Vnitřní směrnice společnosti QUIX EVENT, s.r.o. o ochraně osobních údajů
Zaměstnavatel společnost QUIX EVENT, s.r.o.
se sídlem Zelený pruh 1560/99, Braník, 140 00 Praha 4
IČ 02723832
společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze sp. zn.
C 221305
I. Účel směrnice
1. Účelem této směrnice, jako jednoho z organizačních opatření ve smyslu čl. 32 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (dále také „GDPR“), je stanovit pravidla zpracování osobních údajů zaměstnavatelem a zásady ochrany těchto údajů uplatňované na všechny informace týkající se identifikovaného nebo identifikovatelného subjektu údajů.
2. Tato směrnice dále upravuje postupy v případě porušení zabezpečení osobních údajů ve smyslu článku 33 a 34 GDPR.
II. Definice pojmů
1. GDPR – Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.
2. Osobní údaj - Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
3. Dozorový úřad – Úřad pro ochranu osobních údajů, pokud právní předpis nestanoví jinak.
4. Zaměstnavatel – společnost QUIX EVENT, s.r.o.
5. Subjekt údajů – Každá fyzická osoba, včetně osob samostatně výdělečně činných.
6. Správce – Správcem je fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
7. Zpracovatel – Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, který zpracovává osobní údaje pro správce.
8. Oprávněná osoba – Je každá osoba, včetně právnických osob, která pro zaměstnavatele vykonává takovou činnost, při které přichází do styku s osobními údaji subjektů, včetně zaměstnanců zaměstnavatele, event. členů jeho orgánů.
9. Pověřená osoba – Je oprávněná osoba pověřená zaměstnavatelem ke specifickým činnostem souvisejícím se zpracováním osobních údajů, zejména prevencí incidentů, zabezpečením zpracování osobních údajů, řešením stížností a žádostí, správou systémů a dalšími činnostmi. Kdo u zaměstnavatele zastává pozici pověřené osoby bude vždy sděleno každé oprávněné osobě, přičemž není-li taková pověřená osoba konkrétně označena, je pověřenou osobou jednatel zaměstnavatele.
10. Zaměstnanec – Fyzická osoba v pracovněprávním či jiném obdobném vztahu k zaměstnavateli.
11. Klient/zákazník (dále jen „klient“) – Osoba v právním vztahu se zaměstnavatelem, vůči níž je zaměstnavatel v postavení dodavatele.
12. Dodavatel – osoba v právním vztahu se zaměstnavatelem, vůči níž je zaměstnavatel v postavení odběratele.
13. Zpracování osobních údajů – Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
III. Zásady zpracování osobních údajů
1. Tato směrnice se vztahuje na každou oprávněnou osobu při plnění jejích povinností.
2. Osobní údaje lze zpracovávat a uchovávat za předpokladu, že:
· zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
· zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
· zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
· zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
· subjekt údajů udělil souhlas se zpracováním.
3. Jakékoli zpracování osobních údajů musí být prováděno zákonným, korektním a transparentním způsobem.
4. Osobní údaje mohou být shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.
5. Osobní údaje musí být zpracovávány pouze přiměřeně a omezeně na nezbytný rozsah ve vztahu k účelu zpracování.
6. Osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
7. Osobní údaje lze uložit ve formě umožňující identifikaci subjektu údajů pouze po nezbytně nutnou dobu pro účely, pro které jsou zpracovávány.
8. Při zpracování osobních údajů je nutno vždy náležitě zajistit zabezpečení osobních údajů pomocí technických a organizačních opatření tak, aby se zabránilo neoprávněnému či protiprávnímu zpracování, ztrátě, zničení nebo poškození osobních údajů.
9. Každá oprávněná osoba musí být s touto směrnicí seznámena a na důkaz toho, že ji řádně pochopila a nemá k ní doplňující dotazy, připojí svůj podpis na podpisový arch.
10. Zaměstnavatel vede záznam o činnostech zpracování osobních údajů.
11. Zaměstnavatel provádí kontrolu přesnosti, úplnosti a aktuálnosti osobních údajů u klientů a dodavatelů a zaměstnanců, a to vždy v přiměřené době dle povahy daných osobních údajů.
