SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

GDPR

 

1    ÚVODNÍ USTANOVENÍ

1.1       Předmět

Tato směrnice stanovuje zásady při ochraně osobních údajů fyzických osob podle Nařízení Evropského parlamentu a Rady 2016/679 ze dne 27. dubna 2016, obecné nařízení na ochranu osobních údajů (dále jen “GDPR”) a podmínky, za kterých se osobní údaje zpracovávají ve společnosti ŠUDOMA STROJE s.r.o., IČ: 17376408, sídlem Svojanov 146, 569 73 Svojanov zapsané v obchodním rejstříku vedeném Krajským soudem v Hradci Králové sp. zn. C49850 (dále také jen jako „Společnost“).

1.2       Cíl

Touto směrnicí se stanovují takové postupy, které mají zajistit, aby ve Společnosti a u jejích Zpracovatelů byly zpracovávány osobní údaje v souladu s GDPR a aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změnám, zničení, ztrátám, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, nebo i k jinému zneužití.

2    POJMY A DEFINICE

 

Pro účely této směrnice platí následující definice a zkratky:

2.1           Osobní údaj jejakákoliv informace, která se týká konkrétní fyzické osoby (subjektu údajů), ať jde o identifikační a kontaktní údaje (např. jméno, příjmení, datum narození, adresa pobytu, rodné číslo, IČ/DIČ, telefonní číslo, e-mail, číslo klienta), údaje o poloze, síťový identifikátor, popisné údaje vypovídající o fyziologii člověka, informace z fotografií a kamerových záznamů, sociodemografické údaje (věk, pohlaví, rodinný stav, vzdělání, zaměstnání, příjmy a výdaje, počet dětí) nebo údaje o jeho chování a preferencích.

 

2.2           Zvláštní kategorie osobních údajů (dříve citlivé osobní údaje)jsou některé osobní údaje zvlášť rizikové z pohledu možných zásahů do garantovaných práv a svobod fyzických osob (např. údaje o zdravotním stavu, údaje vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, genetické či biometrické údaje).

 

2.3           Subjekt údajů je fyzická osoba, k níž se osobní údaje vztahují. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu.

 

2.4           Zpracování osobních údajů je jakákoliv operace nebo soustava operací, které systematicky provádí správce či zpracovatel s osobními údaji automatizovaně nebo jinými prostředky. O zpracování se jedná zejména, jsou-li údaje shromažďovány, ukládány na nosiče informací, zpřístupňovány, upravovány či pozměňovány, vyhledávány, používány, předávány, šířeny, zveřejňovány, uchovávány, vyměňovány, tříděny nebo kombinovány, blokovány a likvidovány.

 

2.5           Shromažďování osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování.

 

2.6           Uchovávání osobních údajů  je udržování údajů v takové podobě, která je umožňuje dále zpracovávat.

 

2.7           Správce je jakákoli fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

 

2.8           Zpracovatel  je každý subjekt (právnická nebo fyzická osoba), který na základě GDPR nebo pověření Správce zpracovává osobní údaje.

 

2.9           Příjemce je jakýkoli subjekt, kterému jsou osobní údaje poskytnuty (není rozhodující, zda přímo Správcem nebo Zpracovatelem na pokyn Správce).

 

2.10        ÚOOÚ  jeÚřad pro ochranu osobních údajů, kontrolní a dozorový úřad dle GDPR v ČR, se sídlem Pplk. Sochora 27, 170 00 Praha 7, web: www.uoou.cz, tel. +420234665111

 

2.11        Záznamy o činnostech zpracování osobních údajů, za které odpovídá,  je povinen vést  každý Správce

 

2.12        Pověřenec pro ochranu osobních údajů (DPO) je osoba pověřená interním auditem zpracování a ochrany osobních údajů. Dohlíží nad tím, že osobní údaje jsou zpracovány a chráněny v souladu s GDPR.

 

2.13        Analýza rizik jeposouzení zpracování osobních údajů s cílem zjistit, jak závažná rizika plynou ze zpracování pro práva a svobody fyzických osob.

