osobních údajů, je povinen poskytnout informaci o jejich zpracování subjektu nejpozději do 1 měsíce od jejich získání nebo v okamžiku, kdy dojde ke komunikaci se subjektem osobních údajů nebo při prvním zpřístupnění osobních údajů příjemci, a to vše ledaže je poskytnutí takové informace nemožné nebo by vyžadovalo nepřiměřené úsilí.

Informační povinnost je Společnost povinna plnit stručným, transparentním a snadno přístupným způsobem. Informační povinnost plní Společnost výhradě písemně či písemně elektronicky. Adresátům této směrnice se zakazuje plnit informační povinnost ústně.

BEZPEČNOST PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Společnost jakožto správce osobních údajů je povinna zabezpečit zpracování osobních údajů a dodržování bezpečnosti zpracovatelem.

Bezpečnost zpracování osobních údajů zaručují:

  • opatření proti neoprávněnému zpracování a/nebo zneužití osobních údajů,
  • analýza rizik, přijetí opatření
  • povinnost dokumentace technickoorganizačních opatření (systém elektronické bezpečnosti)
  • povinnost mlčenlivosti
  • povinnost zpracovávat osobní údaje jen za stanovených podmínek a ve stanoveném rozsahu.

PRÁVA SUBJEKTU OSOBNÍCH ÚDAJŮ

Práva subjektu osobních údajů jsou práva, které má subjekt vůči správci a zpracovateli spravující a zpracovávající jeho osobní údaje. Mezi tyto práva patří:

  • právo žádat správce nebo zpracovatele o vysvětlení,
  • právo žádat o kopii spravovaných či zpracovávaných osobních údajů,
  • požadovat, aby správce nebo zpracovatel odstranil závadný stav,
  • obrátit se na Úřad na ochranu osobních údajů se svým podnětem,
  • domáhat se náhrady majetkové i nemajetkové újmy od správce nebo zpracovatele,
  • právo na výmaz osobních údajů (právo být zapomenut),
  • právo na přenositelnost údajů,
  • právo na omezení zpracování,
  • právo odvolat souhlas se zpracováním osobních údajů,
  • právo vznést námitku proti zpracování a
  • práva při automatickém rozhodování a profilaci.

Právo žádat správce nebo zpracovatele o vysvětlení (právo na přístup)

Subjekt osobních údajů má právo žádat správce či zpracovatele o přístup ke svým osobním údajům a o vysvětlení otázek v souvislosti se zpracováváním jeho osobních údajů.

Subjekt osobních údajů tak má právo žádat zpracovatele či správce informaci zejména o:

  • účelu zpracování osobních údajů,
  • kategorii osobních údajů,
  • příjemci nebo kategorii příjemců,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • o svých právech,
  • o zdroji osobních údajů,
  • informaci, zda dochází k automatizovanému rozhodování včetně profilování a
  • informaci o vhodných zárukách ochrany při předávání osobních údajů do třetích zemí.

Vyřízení žádosti je zdarma. Správce nebo zpracovatel je povinen vyřídit žádost bez zbytečného odkladu, nejpozději ve lhůtě do 1 měsíce od obdržení žádosti. Tuto lhůtu lze prodloužit o další dva měsíce v odůvodněných případech, avšak pouze pokud o prodloužení správce či zpracovatel žadatele informuje.

Žádost musí být podána takovou formou, aby správce či zpracovatel měl prokázáno, že žádající osoba je totožná s osobou žadatele. V případě, že bude podána žádost, kdy bude mít správce či zpracovatel pochybnost o totožnosti žadatele, nemůže a nesmí taktové žádosti vyhovět předtím, než ověří totožnost žadatele. Správce nebo zpracovatel postupuje tak, že žádajícímu sdělí, že nemá doloženou jeho totožnost. Poučí žadatele, že s ohledem na svoji povinnost mlčenlivosti a povinnost chránit osobní údaje může informace požadované v žádosti sdělit pouze osobě žadatele, proto vyzve žadatele, aby doložil svoji totožnost

ověřeným podpisem, ověřeným elektronickým podpisem, podáním datovou schránkou nebo osobně předložením průkazu totožnosti či jiným obdobným způsobem.

