INTERNET PORTAL s.r.o. IČ 227 96 304, se sídlem Bílá – Vlčetín 44, PSČ 463 43 |
Směrnice k zajištění ochrany osobních údajů |
Pořadové číslo: | 1/2018 |
Směrnice byla přijata: | 20.5.2018 |
Směrnice nabývá účinnosti: | 25.5.2018 |
Statutární orgán: | Matěj Murín |
I. Úvod
1. Definice pojmů
Pro účely této směrnice se níže uvedenými pojmy rozumí:
Společnost INTERNET PORTAL s.r.o., IČ 227 96 304, se sídlem Bílá – Vlčetín 44, PSČ 463 43, zapsaná v obchodním rejstříku vedeném Krajským soudem v Ústí nad Labem pod Sp. zn.: C 31862
Nařízení Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Zákoník práce Zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů
Subjekt údajů Fyzická osoba, které se osobní údaje týkají.
Správce Subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj.
Oprávněná osoba Každá fyzická osoba, která přichází do styku s osobními údaji v rámci svého pracovního poměru, na základě pověření, zvolení nebo jmenování, nebo v rámci výkonu funkce, nebo na základě smlouvy se správcem nebo zpracovatelem a která zpracovává osobní údaje v rozsahu a způsobem souvisejícím s výkonem její funkce podle požadavků právních předpisů. Oprávněnými osobami, které jsou oprávněny ve Společnosti zpracovávat osobní údaje, jsou zejména:
- vedoucí zaměstnanci
- zaměstnanci či smluvní partneři, kteří zabezpečují personální a účetní agendu Společnosti
- zaměstnanci či smluvní partneři, kteří zabezpečují informační systémy pro zpracování osobních údajů
- osoby, které k tomu mají oprávnění na základě uzavřené pracovní nebo jiné smlouvy
Odpovědná osoba Osoba pověřená vedením Společnosti výkonem dohledu nad zpracováním osobních údajů v prostředí Společnosti.
Zpracovatel Subjekt, který zpracovává osobní údaje pro správce.
Osobní údaje Veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
Citlivé údaje Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Zpracování Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Souhlas fyzické osoby Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Účel zpracovávání Předem jednoznačně vymezený nebo ustanovený záměr zpracovávání osobních údajů, který se váže na určitou činnost zpracování osobních údajů.
Porušení zabezpečení Porušení zabezpečení osobních údajů, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
Anonymizované údaje Údaje, které buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů.
Blokování Operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů.
2. Předmět, účel a působnost
(1) Tato směrnice upravuje postup při zpracování osobních údajů zpracovávaných při činnosti Společnosti podle Nařízení a příslušných vnitrostátních právních předpisů.
(2) Tato směrnice se vztahuje na osobní údaje zpracovávané zaměstnanci Společnosti a oprávněnými osobami, které osobní údaje zpracovávají na základě smlouvy uzavřené se Společností.
(3) Tato směrnice vymezuje zaměstnancům a dalším osobám účastnícím se na zpracování osobních údajů ve Společnosti jejich práva a povinnosti v souvislosti se zpracováním osobních údajů.
II. Zásady zpracování osobních údajů
Společnost jako správce nebo zpracovatel osobních údajů je při zpracování osobních údajů povinna dodržovat základní zásady zpracování osobních údajů stanovené čl. 5 Nařízení.
2.1. Transparentnost a zákonnost
Při zpracování osobních údajů musí být respektováno právo na informace subjektu údajů. Osobní údaje musí být shromažďovány a zpracovávány korektně, zákonným a transparentním způsobem.
Subjekt údajů musí být informován o zacházení s jeho údaji. Při získání údajů musí být subjekt údajů informován alespoň o:
- totožnosti správce
- účelu zpracování osobních údajů a jejich kategoriích a zdrojích
- oprávněných zájmech správce v případě, že je zpracování pro tyto zájmy správce nezbytné
- době uchování osobních údajů
- příjemcích nebo kategoriích příjemců, kterým mohou být osobní údaje předány
- právech subjektu údajů
- tom, zda je poskytování údajů součástí zákonného nebo smluvního závazku a o možných důsledcích neposkytnutí
- existenci automatizovaného rozhodování, včetně profilování
2.2. Omezení účelem
Zpracování osobních údajů je možné pouze pro určité, výslovně vyjádřené a legitimní účely stanovené před shromažďováním údajů. Následné změny účelu jsou možné pouze v omezeném rozsahu, pokud jsou slučitelné s původním účelem a vyžadují odůvodnění.
Správce je povinen před zahájením zpracování stanovit účel zpracování osobních údajů, účel zpracovávání osobních údajů musí být jasný, vymezen jednoznačně a konkrétně a musí být v souladu s právními předpisy.
Správce nesmí sdružovat osobní údaje, které byly získány k rozdílným účelům.
2.3. Minimalizace
Před zpracováním osobních údajů je třeba zkontrolovat, zda a do jaké míry jsou nezbytné pro dosažení zamýšleného účelu zpracování. Osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.
Osobní údaje nesmí být uchovávány pro budoucí potenciální použití, pokud to nevyžadují nebo nepovolují právní předpisy.
