Informace o zpracování osobních údajů
1. Hlavní povinnosti Správce osobních údajů, jeho zaměstnanců, případně dalších osob při nakládání s osobními údaji.
1.1 Každý zaměstnanec Správce osobních údajů je povinen počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných Správcem osobních údajů.
1.2 Dále je každý zaměstnanec Správce osobních údajů povinen:
– zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců a dalších osob, které Správce zpracovává,
– pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů, zneužití osobních nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost statutárnímu orgánu nebo pověřené osobě Správce osobních údajů či jinému příslušnému zaměstnanci.
1.3 Statutární orgán Správce osobních údajů je povinen
– informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji, a to bez zbytečného odkladu,
– zajistit, aby zaměstnanci Správce byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
– zajišťovat, aby zaměstnanci Správce byli podle možností a potřeb Správce osobních údajů vzděláváni nebo proškolováni o ochraně osobních údajů.
2. Při nakládání s osobními údaji se Správce, jeho zaměstnanci a další osoby řídí těmito zásadami:
– Postupovat při nakládání s osobními údaji v souladu s právními předpisy,
– S osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat,
– Zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné,
– Zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (zejména děti požívají vyšší ochrany), při ochraně oprávněných zájmů Správce osobních údajů, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu,
– Respektovat práva člověka, který je subjektem údajů, zejména práva dát a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.,
– Poskytovat při zpracování osobních údajů zvláštní ochranu dětem,
– Poskytovat informace o zpracování osobních údajů, komunikovat,
– Při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím,
– Spolupracovat s pověřencem pro ochranu osobních údajů.
3. Postupy Správce osobních údajů, jeho zaměstnanců, případně dalších osob při nakládání s osobními údaji
3.1 Správce všechny osobní údaje, se kterými nakládá a které zpracovává, a to i pro účely zasílání obchodních/hromadných/marketingových sdělení, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom Správce především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň statutárnímu orgánu nebo pověřené osobě Správce osobních údajů známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením statutárního orgánu Správce osobních údajů nebo jím pověřené osoby.
3.2 Správce zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled alespoň statutární orgán osobních údajů nebo jím pověřená osoba a pověřenec pro ochranu osobních údajů. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou Správce uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o poskytování služeb).
3.3 Správce alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zhodnocení může být provedeno dle zvyklostí Správce osobních údajů, zpravidla se učiní stručný záznam např. v zápisu z porady. Zjistí-li se, že některé postupy Správce osobních údajů jsou zastaralé, zbytečné nebo se neosvědčily, učiní Správce bezodkladně nápravu.
3.4 Každý zaměstnanec Správce osobních údajů při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokážou právo s nimi nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na statutární orgán Správce osobních údajů nebo jím určenou osobu nebo na pověřence pro ochranu osobních údajů.
3.5 Správce při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů.
3.6 Správce ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to i v součinnosti s pověřencem pro ochranu osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního zaměstnance, Správce tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše
záznam. O každém závažném incidentu Správce informuje Úřad pro ochranu osobních údajů.
3.7 Vzhledem k tomu, že Správce eviduje v podstatě údaje o zaměstnancích, které stanovují právní předpisy (zejména Zákoník práce a pracovněprávní předpisy), nemá oznamovací povinnost vůči Úřadu pro ochranu osobních údajů.
3.8 Organizační opatření k ochraně osobních údajů
3.8.1 Materiály, které obsahují osobní údaje zaměstnanců, jsou trvale uloženy v uzamykatelných skříních.
3.8.2 Při práci s elektronickou evidencí nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned (ve spolupráci se správcem sítě) změnit. Přístupy nastavuje pověřený zaměstnanec Správce osobních údajů – správce počítačové sítě, který nastavuje potřebné zabezpečení dat a počítačové sítě (dle pokynů Správce).
3.8.3 Osobní spisy zaměstnanců jsou uloženy v uzamykatelných skříních přístup k nim má statutární orgán Správce osobních údajů, jím pověřené osoby a osoby u nichž pověření pramení z pracovního zařazení.
3.8.4 Zaměstnanci mají právo seznámit se s obsahem svého osobního spisu. O tomto právu jsou zaměstnanci poučeni, zpravidla při uzavření pracovního poměru.