12. Pokud jde o osobní údaje zaměstnanců, bude zaměstnavatel zpracovávat osobní údaje po dobu trvání pracovní smlouvy, nebo po dobu nezbytnou k plnění archivačních povinností zaměstnavatele podle platných právních předpisů, zejména zákona č. 563/1991 Sb., o účetnictví, zákona č. 235/2004 Sb., o dani z přidané hodnoty, zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, zákona č. 499/2004 Sb., o archivnictví a spisové službě, zákona č. 262/2006 Sb., zákoník práce.
13. Pokud jde o osobní údaje zpracovávané na základě spolupráce zaměstnavatele s dodavateli či klienty, budou osobní údaje zpracovávány po dobu nezbytnou k vypořádání veškerých vztahů zaměstnavatele s dodavateli či klienty a případně po delší dobu v případě, že to je nezbytné k ochraně oprávněných zájmů zaměstnavatele plynoucích z příslušných smluv, není-li mezi zaměstnavatelem a uvedenými stranami v zájmu ochrany osobních údajů ujednáno jinak.
14. Při použití osobních údajů v rámci plnění pracovních úkolů jsou zaměstnanci povinni se chovat tak, aby nedošlo k porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních.
15. Za ochranu dat a osobních údajů odpovídá každý zaměstnanec, který data a osobní údaje zpracovává. Za jejich ochranu odpovídá též přímý nadřízený těchto zaměstnanců. Ten je povinen provádět kontrolní činnost a při ní ověřovat, zda s osobními údaji je nakládáno podle GDPR a této směrnice.
16. Zaměstnavatel zpracovává osobní údaje jak v elektronické, tak v papírové formě.
17. Zaměstnavatel zajistí pravidelná školení oprávněných osob na zásady dodržování ochrany osobních údajů ve smyslu GDPR každých 18 měsíců.
IV. Povinnosti oprávněné osoby
1. Oprávněná osoba je povinna zpracovávat osobní údaje ve vztahu k subjektu údajů korektně a zákonným způsobem. Oprávněná osoba nesmí získané informace bez pokynu zaměstnavatel předat žádné další třetí osobě, a to ani v České republice a ani do zahraničí, tj. má povinnost mlčenlivosti.
2. Oprávněná osoba je povinna při získání osobních údajů od subjektu údajů či jiné osoby informovat o tom pověřenou osobu, která za zaměstnavatele vůči subjektu údajů plní povinnosti správce či zpracovatele, není-li v této směrnici uvedeno jinak.
3. Každá oprávněná osoba smí zpracovávat osobní údaje pouze za zaměstnavatelem určeným účelem, a to pouze zaměstnavatelem určenými prostředky.
4. Oprávněná osoba je oprávněna zpracovávat osobní údaje pouze v souladu s pokyny zaměstnavatele. Oprávněná osoba smí zpracovávat pouze osobní údaje nezbytné pro plnění svých povinností vůči zaměstnavateli. Zaměstnavatel za tímto účelem zřizuje oprávněným osobám přístup výlučně k nutným evidencím osobních údajů.
5. Zjistí-li oprávněná osoba, že jsou osobní údaje jakéhokoliv subjektu údajů nepřesné, neúplné či zastaralé, ohlásí to pověřené osobě.
6. Zjistí-li oprávněná osoba, že jsou osobní údaje zpracovávány déle, než je nezbytné pro účely, pro které jsou zpracovávány, ohlásí to pověřené osobě.
7. Oprávněná osoba pracující s osobními údaji v papírové podobě je povinna tyto vždy před odchodem z pracoviště zajistit tak, aby k nim neměla přístup žádná neoprávněná osoba.
8. Oprávněná osoba pracující s osobními údaji v elektronické podobě v počítači musí vždy zajistit, aby v době její nepřítomnosti bylo nezbytné pro přístup k nim zadat přístupové heslo, které nesmí prozradit třetí osobě. Přístupové heslo musí být v pravidelných intervalech, nejméně jednou za 6 měsíců, měněno.