Osobní údaje lze uchovávat pouze po dobu, která je nezbytná k účelu jejich zpracování. Po této době musí být osobní údaje zlikvidovány. Uchovávány mohou být pouze pro účely státní statistické služby, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů, a osobní údaje anonymizovat, jakmile je to možné.
2.4. Přesnost a aktuálnost údajů
Společnost zpracovává pouze přesné, úplné a v případě potřeby též aktualizované osobní údaje.
Zjistí-li Společnost, že zpracované osobní údaje nejsou s ohledem na stanovený účel zpracování přesné, provede bez zbytečného odkladu přiměřená opatření, aby se zajistilo vymazání, oprava, doplnění nebo aktualizace nepřesných, neúplných nebo zastaralých údajů.
Zejména zpracování osobních údajů v takovém případě blokuje a osobní údaje opraví nebo doplní, jinak osobní údaje zlikviduje. Nepřesné osobní údaje se musí označit. Informaci o blokování, opravě, doplnění nebo likvidaci osobních údajů je Společnost povinna bez zbytečného odkladu předat všem příjemcům.
2.5. Integrita a důvěrnost údajů
Osobní údaje podléhají povinnosti mlčenlivosti a je třeba s nimi nakládat jako s důvěrnými informacemi. Vhodnými organizačními a technickými opatřeními musí být zabezpečena ochrana před neoprávněným přístupem, neoprávněným nebo protiprávním zpracováním nebo odhalením, jakož i před náhodnou ztrátou, změnou nebo zničením osobních údajů.
III. Zpracování osobních údajů
3.1. Zákonnost zpracování
Shromažďování, zpracování a používání osobních údajů je přípustné, pouze pokud existuje jedna z následujících podmínek (titulů zpracování):
a) zpracování je nezbytné pro uzavření či plnění smlouvy, jejíž stranou je subjekt údajů;
b) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
c) zpracování je nezbytné pro účely oprávněných zájmů správce;
d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů;
e) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden nebo i více konkrétních účelů (výslovný souhlas se zpracováním Citlivých údajů).
Splnění některé z podmínek se vyžaduje také v případě, pokud má být účel shromažďování, zpracování a používání osobních údajů změněn z původního účelu.
Souhlas se zpracováním osobních údajů nebude vyžadován v případech, kdy existuje jiný právní titul pro zpracování osobních údajů (smlouva, právní předpis).
3.2. Zpracovávané údaje
(1) Společnost je jednak správcem, který provádí zpracování, shromažďování, uchovávání, zveřejňování a likvidaci osobních údajů a pověřuje zpracovatele zpracováním osobních údajů těchto subjektů:
a) smluvní partneři Společnosti (např. klienti a dodavatelé),
b) zaměstnanci Společnosti (pracovní vztah na základě pracovní smlouvy i dohody)
(2) Osobní údaje se shromažďují jak v listinné podobě, tak i v elektronické podobě.
3.2.1. Údaje o klientech, potenciálních klientech a dodavatelích
Před vznikem smluvního vztahu a za jeho trvání se po předchozím poučení subjektu údajů shromažďují jen takové osobní údaje o potenciálních klientech, klientech a dodavatelích, které mají příčinný vztah k danému smluvnímu vztahu a jsou nezbytné k jeho naplnění a jejichž shromažďování a zpracování probíhá za podmínek stanovených právními předpisy.
3.2.1.1. Zpracování osobních údajů pro plnění smluvního vztahu
Zpracování osobních údajů klientů nebo dodavatelů je přípustné, pokud osobní údaje slouží k plnění smlouvy nebo k plnění předsmluvních povinností. To zahrnuje také péči o smluvní stranu, pokud je to v souladu s účelem předmětu smlouvy. Při přípravě smlouvy, tj. před uzavřením vlastní smlouvy, je zpracování osobních údajů možné např. pro přípravu nabídek, přípravu žádostí o koupi nebo k plnění dalších požadavků zúčastněné strany nezbytných pro uzavření smlouvy. Pro případné marketingové nabídky musí být dodrženy následující požadavky podle bodu 3.2.1.2. této směrnice.
3.2.1.2. Zpracování údajů pro marketingové účely
Zpracování osobních údajů za účelem reklamy nebo průzkumu trhu je možné pouze za předpokladu, že je v souladu s účelem, ke kterému byly údaje původně poskytnuty. Subjekt údajů musí být o tom, že jsou jeho osobní údaje využívány k marketingovým účelům informován. Pokud jsou údaje shromažďovány výhradně k propagačním účelům, jejich poskytnutí subjektem údajů musí být dobrovolné, o čemž by měl být subjekt údajů informován.
Pokud subjekt údajů nesouhlasí s používáním svých údajů k reklamním a marketingovým účelům, je další použití údajů pro tyto účely je nepřípustné a musí být zamezeno využití jeho osobních údajů k těmto účelům.
Ve Společnosti ke zpracovávání údajů pro marketingové účely nedochází.
3.2.1.3. Souhlas se zpracováním osobních údajů
Zpracování osobních údajů může probíhat na základě souhlasu subjektu údajů.
Před souhlasem musí být subjekt údajů informován v souladu s touto směrnicí. Z důkazních důvodů musí být prohlášení o souhlasu vždy doručeno písemně nebo elektronicky. Za určitých okolností, nelze-li souhlasit získat jinak (např. při telefonické komunikaci), může být souhlas dán také ústně. Udělení souhlasu musí být zdokumentováno.