V případě žádosti či žádostí zjevně se nedůvodně opakujících a/nebo žádosti či žádostí, kterými dochází k zneužívání práva žadatele, je správce oprávněn po žadateli požadovat přiměřenou úhradu nákladů na vyřízení žádosti, a to před vyřízením žádosti ve výši 500,- Kč.

V České republice je jednacím jazykem čeština. V případě, že bude žádost sepsána v jiném jazyce než českém, je správce oprávněn po žadateli požadovat krom přiměřených nákladů na vyřízení žádosti také náklady na překlad žádosti i odpovědi dle cenové nabídky překladatelské služby.

Po přepočet nákladů na vyřízení žádosti a nákladů na překlad z Kč do € se použije kurz ČNB platný ke dni vystavení cenové nabídky překladatelské služby zaokrouhlený na celé € směrem nahoru.

V případě, že je po žadateli požadována úhrada přiměřených nákladů a/nebo nákladů na překlad, bude žádost vyřízena po jejich úhradě.

Za plnění a zajištění vyřizování žádostí je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

Právo žádat o kopii spravovaných či zpracovávaných osobních údajů

Subjekt osobních údajů může po správci či zpracovateli požadovat kopii svých osobních údajů.

Společnost postupuje obdobně jako u žádosti o vysvětlení.

Za plnění a zajištění vyřizování žádostí je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

Požadovat, aby správce nebo zpracovatel odstranil závadný stav

Správce nebo zpracoval může zpracovávat pouze úplné a správné osobní údaje. V případě, že subjekt osobních údajů oznámí správci nebo zpracovateli změnu osobních údajů, je správce nebo zpracovatel povinen tuto změnu vzít na vědomí a nadále zpracovávat pouze správné osobní údaje. V případě, že se jedná o změnu osobních údajů, které správce či zpracovatel zpracovává ze zákona, je oprávněn (a v případě zákonného příkazu) i povinen po subjektu osobních údajů požadovat prokázání této změny.

Společnost postupuje obdobně jako u žádosti o vysvětlení.

Za plnění a zajištění vyřizování žádostí je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

 Právo na výmaz osobních údajů (právo být zapomenut)

Právo na výmaz osobních údajů je právo subjektu osobních údajů na základě žádosti ke Společnosti.

Společnost žádosti o výmaz vyhoví jestliže:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny,
  • bjekt údajů odvolá souhlas,
    • subjekt údajů vznese námitky a tyto jsou Společností vyhodnoceny jako oprávněné,
    • osobní údaje jsou zpracovávány protiprávně,
    • osobní údaje musí být vymazány ke splnění právní povinnosti a
    • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační povinnosti.

    Společnost žádosti o výmaz nevyhoví jestliže:

    • je povinna ze zákona osobní údaje zpracovávat po určitou dobu,
    • námitky proti zpracování osobních údajů jsou vyhodnoceny jako neoprávněné,
    • žadatel o výmaz neprokáže svou totožnost,
    • žadatel bude žádat o výmaz osobních údajů nevztahující se k jeho osobě a neprokáže zplnomocnění k tomuto úkonu a
    • zpracování osobních údajů je nezbytné pro určení, výkon nebo obhajobu právních nároků Společnosti.

    Společnost postupuje obdobně jako u žádosti o vysvětlení.

    Za plnění a zajištění vyřizování žádostí je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

     Právo na přenositelnost údajů

    Subjekt osobních údajů má právo získat osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci.

    Toto právo má subjekt osobních údajů pouze ve vztahu k osobním údajům, jejichž zpracování je založeno na souhlasu nebo smlouvě.

    Společnost postupuje obdobně jako u žádosti o vysvětlení.

    Za plnění a zajištění přenositelnosti údajů je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

     Právo na omezení zpracování

    Právo na omezení zpracování osobních údajů je právo subjektu údajů úzce navázáno na námitku proti zpracování osobních údajů či na žádost o výmaz osobních údajů.