V. Práva subjektů údajů
1. Každý subjekt údajů je oprávněn uplatňovat u správce jeho osobních údajů svá práva týkající se ochrany jeho osobních údajů. Správce je povinen výkon těchto práv subjektu údajů umožnit. Jedná se o následující práva:
· právo na přístup k osobním údajům;
· právo na opravu osobních údajů;
· právo na výmaz osobních údajů,
· právo na omezení zpracování osobních údajů;
· právo vznést námitku proti zpracování;
· právo na přenositelnost osobních údajů;
· právo nebýt předmětem automatizovaného rozhodování, včetně profilování;
· případně též právo odvolat souhlas se zpracováním osobních údajů.
2. Oprávněná osoba, která obdržela v jakékoliv formě (písemně, telefonicky, osobně) žádost či stížnost fyzické osoby, která se týká nebo by se mohla týkat ochrany osobních údajů, zejména žádosti ve smyslu čl. 15 – 22 GDPR, oznámí tuto skutečnost pověřené osobě.
3. Pověřená osoba vyřizuje požadavky subjektů údajů v souladu s obecnými pokyny zaměstnavatele, vždy však tak, aby žádosti subjektu údajů bylo vyhověno bez zbytečného odkladu nejpozději do 1 měsíce ode dne obdržení žádosti, a aby mu byly k vyřízení jeho žádosti poskytnuty veškeré informace a v případě, že žádosti nebylo vyhověno, aby byly sděleny důvody tohoto rozhodnutí.
4. Pověřená osoba je povinna před odpovědí na požadavek ověřit identitu žádajícího subjektu údajů, a provést tak vždy přiměřeným způsobem, který zaručí dostatečnou identifikaci subjektu údajů s ohledem na formu podání, využitý komunikační prostředek a obsah žádosti subjektu údajů.
5. V případě žádosti subjektu údajů o přístup k osobním údajům poskytne příslušná pověřená osoba subjektu údajů minimálně informaci, zda osobní údaje, které se subjektu údajů týkají, jsou či nejsou zpracovávány a poskytne mu informační doložku dle GDPR.
6. Informace podle tohoto článku poskytuje společnost subjektu údajů ve stejné formě, v jaké o informace subjekt údajů požádal.
VI. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu
1. Porušením zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Může se jednat zejména o krádež nebo zničení písemně vedených informací, krádež nebo zničení elektronických médií včetně PC nebo hackerský útok.
2. Oprávněná osoba, která zjistí, že došlo k porušení zabezpečení osobních údajů je o tom povinna neprodleně informovat pověřenou osobu.
3. Jakékoli porušení zabezpečení osobních údajů zaměstnavatel, prostřednictvím svého jednatele, bez zbytečného odkladu od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
4. Ohlášení dozorovému úřadu podle tohoto článku musí přinejmenším obsahovat:
· popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
· popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
· popis opatření, která zaměstnavatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout veškeré tyto informace současně, mohou být poskytnuty postupně bez zbytečného odkladu.
5. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí zaměstnavatel toto porušení bez zbytečného odkladu subjektu údajů.
6. Zaměstnavatel prostřednictvím pověřené osoby dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření.
VII. Kontrola dodržování směrnice
1. Dohled nad dodržováním této směrnice a obecně závazných právních předpisů souvisejících s GDPR vykonává zaměstnavatel.
2. Jednatel zaměstnavatele slouží jako kontaktní osoba oprávněné osoby v otázkách bezpečnosti a ochrany osobních údajů. V případě jakýchkoli pochybností o výkladu této směrnice či rozsahu a obsahu zákonných povinností poskytuje jednatel zaměstnavatele závazný výklad, kterým jsou oprávněné osoby povinny se řídit.
VII. ZÁVĚREČNÁ USTANOVENÍ
1. Tato směrnice je nedílnou součástí komplexní soustavy vnitřních předpisů zaměstnavatele.
2. Tato směrnice byla schválena dne 6. 2. 2019 a stejným dnem nabývá účinnosti.