 

2.14        Hlášení bezpečnostních incidentů znamená, že  Správce je dle GDPR  povinen hlásit porušení zabezpečení, integrity a ztrátu osobních údajů ÚOOÚ bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o nich dozvěděl. Z této povinnosti jsou vyloučeny pouze incidenty s nízkou rizikovostí pro subjekty osobních údajů. Správce také musí oznámit toto porušení neprodleně všem dotčeným subjektům údajů, pokud je pravděpodobné, že příslušné porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

 

3       SUBJEKTY ÚDAJŮ

 

3.1       Typickými Subjekty údajů v podmínkách Společnosti jsou:

−         fyzické osoby v zaměstnaneckém nebo obdobném vztahu ke Společnosti

−         zaměstnanci jiných zaměstnavatelů, kteří pracují na provozovnách Společnosti, resp. vstupují do objektů Společnosti

−         uchazeči o zaměstnání

−         dodavatelé Společnosti (fyzické osoby nebo zástupci právnických osob)

−         zákazníci Společnosti (fyzické osoby nebo zástupci právnických osob)

−         návštěvníci webových stránek Společnosti

−         osoby spravující informační  systémy Společnosti

−         osoby podílející se na zajištění provozu služeb pro Společnost

−         osoby zajišťující marketingové služby

 

3.2           V souvislosti s identifikací Subjektu údajů je třeba v každém konkrétním případě posoudit, jaký je účel zpracovávání (z jakého důvodu je prováděno) a zda je ke zpracovávání nutný souhlas Subjektu údajů.

 

3.3           Je nutné stanovit způsob získávání Osobních údajů od fyzických osob, zejména s ohledem na to, aby nedocházelo k využívání údajů získaných k jinému účelu, případně ke slučování údajů získaných k jiným účelům, a způsob plnění informační povinnosti Správce vůči Subjektu údajů.

 

4      ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

4.1           Účel zpracovávání

Osobní údaje lze zpracovávat pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat je k jinému účelu je možné jen tehdy, pokud k tomu dal Subjekt údajů souhlas.

 

4.2           Rozsah zpracovávaných údajů

Rozsah zpracovávaných údajů musí být stanoven tak, aby splnil svůj účel, a přitom nebyly shromažďovány a zpracovávány nadbytečné Osobní údaje.

 

4.3           Zdroje osobních údajů

Zdrojem pro zpracovávání Osobních údajů jsou primárně údaje poskytnuté Subjektem údajů (a ověřené zaměstnancem Společnosti). Jiné zdroje Osobních údajů lze využít pouze výjimečně a při splnění všech povinností stanovených GDPR.

 

 

4.4       Místo a způsob zpracovávání, opatření k ochraně osobních údajů

Místem zpracování Osobních údajů je sídlo Společnosti a její jednotlivé pobočky. Oprávněný zaměstnanec Společnosti může zahájit zpracování Osobních údajů jen za předpokladu, že jsou splněny veškeré podmínky stanovené GDPR, tj. je zejména splněna informační povinnost vůči Subjektům údajů a existuje účel a právní titul ke zpracování Osobních údajů.

 

5      PRÁVNÍ TITULY KE ZPRACOVÁNÍ

 

a)       souhlas Subjektu údajů (vč. souhlasu pro účely přímého marketingu , tj. zasílání obchodních sdělení a newsletterů)

b)       splnění smlouvy

c)       splnění právní povinnosti

d)       oprávněný zájem Správce

e)       plnění povinností a výkon pracovního práva a práva v oblasti zdravotního pojištění a sociálního zabezpečení

f)        ochrana životních zájmů Subjektů údajů

g)       preventivní nebo pracovní lékařství

h)       archivace

Společnost informuje  o zpracování  Osobních údajů „Zásadami zpracování osobních údajů“

 

6         SEZNAMY ZPRACOVANÝCH OSOBNÍCH ÚDAJŮ

6.1       Seznam zpracovávaných Osobních údajů

Celkový přehled všech kategorií Osobních údajů zpracovávaných ve Společnosti je uveden v Příloze 1.