    V případech, kdy:

    • subjekt osobních údajů popírá přesnost osobních údajů,
    • subjekt osobních údajů namítá protiprávnost zpracování osobních údajů,
    • Společnost má podezření, že zpracování osobních údajů je protiprávní a
    • subjekt osobních údajů vznesl námitku proti zpracování,

    je Společnost povinna označit osobní údaje, kterých se to týká a do vyřízení námitky a/nebo vyjasnění podezření a/nebo opravu tyto údaje nezpracovávat.

    Společnost musí před zrušením práva na omezení informovat subjekt osobních údajů o plánovaném zrušení.

    Společnost postupuje obdobně jako u žádosti o vysvětlení.

    Za plnění a zajištění omezení zpracování je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

    Právo odvolat souhlas se zpracováním osobních údajů

    Subjekt osobních údajů má kdykoliv právo odvolat svůj souhlas se zpracováním osobních údajů. Společnost je v takovém případě povinna bezodkladně ukončit zpracování osobních údajů, ke kterým byl souhlas odvolán.

    V případě ukončení zpracování osobních údajů pro odvolání souhlasu vyrozumí Společnost subjekt osobních údajů pouze v případě, že o to výslovně požádá.

    Společnost nemusí ukončit zpracování osobních údajů v případě, kdy může a/nebo musí osobní údaje zpracovávat z jiného titulu. O tomto subjekt osobních údajů bezodkladně vyrozumí.

    Společnost postupuje obdobně jako u žádosti o vysvětlení.

    Za plnění a zajištění agendy odvolání souhlasu se zpracováním osobních údajů je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

    Právo vznést námitku proti zpracování

    Právo vznést námitku proti zpracování je právo subjektu osobních údajů vznést kdykoliv námitku proti zpracování osobních údajů Společností.

    O tomto právu musí být subjekt výslovně poučen a poučení musí být uvedeno oddělené od jiných informací.

    Společnost námitce vyhoví, jestliže ji posoudí jako oprávněnou.

    Společnost námitce nevyhoví, jestliže ji vyhodnotí jako neoprávněnou, a to zejména z důvodu:

    • je povinna ze zákona osobní údaje zpracovávat,
    • nebyl odvolán souhlas se zpracováním osobních údajů a/nebo odvolání souhlasu nebylo provedeno řádně,
    • namítající neprokáže svou totožnost,
    • namítající bude namítat proti zpracování osobních údajů nevztahující se k jeho osobě a neprokáže zplnomocnění k tomuto úkonu a
    • zpracování osobních údajů je nezbytné pro určení, výkon nebo obhajobu právních nároků Společnosti.

    O vyřízení námitek Společnost namítajícího písemně informuje.

    Společnost postupuje obdobně jako u žádosti o vysvětlení.

    Za plnění a zajištění agendy odvolání souhlasu se zpracováním osobních údajů je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

    Práva při automatickém rozhodováním a profilaci

    Subjekt osobních údajů má právo nebýt předmětem automatizovaného rozhodování včetně profilování, ledaže:

    • automatické rozhodování a profilace je nezbytné pro uzavření nebo plnění smlouvy,
    • automatické rozhodování a profilace je povoleno právem EU nebo právním předpisem České republiky a
    • automatické rozhodování a profilace je založeno na výslovném souhlasu subjektu osobních údajů.

    V případě, že je subjekt osobních údajů na základě automatického rozhodování a profilace Společností zamítnut, je Společnost povinna subjektu údajů na jeho žádost sdělit důvod zamítnutí.

    Za plnění a zajištění agendy při automatickém rozhodování a profilaci se zpracováním osobních údajů je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

    OSVĚTA SPOLEČNOSTI

    Společnost provádí osvětu svých zaměstnanců. Za osvětu Společnosti je odpovědný statutární orgán společnosti ve spolupráci.

    Osvěta spočívá zejména ve školení zaměstnanců Společnosti.

    Za proškolení zaměstnance je odpovědný jeho nadřízený, kterému Společnost poskytuje potřebnou součinnost. Každý nadřízený je povinen zajistit proškolení všech svých podřízených.