Souhlas musí být zřetelně odlišený od jiných záležitostí, srozumitelný a snadno přístupný a vztahovat se ke konkrétnímu účelu nebo účelům.
Souhlas musí být svobodný. Nelze podmiňovat poskytnutí služby klientovi udělením souhlasu.
3.2.1.4. Zpracování dat na základě zákonného oprávnění - k plnění právní povinnosti
Zpracování osobních údajů je přípustné, v případech kdy právní předpisy vyžadují nebo připouštějí zpracování údajů, a to v nezbytném rozsahu, který vyplývá z příslušných právních předpisů.
3.2.1.5. Zpracování dat založené na oprávněném zájmu
Zpracování osobních údajů je dále možné, pokud je to nezbytné k dosažení oprávněného zájmu Společnosti. Oprávněné zájmy jsou obvykle právní (např. vymáhání nesplacených nároků) nebo ekonomicky odůvodněné (např. předcházení porušení smlouvy, ochrana majetku).
Zpracování osobních údajů založené na oprávněném zájmu se nesmí uskutečnit, jestliže v jednotlivých případech existuje pochybnost, že zájmy subjektu údajů, které mají být chráněny, převažují nad zájmem Společnosti na zpracování. Existenci zájmů hodných ochrany je nutné prověřit pro každé zpracování založené na oprávněném zájmu a provést o tom záznam.
3.2.1.6. Zpracování zvláštních kategorií (citlivých) údajů
Zpracování zvláštních kategorií údajů, které jsou obzvláště hodné ochrany, může být provedeno pouze tehdy, je-li to stanoveno právními předpisy, nebo pokud subjekt údajů výslovně souhlasí.
Zpracování těchto údajů je rovněž přípustné, je-li to nezbytné pro uplatnění, výkon nebo obranu právních nároků vůči subjektu údajů.
3.2.1.7. Automatizovaná rozhodování, profilování
Automatizované zpracování osobních údajů, které hodnotí jednotlivé osobnostní rysy (např. výkonnost), by nemělo být jediným základem pro rozhodnutí s negativními právními důsledky pro subjekt údajů. Subjekt údajů musí být informován o automatizovaném rozhodování a o výsledku automatizovaného individuálního rozhodnutí a musí mít možnost vyjádřit své připomínky. Aby se předešlo chybným rozhodnutím, musí být zaručena možnost kontroly zaměstnanci Společnosti.
Ve Společnosti k automatizovanému rozhodování ani profilování při zpracování osobních údajů nedochází.
3.2.1.8. Uživatelská data a Internet
Pokud jsou osobní údaje shromažďovány, zpracovávány a používány na webových stránkách nebo v aplikacích Společnosti, musí být o těchto skutečnostech informovány subjekty údajů v prohlášeních o ochraně osobních údajů a v případě využití souborů cookie musí být poskytnuty informace také o těchto souborech. Oznámení o ochraně osobních údajů a oznámení cookie musí být integrovány tak, aby byly snadno rozpoznatelné, okamžitě přístupné a neustále dostupné dotčeným osobám.
Pokud jsou uživatelské profily vytvořeny pro hodnocení chování uživatelů na webových stránkách a v aplikacích (sledování), musí být subjekty údajů v prohlášeních o ochraně údajů o této skutečnosti vždy informovány.
3.2.2. Údaje o zaměstnancích a smluvních pracovnících společnosti
(1) Před vznikem smluvního vztahu a za jeho trvání se po předchozím poučení subjektu údajů shromažďují jen takové osobní údaje o uchazečích o zaměstnání a o zaměstnancích, které jsou nezbytné k naplnění pracovněprávního vztahu a jejichž shromažďování a zpracování probíhá za podmínek stanovených právními předpisy.
(2) Osobní údaje zaměstnanců jsou vedeny v osobních spisech zaměstnanců, které jsou vedeny v listinné podobě a jsou uloženy na personálním oddělení zaměstnavatele v uzamykatelné skříni. Současně mohou být osobní spisy nebo některé údaje z nich (např. docházka) vedeny v elektronické podobě, a v takovém případě je přístup ke složkám s údaji z osobních spisů zabezpečen heslem/přístup do výpočetní techniky s údaji z osobních spisů zabezpečen heslem.