3.8.5 Zaměstnanci Správce neposkytují bez právního důvodu žádnou formou osobní údaje jiných zaměstnanců cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání.
3.8.6 Písemná hodnocení a posudky, která se odesílají mimo firmu nebo organizaci, např. pro potřeby soudního řízení, přijímacího řízení, zpracovávají zaměstnanci určení statutárním zástupcem Správce. Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem Správce osobních údajů a mají povinnost zachovávat mlčenlivost o dané věci.
3.8.7 Seznamy zaměstnanců se nezveřejňují, neposkytují bez vědomého souhlasu zaměstnanců jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného firmě či organizaci nebo nevyplývá-li to ze zákona.
3.8.8 V propagačních materiálech Správce osobních údajů, ve výroční zprávě či ročence Správce osobních údajů, na firemním webu apod. lze s obecným souhlasem zaměstnanců uveřejňovat výhradně textové či obrazové informace o firemních akcích. Při publikování v tisku se autor dotazuje na souhlas příslušného zaměstnance. Zaměstnanec má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkající se jeho osoby, který zveřejňovat nechce.
3.8.9 Psychologické, lékařské a jiné průzkumy a testování mezi zaměstnanci, jejichž součástí by bylo uvedení osobních údajů zaměstnance, lze provádět jen se souhlasem.
3.8.10 Pokud jsou pro vedení dokumentace využívány formuláře a software, je nutné provést kontrolu, zda nepožadují či nenabízejí evidenci nadbytečných údajů a tyto údaje nezpracovávat.
3.8.11 Ve firmě nebo organizaci se neprovozují kamerové systémy sledující prostory používané zaměstnanci Správce osobních údajů v dob jinak než ze zákonných důvodů – viz. GDPR článek 6 odstavec 1 písmeno (f).
3.8.12 Uzavírá-li Správce jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, Správce vždy a bezpodmínečně bude trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:
– přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,
– nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu Správce osobních údajů,
– zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,
– zajistit, aby se osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
– zajistit, že dodavatel bude Správci bez zbytečného odkladu nápomocen při plnění povinností Správce osobních údajů, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzultace dle čl. 36 nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje Správce,
– po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí Správci a vymaže existující kopie apod.,
– poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené Správci právními předpisy,
– umožnit kontrolu, audit či inspekci prováděné Správcem osobních údajů nebo příslušným orgánem dle právních předpisů,
– poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví Správce, součinnost potřebnou pro plnění zákonných povinností Správce osobních údajů spojených s ochranou osobních údajů, jejich zpracováním,
– poskytnuté osobní údaje chránit v souladu s právními předpisy,
– přiměřeně postupovat podle této směrnice, která je přílohou smlouvy.
4. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů.
4.1 Správce nakládá a zpracovává pouze osobní údaje, které:
– souvisejí s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků, se sociálním, a zdravotním pojištěním (např. dosažené vzdělání, délka praxe, funkční zařazení apod.),
– souvisejí s jednoznačnou identifikací zákonných zástupců zaměstnanců v souladu se zákonem (jméno, příjmení, bydliště, kontakt, např. telefonní číslo pro případ nutného kontaktu Správce osobních údajů s rodinným příslušníkem v rámci ochrany zdraví, bezpečnosti a práv zaměstnance, další údaje nezbytné např. pro vydání správního rozhodnutí apod.
– související s identifikací zaměstnance ze zákona (datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, nutný zdravotní údaj apod.
– jsou nezbytné pro plnění právní povinnosti, ochranu oprávněných zájmů Správce osobních údajů nebo ve veřejném zájmu,
– k jejichž zpracování získal Správce souhlas subjektu údajů.
4.2 Osobní údaje se uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich zpracování, včetně archivace.
4.3 K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě zákona.
Do jednotlivých dokumentů Správce osobních údajů, které obsahují osobní údaje, mohou nahlížet
– do osobního spisu zaměstnance vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní úřad azpravodajské služby. Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele (§ 312 zákoníku práce),
– do spisu, vedeném ve správním řízení účastníci správního řízení, vedoucí pracovníci Správce nebo osoba, která je zmocněna s úředním spisem pracovat po dobu řízení.
Další informace ke zpracování osobních údajů, obchodnímu tajemství a povinnosti mlčenlivosti:
A. Informace o zpracování osobních údajů podle článku (13) GDPR
B. Informační memorandum