    Probíhají následující školení:

    • školení po nabytí účinnosti této směrnice,
    • vstupní školení při nástupu do zaměstnání a
    • pravidelná roční školení v prvním čtvrtletí kalendářního roku.

    O každém školení sepíše školící zaměstnanec záznam. Součástí záznamu je seznam proškolovaných zaměstnanců, jméno a pozice školícího zaměstnance, bodové shrnutí o obsahu školení, prohlášení školícího zaměstnance, že proškolil všechny své podřízené, případně uvedené důvodu, proč budou někteří zaměstnanci proškoleni později a uvedení data dodatečného školení.  Při každém školení je školící zaměstnanec povinen se dotázat školených zaměstnanců a toto zaznamenat do záznamu, zda se setkali a/nebo je jim známo jakékoliv bezpečnostní riziko či slabina a zda navrhují některá opatření ke zlepšení ochrany osobních údajů. Záznamy o provedených školeních je školící zaměstnanec povinen doručit v originále Společnosti.

    Součástí osvěty Společnosti je také vyvěšení seznamu „Na co si mám dát pozor v souvislosti s GDPR“ na zaměstnanecké nástěnce každé provozovny Společnosti či jiným obdobným vhodným způsobem. Za vyvěšení seznamu a jeho případné doplňování dle pokynů je odpovědný vedoucí pracovník dané provozovny. V sídle společnosti je tento seznam vyvěšen na vhodném místě určeném statutárním orgánem. Seznam „Na co si mám dát pozor v souvislosti s GDPR“ je součástí této směrnice.

    BEZPEČNOSTNÍ INCIDENTY – POSTUP ŘEŠENÍ A OZNAMOVACÍ POVINNOST

    Statutární orgán společnosti průběžně zjišťuje a monitoruje případné bezpečnostní incidenty spočívající v porušení zabezpečení osobních údajů Společnosti.

    Každý zaměstnanec Společnosti, který zjistí porušení zabezpečení osobních údajů je povinen je bezodkladně nahlásit svému nadřízenému případně statutárnímu orgánu Společnosti.

    V případě porušení zabezpečení osobních údajů Společnosti je statutární orgán Společnosti povinen bezodkladně učinit veškerá nutná opatření k odstranění tohoto porušení. K tomuto mu poskytne Společnost veškerou potřebnou součinnost a zdroje, které lze po ní spravedlivě požadovat s ohledem na míru porušení a velikost rizik.

    Statutární orgán je povinen hlásit dozorovému orgánu porušení zabezpečení osobních údajů Společnosti, a to bezodkladně, nejpozději však do 72 hodin od okamžiku, kdy k porušení došlo, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.

    Statutární orgán vede evidenci případů porušení zabezpečení osobních údajů.

    Společnost bez zbytečného odkladu informuje subjekt osobních údajů o porušení zabezpečení osobních údajů, jestliže následkem porušení zabezpečení mohlo mít na následek vysoké riziko pro práva a svobody subjektu údajů. Zároveň subjektů údajů popíše povahu porušení zabezpečení, pravděpodobných důsledku a následných opatření.

    Společnost nemusí subjekt údajů o takovémto porušení informovat v případě, že byla provedena náležitá ochranná opatření, byla přijata následná opatření, která snižují riziko incidentu a oznámení by vyžadovalo nepřiměřené úsilí. V takovémto případě musí být subjekty údajů informovány veřejným oznámením.

    Za oznamování bezpečností incidentů a plnění související agendy je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

    PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO ZAHRANIČÍ

    Společnost nepředává spravované osobní údaje do nečlenských států Evropské unie.

    Společnost nepředává spravované osobní údaje do členských států Evropské unie.

    Statutární orgán Společnosti je povinen v případě chystaného předání osobních údajů do země členského státu Evropské unie zajistit předání v souladu s příslušnými normami a zajistit uzavření příslušných smluv s příjemcem tak, aby Společnost byla v případě pochybení na straně příjemce chráněna.