(3) Osobní spis zaměstnance může obsahovat zejména nikoliv však výlučně tyto údaje:
a) Základní identifikační údaje
- Žádost uchazeče o zaměstnání
- Zápočtový list od předcházejícího zaměstnavatele
- Osobní dotazník
- Životopis
- Fotokopie dokladu o dosaženém vzdělání
- Doklady o dalším vzdělání
- Vyjádření lékaře ke zdravotní způsobilosti zaměstnance ne však konkrétní údaje o zdravotním stavu uchazeče
- Změny v osobních údajích
b) Smlouvy
- pracovní smlouva a její dodatky, změny
- dohoda o odpovědnosti k ochraně hodnot svěřených k vyúčtování
- dohoda o odpovědnosti za ztrátu svěřených předmětů
- dohoda o pracovní činnosti
- dohoda o provedení práce
c) Práce a plnění povinností
- hodnocení zaměstnance
- pracovní cesty (cestovní příkazy)
- převedení a přeložení
- změna pracovního zařazení
- upozornění na nedostatky v práci
- stížnosti zaměstnance a jejich vyřízení
d) Příjmy a požitky
- mzdový výměr
- evidence o zdanitelných příjmech ze závislé činnosti
- evidence záloh
- evidence daní z příjmů ze závislé činnosti
- evidence příspěvků na zdravotní a sociální pojištění
- evidence jiných pojištění
- evidenční list pro důchodové zabezpečení
- půjčky a výpomoci
e) Pracovní doba
- evidence pracovní doby
- evidence práce přesčas
- evidence pracovní pohotovosti
- evidence noční práce
- evidence nepřítomnosti v práci
- evidence pracovní neschopnosti
- evidence dovolené
(4) Materiály vedené v osobním spisu zaměstnance slouží výhradně pro interní potřebu Společnosti a k plnění právními předpisy stanovených povinností. Společnost zajišťuje ochranu osobních údajů zaměstnanců před neoprávněným přístupem nepovolaných osob nebo zneužitím.
(5) Základní povinností zaměstnanců, která se vztahuje i na všechny zpracovávané osobní údaje, je zachovávat mlčenlivost o skutečnostech, o nichž se dozvěděli při výkonu zaměstnání a které v zájmu zaměstnavatele nelze sdělovat jiným osobám; to neplatí, pokud byli této povinnosti zproštěni statutárním orgánem nebo jím pověřeným vedoucím zaměstnancem Společnosti, nestanoví-li zvláštní právní předpis jinak.
3.2.2.1. Zpracování osobních údajů pro plnění pracovněprávního vztahu
Pro pracovněprávní vztah mohou být zpracovávány osobní údaje, které jsou nezbytné pro uzavření, plnění a ukončení pracovněprávního vztahu na základě pracovní smlouvy nebo dohody o práci konané mimo pracovní poměr (Dohoda o provedení práce, dohoda o pracovní činnosti).
Před vznikem pracovněprávního vztahu mohou být zpracovávány osobní údaje uchazečů o zaměstnání. V případě odmítnutých uchazečů musí být údaje uchazeče vymazány po uplynutí lhůt k uplatnění případných nároků z předsmluvního vztahu (např. diskriminace), pokud uchazeč nedal výslovný souhlas k delšímu uchovávání údajů pro pozdější výběrové řízení.
3.2.2.2. Zpracování údajů na základě zákonného oprávnění - k plnění právní povinnosti
Zpracování osobních údajů o zaměstnancích je možné, pokud právní předpisy vyžadují, předpokládají nebo umožňují zpracování těchto osobních údajů. Druh údajů a rozsah zpracování údajů musí být nezbytný pro právními předpisy stanovené účely zpracování údajů a řídí se příslušnými právními předpisy (např. sociální zabezpečení, zdravotní pojištění, daňové předpisy).
3.2.2.3. Souhlas se zpracováním osobních údajů
Zpracování údajů o zaměstnancích se může uskutečnit na základě souhlasu dotčené osoby pouze v případech, kdy nelze využít jiný titul ke zpracování osobních údajů (např. plnění smlouvy, plnění povinností stanovených právními předpisy).
Prohlášení o souhlasu se zpracováním osobních údajů musí být zaměstnancem dáno dobrovolně na samostatném dokumentu, který není součástí pracovní smlouvy. Z důkazních důvodů musí být prohlášení o souhlasu vždy doručeno písemně nebo elektronicky. Pokud to výjimečně okolnosti neumožňují, souhlas může být vydán ústně. Udělení souhlasu musí být v každém případě řádně zdokumentováno. Před udělením souhlasu musí být subjekt zaměstnanec informován v souladu s touto směrnicí.
3.2.2.4. Zpracování dat založené na oprávněném zájmu
Zpracování osobních údajů o zaměstnancích je dále možné, pokud je to nezbytné k dosažení oprávněného (legitimního) zájmu Společnosti. Legitimní zájmy jsou obvykle právní (např. obrana právních nároků) nebo ekonomicky odůvodněné (např. ochrana majetku).
Zpracování osobních údajů založené na oprávněném zájmu se nesmí uskutečnit, jestliže v jednotlivých případech existuje pochybnost, že zájmy zaměstnance, které mají být chráněny, převažují nad zájmem Společnosti na zpracování. Existenci zájmů hodných ochrany je nutné prověřit pro každé zpracování založené na oprávněném zájmu a provést o tom záznam.
Kontrolní opatření, která vyžadují zpracování osobních údajů o zaměstnancích, mohou být provedena pouze v případě, že existuje zákonná povinnost nebo je-li k tomu důvod, a za podmínek stanovených příslušnými právními předpisy, zejména ustanovením § 316 zákoníku práce. Vždy musí být posouzena přiměřenost kontrolního opatření. Oprávněné zájmy Společnosti a chráněná práva a zájmy zaměstnanců musí být stanoveny a zdokumentovány před zavedením každého kontrolního opatření.
