Nakládání s osobními údaji
1. Úvodní ustanovení
Tato směrnice upravuje pravidla a postup společnosti (dále jen „Společnost“) a dalších pověřených osob při nakládání, zpracování a ochraně osobních údajů zpracovávaných v podmínkách provozu Společnosti podle zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon o ochraně osobních údajů“) a ve smyslu znění nařízení EP a Rady EU 2016/679 ze dne 27/42016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (dále jen GDPR).
Zásady ochrany
Zásady ochrany osobních údajů se vztahují jak na osobní údaje zákazníků (resp. potencionálních zákazníků) Společnosti,tak i na osoby, které osobní údaje zpracovávají na základě smlouvy uzavřené mezi nimi a Společností (dále jen „pověřené osoby“).
2. Pojmy
Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují.
Zpracováním osobních údajů se rozumí jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Shromažďováním osobních údajů se rozumí systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování.
Uchováváním osobních údajů se rozumí udržování údajů v takové podobě, která je umožňuje dále zpracovávat.
Zaměstnancem Společnosti se rozumí osoba v pracovním poměru ke Společnosti nebo pro Společnost pracující na základě dohody o pracích konaných mimo pracovní poměr.
Pověřenou osobou se rozumí osoba, která není zaměstnancem Společnosti a je oprávněna zpracovávat osobní údaje, přičemž pověřenou osobou je jednatel společnosti a osoby, které na základě smluv se Společností zpracovávají osobní údaje.
3. Zabezpečení osobních údajů
- Písemnosti a digitální záznamové nosiče, které obsahují osobní údaje, musí být zabezpečeny v uzamykatelných skříňkách či skříních, ev. trezorech v prostorách Společnosti, popřípadě na jiných místech, kde lze zajistit jejich ochranu. Uvedenou povinností jsou pověřeni zaměstnanci Společnosti a pověřené osoby.
- Osobní údaje uložené v osobních počítačích musí být zabezpečeny před volným přístupem neoprávněných osob, před změnou, zničením, ztrátou, neoprávněným zpracováním či jiným zneužitím osobních údajů.
- Zaměstnanci Společnosti, jakožto i pověřené osoby, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Tato povinnost trvá i po skončení pracovního poměru, vztahu založeného dohodami o pracích konaných mimo pracovní poměr či jiných smluv, na nichž je založena spolupráce pověřených osob a Společnosti.
4. Povinnosti zaměstnanců a pověřených osob při zpracovávání osobních údajů
Zaměstnanci jsou povinni:
- nakládat s osobními údaji pouze za účelem plnění pracovních povinností a v souladu s povinnostmi stanovenými zákonem, touto směrnicí a pokyny Společnosti jakožto zaměstnavatele;
- chránit osobní údaje před ztrátou, zničením neoprávněným zpracováním či jiným zneužitím;
nakládat s osobními údaji výlučně k plnění svých povinností a k naplnění účelu jejich zpracování; - sdělovat Společnosti informace o všech skutečnostech, které mohou mít vliv na zabezpečení a aktuálnost zpracovávaných osobních údajů.
Pokud zaměstnanec poruší některou z povinností uvedenou v tomto bodě, odpovídá zaměstnavateli za škodu dle § 250 zákona č. 262/2006 Sb., zákoník práce, v platném znění (dále jen „zákoník práce“).
Pověřené osoby jsou povinny:
- nakládat s osobními údaji pouze za účelem povinností vyplývajících ze smluvního vztahu se Společností a v souladu s povinnostmi stanovenými zákonem, touto směrnicí a pokyny Společnosti;
- chránit osobní údaje před ztrátou, zničením neoprávněným zpracováním či jiným zneužitím;
- nakládat s osobními údaji výlučně k plnění svých povinností a k naplnění účelu jejich zpracování,
- sdělovat Společnosti informace o všech skutečnostech, které mohou mít vliv na zabezpečení a aktuálnost zpracovávaných osobních údajů.
V případě porušení některé z těchto povinností odpovídá pověřená osoba Společnosti za újmu tím vzniklou.
Je-li pověřenou osobou osoba, která při plnění úkolů pro Společnost nebo při poskytování služeb pro Společnost, využívá třetích osob, je povinna veškerými povinnostmi vyplývajícími z této směrnice zavázat tyto třetí osoby a zavázat je k ochraně osobních údajů. V opačném případě odpovídá za veškerou újmu vzniklou porušením této povinnosti.
5. Kontrola dodržování povinností vyplývajících z této směrnice
Vedoucí zaměstnanci jsou povinni zajistit kontrolu plnění povinností vyplývajících z ustanovení této směrnice.
Porušení povinností zaměstnanců vyplývajících z této směrnice se považuje za závažné porušení povinností vyplývajících z právních předpisů vztahujících se k zaměstnancem vykonávané práci a může být důvodem k výpovědi z pracovního poměru dle § 52 písm. g) zákoníku práce.