 

6.2           Katalog zpracování Osobních údajů

Osobní údaje jsou zpracovávány ve Společnosti jako součást činnosti (resp. agendy) jednotlivých organizačních útvarů Společnosti. Činnost každého útvaru určuje účel, způsob a další parametry zpracování Osobních údajů.

7       UPLATNĚNÍ PRÁV ZE STRANY SUBJEKTŮ ÚDAJŮ

Subjekt údajů má tato práva:

 

a)       Právo na přístup k informacím a poskytnutí kopie údajů

Tímto právem je zajištěno, že v případě legitimní žádosti Subjekt údajů obdrží včas oznámení, zda Společnost zpracovává Osobní údaje a v případě potřeby obdrží informace o zpracovávaných údajích.

 

b)      Právo na výmaz

Tímto právem je zajištěno, že v případě legitimní žádosti budou Osobní údaje Subjektu údajů včas vymazána, nebo v případě jejich zveřejnění budou všichni Zpracovatelé informováni o uplatnění práva na výmaz. Právo na výmaz je uplatnitelné, pokud byl splněn důvod dle čl. 17  GDPR, zejména pokud došlo ze strany Subjektu údajů k odvolání souhlasu, na jehož základě byly údaje zpracovávány a neexistuje žádný další právní důvod zpracování. Obdobně je tomu v případě, kdy Subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování nebo byly údaje zpracovávány pro účely přímého marketingu.

 

c)       Právo vznést námitku

Právo vznést námitky zajišťuje, že ve Společnosti bude zpracování Osobních údajů zastaveno v případě legitimní žádosti v závislosti na nutnosti dalšího zpracování a v případě potřeby budou údaje vymazány nebo zablokovány.

 

d)      Právo na omezení zpracování Osobních údajů

Právo  na omezení zpracování Osobních údajů zajišťuje, že se na Osobní údaje nebudou do budoucna vztahovat žádné další operace zpracování.  Právo na omezení je uplatnitelné, pokud byl splněn důvod dle čl. 18 GDPR, zejména pokud

−         Subjekt údajů popírá přesnost osobních údajů

−         zpracování je protiprávní a Subjekt údajů odmítá výmaz

−         Správce již Osobní údaje nepotřebuje pro účely zpracování

−         Subjekt údajů vznesl námitku proti zpracování

Ve všech těchto případech má Subjekt údajů právo na to, aby Správce omezil zpracování.

 

e)       Právo na opravu Osobních údajů

Právo  na uplatnění práva Subjektu údajů na opravu Osobních údajů zajišťuje, že v případě žádosti Subjektu údajů na opravu nepřesných Osobních údajů budou tyto údaje Správcem bez zbytečného odkladu opraveny. S přihlédnutím k účelům zpracování má Subjekt údajů právo na doplnění neúplných Osobních údajů, a to i poskytnutím dodatečného prohlášení.

 

f)        Právo na přenositelnost Osobních údajů

Právo na přenositelnost Osobních údajů zajišťuje, že Subjekt údajů má za určitých podmínek právo získat Osobní údaje, které se ho týkají a jež Správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, včetně práva předat tyto údaje jinému Správci. Subjektem údajů může být toto právo uplatněno za splnění dvou podmínek, které musí nastat současně:

a) zpracování je založeno na souhlasu občana nebo na smlouvě

b) je prováděno automatizovaně.

 

8       HLÁŠENÍ BEZPEČNOSTNÍCH INCIDENTŮ

V případě vzniku bezpečnostních incidentů ve Společnosti existuje oznamovací povinnost vůči dozorovému úřadu a Subjektům údajů.