3.2.2.5. Zpracování zvláštních kategorií (citlivých) údajů o zaměstnancích
Zvláštní kategorie osobních údajů zaměstnanců, které jsou hodny zvláštní ochrany, mohou být zpracovány pouze za právními předpisy stanovených podmínek. Jedná se o údaje, které vypovídají o rasovém a etnickém původu, politických názorech, náboženských nebo filozofických přesvědčeních, členství v odborech a údajů zdravotním stavu nebo sexuálním životě a orientaci fyzické osoby, dále o zpracování genetických údajů a biometrických údajů za účelem jedinečné identifikace fyzické osoby.
Zpracování musí být výslovně povoleno nebo vyžadováno právními předpisy. Kromě toho je zpracování těchto údajů možné, pokud je to nezbytné pro účely plnění povinností a výkon zvláštních práv Společnosti nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany.
V ostatních případech musí zaměstnanec výslovně souhlasit se zpracováním těchto kategorií údajů pro konkrétní účel.
Zpracování Citlivých údajů zaměstnanců Společnost neprovádí.
3.2.2.6. Automatizovaná rozhodování, profilování
Pokud jsou osobní údaje zpracovávány automaticky a používají se k hodnocení individuálních osobnostních charakteristik fyzické osoby (např. jako součást výběru personálu nebo hodnocení profilů způsobilosti k výkonu práce), takové automatické zpracování nesmí být jediným základem pro rozhodnutí s negativními důsledky nebo značnou újmu dotčeným osobám. Aby se předešlo chybným rozhodnutím, musí být v automatizovaných postupech zajištěno, aby posouzení relevantních skutečností bylo provedeno fyzickou osobou, a toto posouzení bylo základem pro rozhodnutí. Dotčený zaměstnanec musí být rovněž informován o skutečnosti a výsledku automatizovaného individuálního rozhodnutí a musí mít možnost vyjádřit své připomínky.
Ve Společnosti k automatizovanému rozhodování ani profilování při zpracování osobních údajů zaměstnanců nedochází.
3.2.2.7. Telekomunikace a internet
Telefony, e-mailové adresy, intranet a internet, jakož i interní sítě jsou Společností poskytovány zaměstnancům výlučně za účelem plnění pracovních úkolů. Jedná se o pracovní zařízení a firemní zdroje Společnosti. Zaměstnanci je mohou využívat pouze v souladu platnými právními předpisy a zásadami Společnosti k plnění svých pracovních úkolů nikoliv k soukromým účelům.
S ohledem na uvedené může ve Společnosti probíhat za podmínek stanovených § 316 zákoníku práce obecné sledování rozsahu telefonní a e-mailové komunikace nebo využití intranetu a internetu zaměstnanci. Aby se zabránilo útokům na IT infrastrukturu nebo na jednotlivé uživatele, byla zavedena ochranná opatření k zajištění sítě Společnosti, která blokují technicky škodlivý obsah nebo analyzují vzory útoků. Z bezpečnostních důvodů může být zaznamenáváno používání telefonních systémů, e-mailových adres, intranetu, internetu a interních sítí, nikoliv však jejich obsah.
Vyhodnocení těchto údajů včetně jejich obsahu může být provedeno pouze v případě odůvodněného podezření z porušení právních předpisů nebo pravidel Společnosti. Tyto kontroly mohou být prováděny pouze v souladu se zásadou proporcionality.
IV. Opatření k ochraně osobních údajů
(1) Společnost je povinna přijmout taková opatření, aby nemohlo docházet k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
(2) Systém ochrany osobních údajů je tvořen komplexem organizačních, personálních a technických opatření, která jsou ve Společnosti realizována za účelem zabezpečení ochrany a bezpečnosti osobních údajů.
(3) Osobní údaje podléhají utajení a povinnosti mlčenlivosti. Neschválená shromažďování, zpracování nebo použití je všem oprávněným osobám zakázáno.
(4) Jakékoliv zpracování provedené zaměstnancem je zakázané, pokud z výslovného pověření nebo z náplně jeho práce nebo z této směrnice nevyplývá oprávnění ke zpracování osobních údajů. Oprávněné osoby (zaměstnanci) mohou přistupovat k osobním údajům pouze tehdy a v rozsahu nezbytném pro plnění svých povinností.
(5) Přístupy jednotlivých zaměstnanců k jednotlivým osobním údajům v rámci jednotlivých oddělení jsou dále omezovány, aby žádný zaměstnanec neměl přístup k osobním údajům, které pro výkon své práce nepotřebuje. Za rozdělení přístupů k osobním údajům mezi jednotlivé zaměstnance oddělení je zodpovědný vedoucí oddělení.
4.1. Technická a organizační opatření k zajištění ochrany osobních údajů
(1) Osobní údaje musí být vždy chráněny před neoprávněným přístupem, nezákonným zpracováním nebo zveřejněním, jakož i proti ztrátě, pozměnění nebo zničení. To platí bez ohledu na to, zda zpracování dat probíhá elektronicky nebo v papírové podobě. Před zavedením nových způsobů a systémů pro zpracování osobních údajů, zejména nových informačních systémů, musí být zavedena a prováděna technická a organizační opatření na ochranu osobních údajů. Tato opatření musí být založena na stavu techniky, rizicích způsobených zpracováním s ohledem na míru rizika pro práva subjektů údajů.
(2) Technická a organizační opatření pro ochranu osobních údajů jsou součástí řízení informační bezpečnosti a ochrany dat Společnosti a jsou průběžně přizpůsobována technickému vývoji a organizačním změnám.
