SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018
ze dne 2.5.2018
dle ustanovení čl. 28 odst. 3 a odst. 4 Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“) ze dne 2.5.2018.
Článek 1 – Úvodní ustanovení
Tato organizační směrnice, v souladu s nařízením Evropského parlamentu a Rady 2016/679/EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), upravuje způsoby nakládání s osobními údaji při jejich zpracování a používání v případech, kdy správcem osobních údajů je MamiArt s.r.o.
Článek 2 – Působnost směrnice
Tato směrnice je závazná pro všechny osoby v zaměstnaneckém či obdobném poměru k MamiArt s.r.o. a řeší nakládání s osobními údaji.
Článek 3 – Vymezení základních pojmů
Osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této
fyzické osoby.
Zvláštní kategorie osobních údajů – genetické údaje, což jsou osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.
Biometrické údaje – údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.
Údaje o zdravotním stavu – osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu. Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, o sexuálním životě nebo sexuální orientaci fyzické osoby.
Zpracování osobních údajů – zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Správce – správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
Zpracovatel – zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Souhlas – souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Článek 4 – Jmenování pověřených osob
Jednatel RNDr. Milan Anděl jmenuje ke dni 1. 5. 2018 do funkce
a) Správce osobních údajů
RNDr. Milan Anděl
e-mail: andel@mamiart.cz
telefon: 721 071 236
Článek 5 – Zpracování osobních údajů
MamiArt s.r.o. zpracovává osobní údaje subjektů údajů. Seznam agend obsahující osobní údaje je přílohou č. 1 této směrnice. Seznam obsahuje popis činností včetně odkazu na příslušný právní předpis, při nichž dochází ke zpracování osobních údajů a používaný software aplikace pro jejich automatizaci.
Osobní údaje lze zpracovávat a uchovávat za předpokladu, že:
- zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
- subjekt údajů udělil souhlas se zpracováním
Shromažďování osobních údajů může být vykonáváno pouze za účelem, pro který jsou zpracovávána.
Každý zaměstnanec, který pracuje s osobními údaji, je povinen zpracovávat pouze přesné osobní údaje, které získal v souladu s obecným nařízením o ochraně osobních údajů. Pokud zjistí, že zpracovávané osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaj opraví nebo doplní anebo zlikviduje skartováním či výmazem dat.
Při použití osobních údajů v rámci plnění pracovních úkolů jsou zaměstnanci povinni se chovat tak, aby nedošlo k porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů (způsob zabezpečení osobních údajů obsahuje Čl. 32 obecného nařízení o ochraně osobních údajů).
Za ochranu dat a osobních údajů odpovídá každý zaměstnanec, který data a osobní údaje zpracovává. Za správnou ochranu dat v rámci MamiArt s.r.o. odpovídá správce. Ten je povinen provádět kontrolní činnost a při ní ověřovat, zda s osobními údaji je nakládáno podle obecného nařízení o ochraně osobních údajů a této směrnice.
Článek 6 – Doba zpracování osobních údajů
Zpracování osobních údajů může být vykonáváno jen po nezbytně nutnou dobu. Pomine-li účel, pro který byly osobní údaje zpracovávány, zpracování musí být ukončeno. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely archivace, vědeckého či historického výzkumu a statistické.
Článek 7 – Získávání osobních údajů, informování a práva subjektu údajů
Nestanoví-li Obecné nařízení o ochraně osobních údajů nebo zvláštní zákon jinak, mohou být osobní údaje zpracovávány pouze s výslovným souhlasem subjektu údajů. V tomto případě musí být subjekt údajů srozuměn s tím, jaké osobní údaje, za jakým účelem a na jak dlouhou dobu jsou poskytovány. Souhlas subjektu údajů musí být správce schopen prokázat po celou dobu zpracování.
Subjekt údajů musí být seznámen s tím, že má právo na:
- přístup k osobním údajům
- výmaz
- opravu, resp. doplnění
- právo na omezení zpracování
- právo na přenositelnost údajů
- právo vznést námitku
- právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky tj. právo nebýt předmětem rozhodnutí s uvedenými účinky bez účasti lidského faktoru, které zahrnuje i profilování
Pokud jsou osobní údaje získávány prostřednictvím formulářů, musí každý formulář obsahovat doložku. V textu doložky musí být informace o účelu, za jakým jsou osobní údaje získávány, jakým způsobem budou využívány a prohlášení o tom, že získané osobní údaje nebudou využívány k jiným účelům. Další součástí doložky bude souhlas se zpracováním osobních údajů a seznámení s právy subjektu údajů. Souhlas musí být podepsán subjektem údajů.
Článek 8 – Zpracování pomocí zpracovatele
Pokud není možné, aby zpracování osobních údajů bylo prováděno MamiArt s.r.o., může být prováděno prostřednictvím zpracovatele (například subdodavatelem datových, IT nebo marketingových služeb) V takovém případě MamiArt s.r.o. uzavře se zpracovatelem písemnou smlouvu o zpracování osobních údajů obsahující ustanovení, za jakým účelem a na jakou dobu je uzavírána, popis technického a organizačního zabezpečení ochrany osobních údajů vč. dodržení povinností dle Čl. 32 obecného nařízení o ochraně osobních údajů.