 

 9      ZPRACOVÁNÍ POMOCÍ ZPRACOVATELE

 

Ke zpracovávání Osobních údajů je možno využít externího dodavatele - Zpracovatele. Podmínkou je uzavření smlouvy o zpracovávání Osobních údajů mezi Společností a Zpracovatelem. Za uzavření smlouvy o zpracování Osobních údajů obecně odpovídá Společnost. Zpracováním Osobních údajů prostřednictvím Zpracovatele není dotčeno právo Společnosti stanovit oprávnění přístupu k Osobním údajům jak pro své zaměstnance, tak pro třetí osoby. Zpracovatel není oprávněn zpracovávat Osobní údaje k jinému účelu a jiným způsobem než smluvně dohodnutým. Stejně tak není oprávněn předávat nebo zpřístupňovat zpracovávané Osobní údaje jiným osobám než určeným Správcem.

Společnost předává Osobní údaje do nástroje Quanda Marketing Tools na rozesílání hromadných marketingových e-mailů v rozsahu jméno, příjmení, název společnosti, telefon a e-mail.

10     OBCHODNÍ SDĚLENÍ

Provádí-li se ve Společnosti zpracování Osobních údajů za účelem nabízení obchodu nebo služeb Subjektu údajů, lze pro tento účel použít jméno, příjmení, telefon a e-mail Subjektu údajů,  pokud tyto údaje byly získány v souvislosti s činností Společnosti (zákazníci a odběratelé Společnosti). Uvedené údaje nesmí být dále zpracovávány, pokud s tím Subjekt údajů vyslovil nesouhlas. Bez souhlasu Subjektu údajů nelze k uvedeným údajům přiřazovat další Osobní údaje. Za splnění této povinnosti odpovídá každý zaměstnanec, který zpracování Osobních údajů za účelem nabízení obchodu nebo služeb provádí.

11     DOBA UCHOVÁVÁNÍ OSOBNÍCH ÚDAJŮ

Osobní údaje jsou Společností zpracovávány a uchovávány po dobu trvání právního titulu, jak je uvedeno v článku 5 této směrnice.

 

12     LIKVIDACE OSOBNÍCH ÚDAJŮ

Společnost je povinna provést likvidaci Osobních údajů, jakmile pomine účel, pro který byly Osobní údaje zpracovány, nebo na základě žádosti Subjektu údajů.

 

13     PŘEDÁVÁNÍ ÚDAJŮ DO JINÝCH STÁTŮ

Údaje jsou zpracovávány výhradně v Evropské unii nebo v zemích, které zajišťují odpovídající úroveň ochrany na základě rozhodnutí Evropské komise. Společnost nepředává Osobní údaje do třetích zemí a/nebo mezinárodním organizacím.

 

 

14        ODPOVĚDNOST

14.1   Jednatel Společnosti  (nebo jím pověřená osoba)

odpovídá za:

a)       vytvoření a udržování systému ochrany Osobních údajů ve Společnosti

b)       řízení procesu ochrany Osobních údajů ve Společnosti

c)       řešení bezpečnostních incidentů

d)       vzdělávání a výchovu v oblasti ochrany Osobních údajů

 

14.2        Vedoucí zaměstnanci Společnosti

jsou povinni:

a)       stanovit účel zpracovávání Osobních údajů, rozsah zpracovávaných Osobních údajů, určit zdroje Osobních údajů (způsob získávání), místo, způsob a další okolnosti zpracovávání Osobních údajů,

b)       seznámit všechny podřízené zaměstnance s touto směrnicí a stanovit jim úkoly k naplnění této směrnice,

c)       zajistit ochranu a bezpečnost Osobních údajů v souladu s GDPR a touto směrnicí, a to od zahájení jejich zpracovávání až do chvíle, kdy jsou likvidovány,

d)       zajistit, že Osobní údaje budou shromažďovány pouze pro stanovený účel a právní titul,

e)       zajistit, že na jimi řízených pracovištích budou Osobní údaje uchovávány pouze po stanovenou dobu,

f)        zabezpečit, aby nebyly na jimi řízených pracovištích  sdružovány Osobní údaje, které byly získány s rozdílným účelem.

 

14.3        Všichni zaměstnanci

jsou povinni zejména:

a)       dodržovat pravidla stanovená touto směrnicí, úkoly a pokyny vedoucích zaměstnanců, zejména pak zpracovávat Osobní údaje pouze v souladu s účelem, ke kterému byly shromážděny a v rozsahu nezbytném pro naplnění stanoveného účelu

b)       zachovávat mlčenlivost o Osobních údajích a o bezpečnostních opatřeních k jejich ochraně; povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací

c)       v případě zjištění neoprávněného nakládání s Osobními údaji informovat svého nadřízeného nebo vedení Společnosti.