(3) Komplex minimálních organizačních, personálních a technických opatření Společnosti tvoří:
a) stanovení účelu zpracování osobních údajů v souladu s Nařízením a touto směrnicí,
b) určení osob oprávněných ke zpracování osobních údajů,
c) stanovení odpovědností a povinností mlčenlivosti v rámci plnění pracovně-právních povinností v souladu s pracovněprávními předpisy,
d) zabezpečení nosičů informací s osobními údaji vedených v listinné a elektronické podobě na přenosných nosičích v uzamykatelných prostorách (např. kancelář, trezor, skříň),
e) zabezpečení informací s osobními údaji vedených v informačním systému zavedením přístupových práv do informačního systému a k jednotlivým souborům (ochrana heslem),
f) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování včetně neoprávněného přístupu k datovým nosičům,
g) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje,
h) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.
i) vedení evidencí zpracovávaných osobních údajů a smluv o zpracování.
(4) Písemnosti a jiné hmotné nosiče dat, které obsahují osobní údaje, je možné uchovávat pouze v uzamykatelných místnostech, v uzamykatelných skříních, popř. na jiných místech, kde je možno zajistit jejich ochranu před neoprávněným odcizením, ztrátou nebo zneužitím. To platí i pro kopie písemností obsahujících osobní údaje.
(5) Elektronické datové složky obsahující osobní údaje je možné uchovávat v paměti počítače nebo jiné výpočetní techniky pouze:
a) je-li přístup k takovýmto složkám chráněn heslem, a
b) je-li přístup k užívání počítače, v jehož paměti jsou tyto soubory umístěny, chráněn heslem.
(6) Zasílání souborů obsahujících osobní údaje prostřednictvím emailu je možné, pouze pokud je takovýto soubor chráněn heslem nebo pokud je emailová komunikace šifrována nebo pokud je přístup do emailové schránky chráněn dostatečně silným heslem. Dostatečně silným heslem je heslo sestávající alespoň z šesti znaků, z nichž přinejmenším jedním znakem bude velké písmeno, malé písmeno a číslice.
(7) Pokud zaměstnanec opouští pracoviště, kde jsou uchovávány písemnosti a jiné hmotné nosiče dat s osobními údaji, je povinen místnost uzamknout. Před opuštěním pracoviště je povinen se odhlásit z počítače (informačního systému).
4.2. Povinnosti oprávněných osob při nakládání s osobními údaji
(1) Oprávněná osoba je zejména povinna:
a) zpracovávat osobní údaje pouze v rozsahu svého zmocnění v souladu s Nařízením a touto směrnicí
b) získávat pouze osobní údaje nezbytné pro stanovený účel zpracování; je nepřístupné, aby Oprávněná osoba získávala osobní údaje pod záminkou jiného účelu zpracování nebo jiné činnosti,
c) vykonávat pouze oprávněné zpracovatelské operace, jen se správnými, úplnými a podle potřeby aktualizovanými osobními údaji,
d) dbát na správnost zpracovávaných osobních údajů, při jejich pořizování je ověřovat podle dokladů k tomu určených;
e) nesprávné a neúplné osobní údaje bez zbytečného odkladu opravit nebo doplnit (na základě podkladů od dotčené osoby); nesprávné a neúplné osobní údaje, které nelze opravit nebo doplnit tak, aby byly správné a úplné je povinná blokovat, dokud se nerozhodne o jejich likvidaci v souladu s interními předpisy správce,
f) před získáváním osobních údajů dotčenou osobu seznámit s informacemi stanovenými touto směrnicí (bod 2.1.), a poučit ji o dobrovolnosti nebo povinnosti poskytnutí osobních údajů a o jejích právech a povinnostech
g) postupovat v souladu s technickými, organizačnými a personálními opatřeními k zajištění ochrany osobních údajů,
h) provést bezpečnou likvidaci dále nepotřebných osobních údajů jejich vymazáním, anonymizací nebo fyzickým zničením tak, aby subjekt údajů nebyl nadále identifikovatelný;
i) chránit přijaté dokumenty a soubory s osobními údaji před ztrátou a poškozením, zneužitím, odcizením, neoprávněným zpřístupněním, poskytnutím a nepřípustnými formami zpracování,
j) zachovávat jedinečnost a důvěrnost svých přístupových hesel k zařízením, složkám a dokumentům obsahujícím osobní údaje,
k) dodržovat mlčenlivost o osobních údajích, se kterými přichází do styku při plnění pracovních povinností, a to i po ukončení pracovního poměru nebo obdobného vztahu, kromě zákonem stanovených výjimek,
l) neponechávat IT prostředky nezabezpečené před neoprávněným přístupem (odhlášení od informačního systému)
m) neponechávat dokumenty (nosiče osobních údajů) volně dostupné na pracovní ploše,
n) neponechat na pracovišti neoprávněnou osobu bez přítomnosti jiného zaměstnance,
o) nepořizovat kopie nebo obrazové záznamy osobních údajů pro své potřeby;
p) zpracovávat osobní údaje pouze na prostředcích svěřených jim k tomu Společností (tj. nevyužívat vlastní zařízení – notebooky, PC, flash disky apod.)