Smlouvu po schválení MamiArt s.r.o. podepisují jednatelé společnosti.
Článek 9 – Přístup subjektu údajů k informacím
MamiArt s.r.o. vydává na žádost subjektu údajů informace, zda osobní údaje, které se ho týkají, jsou nebo nejsou zpracovávány. Pokud zpracovávány jsou, má subjekt údajů přístup k následujícím informacím:
- účely zpracování
- kategorie dotčených osobních údajů
- příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve
- třetích zemích nebo v mezinárodních organizacích
- plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby
Lhůta k vyřízení žádosti subjektu údajů je jeden měsíc od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení. Informace se subjektům údajů poskytují písemně a bezplatně.
Článek 10 – Osobní údaje v listinné podobě
Při práci s dokumenty s osobními údaji v listinné podobě musí zaměstnanci MamiArt s.r.o. dbát zvýšené opatrnosti. K dokumentům mají přístup jen ti zaměstnanci, kteří přístup k těmto dokumentům nezbytně potřebují k výkonu svých pracovních činností. Dokumenty musí být zabezpečeny proti odcizení a prohlížení nepovolanými osobami, především při ponechání bez dozoru uzamčením v prostorách MamiArt s.r.o.. Dokumenty musí být mimo pracovní
dobu ponechány v prostorách MamiArt s.r.o., které jsou pro tento účel zabezpečeny kamerovým systémem a dozorem bezpečnostní agentury.
Článek 11 – Zabezpečení informačního systému
Základním předpokladem ochrany osobních údajů je zásada, že k osobním údajům mají přístup jen zaměstnanci disponující příslušným oprávněním. Zaměstnanci MamiArt s.r.o. z toho důvodu musí ukládat veškerá data obsahující osobní údaje na zabezpečený server MamiArt s.r.o. Nastavení přístupových práv včetně jejich úrovně provádí správce.
Pokud jsou osobní údaje součástí pevných disků, musí být tyto zabezpečeny minimálně heslem při ponechání bez dozoru. Pevné disky včetně serveru musí být mimo pracovní dobu ponechány v prostorách MamiArt s.r.o., které jsou pro účel ochrany osobních údajů zabezpečeny kamerovým systémem a dozorem bezpečnostní agentury.
Pokud aplikace internetových stránek ve správě MamiArt s.r.o. a e-mailových systémů umožňuje pořizování elektronických záznamů o přístupech k osobním údajům (kdo, kdy, za jakým účelem), musí být taková funkce
v běžném provozu aktivní.
Bude-li plánovat MamiArt s.r.o. pořízení software, který bude zpracovávat osobní údaje, musí být v akvizičních podmínkách požadavek na funkci umožňující pořizování elektronických záznamů o přístupech k osobním údajům – auditní záznam. Auditní záznam obsahuje informaci o uskutečněném vyhledání informací obsahující osobní údaje a identifikaci uživatele.
Uchovávání datových nosičů obsahující osobní údaje, které již nebudou využívány, není dovoleno. Takové nosiče budou předávány vybranému externímu dodavateli, který zajistí jejich likvidaci. Vytvářet kopie datových nosičů s osobními údaji je oprávněn např. zpracovatel nebo fyzická osoba, která požaduje přenést osobní údaje k jinému subjektu.
Při ukončení pracovního poměru zaměstnance je pak na základě sdělení jednatele zrušen přístup uživatele k informačnímu systému a deaktivovány všechny jeho uživatelské účty.
Článek 12 – Předávání osobních údajů
Předávání osobních údajů dalším stranám (mimo MamiArt s.r.o.) je možné, je-li to v souladu se souhlasem subjektu údajů. O každém takovém předání musí být vyhotoven předávací protokol, který je podepsán osobou předávající, tak osobou přejímající. Obsahem protokolu jsou všechny důležité okolnosti předání – účel, právní titul, popis předávaných dat (rozsah, formát, nosič) a způsob předání. Za předávání osobních údajů je zodpovědný správce.
Článek 13 – Kontrolní činnost
Správce i pověřenec pro ochranu osobních údajů provádí namátkovou kontrolu, zda zaměstnanci MamiArt s.r.o. mají v rámci IS přístup jen k takovým agendám s osobními údaji, ke kterým mají oprávnění. Pověřenec pro ochranu osobních údajů dále monitoruje soulad s obecným nařízením o ochraně osobních údajů, za tímto účelem sbírá informace o zpracování a identifikuje procesy zpracování, analyzuje je a ověřuje jejich soulad. Pověřenec pro
ochranu osobních údajů je kontaktním místem pro styk s dozorovým úřadem. O průběhu a výsledku kontroly je proveden zápis. Za odstranění zjištěných nedostatků zodpovídá správce.
Článek 14 – Mlčenlivost
Zaměstnanci, kteří zpracovávají osobní údaje nebo k nim mají přístup, jsou povinni zachovávat mlčenlivost jak o těchto osobních údajích, tak o všech technickoorganizačních opatřeních na jejich ochranu. Tato povinnost trvá i po skončení pracovního poměru zaměstnance.
Článek 15 – Závěrečné ustanovení
Tato směrnice byla schválena dne 2.5.2018 a nabývá účinnosti dnem 24.5.2018
RNDr. Milan Anděl
jednatel společnosti