    Statutární orgán Společnosti je povinen v případě chystaného předání osobních údajů do země nečlenského státu Evropské unie zajistit předání v souladu s příslušnými normami, až po kladném povolení Úřadu na ochranu osobních údajů a za podmínek v něm stanovených a zajistit uzavření příslušných smluv s příjemcem tak, aby Společnost byla v případě pochybení na straně příjemce chráněna.

    Za agendu předávání osobních údajů do zahraničí je Společnosti odpovědný statutární orgán nebo jím pověřená osoba.

    Záznamy o činnostech zpracování

    Statutární orgán nebo jím pověřená osoba vede záznamy o činnostech zpracování, za něž Společnosti odpovídá.

    Každý záznam obsahuje:

    • jméno a kontaktní údaje Společnosti jakožto správce,
    • jméno a kontaktní údaje statutárního orgánu nebo jím pověřené osoby,
    • účel zpracování,
    • popis kategorií subjektů údajů a kategorií osobních údajů,
    • kategorie příjemců,
    • informace o předání osobních údajů do třetí země nebo mezinárodní organizace,
    • plánované lhůty pro výmaz jednotlivých kategorií osobních údajů,
    • obecný popis technických a organizačních bezpečnostních opatření (pseudoanonymizace a šifrování; opatření k zajištění důvěrnosti, integrity, dostupnosti a odolnost systémů a služeb zpracování),
    • schopnost obnovit dostupnost osobních údajů v případě fyzických a technických incidentů a
    • procesu pravidelného testování, posuzování a hodnocení účinnosti opatření k zajištění bezpečnosti zpracování.

    Společnost je správcem i zpracovatelem osobních údajů.

    Statutární orgán nebo jím pověřená osoba je povinen za Společnost poskytnout na vyžádání záznamy o činnostech zpracování dozorovému orgánu.

    SPECIÁLNÍ ČÁST

    NA CO SI MÁM DÁT POZOR V SOUVISLOSTI S GDPR

    Když zpracovávám osobní údaje (chápej: získávám, zapisuji, odesílám, ukládám) musím se zamyslet, zda mi člověk, kterému patří, dal k tomu souhlas nebo to musím dělat ze zákona. Pokud ne, tak kontaktuji nadřízeného nebo statutární orgán Společnosti.

    Když po mě někdo chce vědět osobní údaje někoho jiného a já nevím, zda na ně má právo (souhlas/zákon), tak mu je nesmím dát a kontaktuji nadřízeného nebo statutární orgán Společnosti.

    Když po mě chce osobní údaje někoho jiného kdokoliv, kdo reprezentuje stát (chápej policajt, celník, financ, sociálka, hygiena a další), tak odkazuji na nebo statutární orgán Společnosti a žádám o písemnou žádost do datové schránky. (To neplatí pro dotazy kdo tu je vedoucí, zaveďte mě za vedoucím a kde ho seženu – přiměřeně okolnostem)

    Na počítači na kterém pracuji (ať už firemní nebo osobní) mám heslo pro přihlášení. Heslo si pamatuji a nemám ho nikde nalepeno/napsáno. To stejné platí o mobilu, který je napojený na firemní email.

    Pokaždé, když odcházím pryč od počítače/mobilu (ano i na záchod) zamykám obrazovku nebo se odhlašuji!

    Když mám klíče od dveří, tak je při opuštění prostoru zamykám! To stejné platí o skříních a šuplících. Klíče ani čipy nedávám ze své ruky komukoliv jinému.

    Pokud mám klíče/čip od dveří, tak za nimi nenechávám bez dozoru nikoho, kdo je nemá!

    Nikdy nepoužívám ke komunikaci v pracovních věcech osobní email! Ani si na osobní email nepřeposílám firemní komunikaci. Svůj firemní email nikomu nezpřístupňuji bez svého dohledu.

    Z počítače si nekopíruji na žádné přenosné nosiče dat žádná data bez svolení nadřízeného nebo statutárního orgánu Společnosti.

    Platnost od: 25. 5. 2018.