(2) Porušení povinností uvedených v této směrnici bude Společností považováno za porušení povinností vztahujících se k zaměstnancem vykonávané práci, čímž není dotčena odpovědnost dle právních předpisů. Takové porušení povinnosti stanovené touto směrnicí ze strany zaměstnance může dle okolností představovat porušení povinnosti zaměstnance vyplývající z právních předpisů vztahujících se k jím vykonávané práci zvlášť hrubým způsobem a může vést i k okamžitému zrušení pracovněprávního vztahu s dotyčným zaměstnancem ze strany Společnosti.
(3) Za porušení povinnosti při zpracování osobních údajů hrozí Společnosti podle Nařízení uložení pokuty až do výše 20.000.000 EUR nebo až do výše 4 % celkového ročního obratu celosvětově za předchozí rozpočtový rok, podle toho, co je vyšší. Společnost dále odpovídá za újmu, která v důsledku takového porušení vznikne třetí osobě. Společnost je ve výše uvedených případech oprávněna požadovat po zaměstnanci náhradu vzniklé újmy v souladu s obecně závaznými právními předpisy.
(4) Porušení zákonné povinnosti mlčenlivosti může dle okolností naplnit skutkovou podstatu trestného činu neoprávněného nakládání s osobními údaji; tento trestný čin může spáchat i právnická osoba.
4.3. Bezpečnostní incidenty
(1) Každá Oprávněná osoba je povinna neprodleně hlásit vedení Společnosti nebo Odpovědné osobě jakékoliv případy porušováních této směrnice nebo právních předpisů k ochraně osobních údajů (incidentů v oblasti ochrany osobních údajů).
(2) V případech
- protiprávního zpřístupnění osobních údajů třetím osobám,
- nezákonného přístupu třetích osob k osobním údajům, nebo
- v případě náhodného nebo protiprávního zničení, ztráty nebo změny osobních údajů
je nezbytné neprodleně nahlásit takovou skutečnost vedení Společnosti nebo Odpovědné osobě tak, aby Společnost mohla splnit svou ohlašovací povinnost podle čl. 33 Nařízení vůči orgánu dohledu.
(3) Společnost je povinna jakékoliv porušení zabezpečení osobních údajů bez zbytečného odkladu, a pokud možno do 72 hodin od okamžiku, kdy se o něm dozví, ohlásit dozorovému úřadu.
(4) Ohlášení incidentu musí minimálně obsahovat:
a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
b) jméno a kontaktní údaje kontaktního místa, které může poskytnout bližší informace;
c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
d) popis přijatých nebo navržených opatření s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
4.4. Zpracovatelé osobních údajů
(1) Pokud bude zpracováním osobních údajů shromažďovaných Společností pověřen externí subjekt, má postavení zpracovatele (např. externí mzdový účetní). Se zpracovatelem musí být vždy uzavřena písemná smlouva, která bude upravovat pravidla zpracování údajů. Správce je plně odpovědný za zpracování údajů zpracovatelem. Zpracovatel může zpracovávat osobní údaje pouze v souladu s pokyny správce.
(2) V rámci smluvního vztahu se zpracovatelem je třeba zohlednit zejména tyto podmínky:
a) Zpracovatel musí být vybrán podle jeho schopnosti k zajištění nezbytných technických a organizačních ochranných opatření k zajištění ochrany osobních údajů.
b) Smlouva se uzavírá písemně. Pokyny pro zpracování údajů a odpovědnost správce a zpracovatele a dodavatele musí být zdokumentovány.
c) Dodržování požadavků na bezpečnost dat může zpracovatel prokázat, kupříkladu předložením příslušné certifikace.
d) Správce je v závislosti na riziku zpracování údajů oprávněn kdykoliv během trvání smlouvy provádět u zpracovatele kontrolu zpracování osobních údajů.
e) Zpracovatel by se měl vždy zavázat k dodržování pravidel vyplývajících z této směrnice.
V. Ochrana práv subjektů údajů a jejich realizace
(1) Každý subjekt údajů může uplatňovat níže uvedená práva. Jejich uplatnění musí být zajištěno odpovědnou osobou ve Společnosti bez zbytečného odkladu bezúplatně a nesmí vést k žádnému znevýhodnění subjektu údajů.
(2) Žádosti, kterou subjekt údajů uplatňuje svá práva, je třeba vyhovět nejpozději do jednoho měsíce, ve složitých případech, kdy požadavek nelze splnit během jednoho měsíce, správce může lhůtu prodloužit o další dva měsíce za předpokladu, že o této skutečnosti informuje subjekt údajů.
(3) Pokud nebude žádosti subjektu údajů vyhověno, je Společnost povinna podat vysvětlení z jakého důvodu a subjekt údajů poučit o jeho právu podat stížnost dozorovému orgánu.
(4) Oprávněné osoby jsou povinny ověřit totožnost osoby, která uplatňuje práva k osobním údajům tak, aby bylo jednoznačně potvrzeno, že je jednáno se subjektem údajů, kterého se týkají příslušné osobní údaje.
5.1. Právo na přístup a informace
Subjekt údajů může požádat o informace o tom, jaké osobní údaje Společnost zpracovává, odkud tyto údaje získala a za jakým účelem.