15        TECHNICKÁ A BEZPEČNOSTNÍ OPATŘENÍ K ZAJIŠTĚNÍ OCHRANY OSOBNÍCH  ÚDAJŮ

Společnost přijímá technická a organizační opatření k zajištění ochrany Osobních údajů, kterými jsou zejména:

a)       systémy technické ochrany včetně zabezpečení datových úložišť v elektronické a listinné podobě

b)       režimová opatření

c)       školení zaměstnanců

d)       kontrolní a dohledová činnost

e)       posouzení rizik

 

15.1        Systémy technické ochrany

Veškeré nosiče Osobních údajů musí být mechanicky, nebo elektronicky zabezpečeny proti neoprávněnému použití, nebo poškození. Nosiče s Osobními údaji je možné uchovávat pouze v uzamykatelných místnostech. Nosiče Osobních údajů, které obsahují citlivé údaje, je možné uchovávat pouze v uzamykatelných skříních umístěných v uzamykatelných místnostech.

Elektronické nosiče Osobních údajů, je možné uchovávat v počítači či podobném zařízení pouze:

a)       je-li přístup k takovýmto souborům chráněn heslem, a zároveň

b)       je-li přístup do HW zařízení chráněn heslem.

U automatizovaného informačním systému je nutné:

−         zajistit bezporuchový  a nepřerušený provoz zařízení výpočetní techniky

−         dodržovat zásady bezpečného používání počítačových systémů

−         zajistit kontrolu a zabezpečení přístupu k počítačovým systémům

−         zajistit ochranu nosičů Osobní údajů

−         zajistit zálohování a obnovy dat a SW vybavení počítačových systémů

−         používat antivirovou ochranu a firewall na daném PC a na VPN Společnosti.

 

15.2         Režimová opatření

Všichni zaměstnanci Společnosti, kteří manipulují s Osobními údaji v rámci výkonu práce, jsou povinni chránit nosiče Osobních údajů. Při zjištění neoprávněného nakládání s Osobními údaji jakož i při zjištění jiných porušení povinností stanovených GDPR, je osoba, která toto porušení zjistí povinna neprodleně informovat svého  vedoucího nebo vedení Společnosti.  Zpracovávané Osobní údaje jsou v případě potřeby vydávány správním orgánům a orgánům činným v trestním řízení pro účely řízení o přestupku nebo správního deliktu a trestního řízení na základě jejich odůvodněné písemné žádosti na základě záznamu o vydávání Osobních údajů oprávněným zaměstnancem. Likvidaci takto předaných záznamů provádí příjemce Osobních údajů.

 

15.3        Školení zaměstnanců

Zaměstnanci Společnosti jsou povinni se zúčastnit školení o postupech ochrany Osobních údajů v rozsahu potřebném k výkonu svých funkcí.

 

15.4        Kontrolní a dohledová činnost

Kontrolu a dohled nad zpracováním Osobních údajů provádí Pověřenec určený jednatelem Společnosti.  Pověřencem je Adéla Dospíšilová, Svojanov 146, 569 73 Svojanov, e-mail: prodej@sudomastroje.cz, tel. + 420 606 049 522.

 

Na základě zjištěných nedostatků nebo po obdržení upozornění na nedostatky je jednatel Společnosti povinen neprodleně přijmout odpovídající opatření k odstranění zjištěných nedostatků.

 

16        INFORMACE PRO NÁVŠTĚVNÍKY WEBOVÝCH STRÁNEK SPOLEČNOSTI

 

Návštěvník webových stránek Společnosti vyslovuje souhlas se zpracováním Osobních údajů zaškrtnutím souhlasu prostřednictvím internetového formuláře a potvrzuje tím současně, že se seznámil s podmínkami ochrany Osobních údajů.