Subjekt údajů má právo získat:
- potvrzení o zpracování jeho osobních údajů;
- přístup ke svým osobním údajům, a
- další doplňující informace v rozsahu uvedeném v bodu 2.1. této směrnice
Pokud jsou osobní údaje předávány třetím osobám, musí být rovněž poskytnuta totožnost příjemce nebo kategorie příjemců.
5.2. Právo na opravu a doplnění
Pokud jsou osobní údaje nepřesné nebo neúplné, může subjekt údajů požádat o jejich opravu nebo doplnění.
Společnost v takovém případě provede opravu osobních údajů a informuje též třetí strany, kterým osobní údaje poskytla.
5.3. Právo na výmaz
Subjekt údajů má právo požádat o vymazání jeho údajů, jestliže chybí nebo pominul právní základ pro zpracování osobních údajů.
Společnost je povinna vymazat osobní údaje a zabránit jejich zpracování v těchto případech:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
- subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování;
- subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody Společnosti pro zpracování;
- osobní údaje byly zpracovány protiprávně;
- osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
Výmaz bude v případě listinných dokumentů proveden fyzickým zničením (např. skartací) dokumentu nebo anonymizací osobních údajů v dokumentu. V případě, že je osobní údaj veden v elektronické podobě, bude proveden jeho výmaz z datového úložiště tak, aby nebyla možná jeho obnova.
5.4. Právo vznést námitku
Subjekt údajů může vznést námitky proti zpracování jeho osobních údajů
- na základě oprávněného zájmu správce;
- pro direct marketing (emailing včetně profilování) - v takovém případě nebudou data dále zpracovávána a budou odstraněna;
- za účelem vědeckého/historického výzkumu a statistiky.
V případě uplatnění námitky Společnost pozastaví zpracování osobních údajů do doby rozhodnutí o námitce. Společnost je povinna prokázat oprávněnost důvodů po zpracování, které převyšují práva a svobody subjektu údajů.
To neplatí v případě námitky proti zpracování za účelem direct marketingu. V tomto případě Společnost zastaví zpracování a osobní údaje ze souboru zpracovávaných dat odstraní.
Společnost zpracování osobních údajů nezastaví pokud:
- může prokázat přesvědčivé oprávněné důvody pro zpracování, které převažují nad zájmy, právy a svobodami jednotlivce;
- zpracování je určeno k vytvoření, výkonu nebo obraně právních nároků.
5.5. Právo na omezení zpracování
Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
- subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
- subjekt údajů vznesl námitky proti zpracování na základě oprávněného zájmu správce, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů;
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
- správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků.
Společnost zajistí omezení zpracování osobních údajů jejich znepřístupněním a případně přesunem do jiného systému zpracování s omezeným přístupem, tak, aby nedocházelo k dalším operacím zpracování a osobní údaje nemohly být změněny.
Pokud bylo zpracování omezeno, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu.
Pokud Společnost rozhodne o zrušení omezení zpracování, předem upozorní na tuto skutečnost subjekt údajů.
5.6. Právo na přenositelnost
V případech osobních údajů, které poskytl Společnosti subjekt údajů na základě souhlasu nebo za účelem plnění smlouvy a jejichž zpracování je prováděno automatizovanými prostředky, má subjekt údajů právo na poskytnutí osobních údajů, které se ho týkají v běžném elektronickém formátu.
Společnost v takovém případě poskytne takové osobní údaje ve formátu CSV nebo XML na elektronickém nosiči CD-R, ve lhůtách uvedených v čl. V odst. 2.
VI. Závěrečná ustanovení
(1) Tato Směrnice je závazná pro Společnost a veškeré její zaměstnance i jiné Oprávněné osoby; zaměstnanci Společnosti i Oprávněné osoby budou s touto Směrnicí seznámeni bez zbytečného odkladu po jejím vydání. Směrnice bude zaměstnancům zpřístupněna na adrese https://flirtkontakt.cz/p/smernice_zajisteni_osobnich_udaju/. Písemný originál této Směrnice bude zaměstnancům k dispozici k nahlédnutí a pořízení kopie u vedoucího personálního oddělení.
(2) Kontrolu dodržování této směrnice zabezpečuje vedení Společnosti, které odpovídá za zpracování osobních údajů ve společnosti v souladu s Nařízením a dalšími právními předpisy. Vedení společnosti zajišťuje dodržování požadavků na ochranu osobních údajů a soukromí prostřednictvím organizačních, personálních a technických opatření. Provedení těchto opatření je odpovědností příslušných vedoucích zaměstnanců Společnosti.
(3) Vedoucí zaměstnanci zajistí, aby s touto směrnicí byli seznámeni všichni zaměstnanci ve Společnosti, jakož i další Oprávněné osoby. Zaměstnanci Společnosti i Oprávněné osoby potvrdí, že byli se Směrnicí seznámeni, a to svým vlastnoručním podpisem. Potvrzení o seznámení se Směrnicí tvoří Přílohu č. 1 této směrnice.
(4) Za zpracování, prosazení, kontrolu a revize této směrnice, jakož o za oblast ochrany osobních údajů ve Společnosti odpovídá Matěj Murín.
(5) Revize Směrnice pro nakládání s osobními údaji je provedena v případě potřeby, minimálně však jednou ročně.
(6) Tato směrnice nabývá platnosti dnem vydání a účinnosti dnem 25.5.2018.
V Liberci dne 20.5. 2018