Směrnice č. 1/2018
Společnost K prostor.cz s.r.o. vydává tímto:
Směrnici k ochraně osobních údajů a nakládání s citlivými údaji
Základní právní normou upravující ochranu osobních údajů v naší organizaci je Zák. č. 101/2000 Sb. o ochraně osobních údajů se všemi pozdějšími dodatky a úpravami. Dalšími právními normami upravujícími ve své příslušné části tuto oblast příp. vztahujícími se k ní je Zákoník práce a nařízení EU General Data Protection Regulation.
1) Účel úpravy
Účelem vydání této směrnice je aplikace Zák. o ochraně osobních údajů v naší společnosti , tak, aby bylo dosaženo požadované ochrany údajů při jejich zpracování u: – fyzických osob- spolupracujících jako OSVČ, či jiných spolupracujících na základě smluv
– fyzických osob- klientů získaných na základě nabídek či uzavřených smluv o dílo produktů
– fyzických a právnických osob – současných či budoucích obchodních partnerů
– dalších osob, za něž organizace při své činnosti získává jejich osobní údaje (např. účastníci výherních soutěží pořádaných společností).
Společnost tyto údaje zpracovává a proto je dle zákona správcem osobních údajů. Směrnice stanovuje práva a povinnosti zaměstnanců a ost. fyzických osob při veškerém zpracování (shromažďování, evidenci) osobních údajů a to jak při ručním, tak automatizovaném zpracování. Ke zpracování osobních údajů jí se týkajících je nutný souhlas jednotlivých fyzických osob výše uvedených. Tento souhlas není nutný, pokud jsou údaje zpracovávány na základě zvláštního zákona, nebo jsou nezbytně nutné pro vstoupení fyzické osoby do jednání o smluvním vztahu či plnění uzavřené smlouvy se správcem a dále rovněž v situaci jedná-li se o oprávněně zveřejňované údaje v souladu se zvláštním zákonem. Osobní údaje, které jsou výhradně nutné pro účely zprostředkování zaměstnání, jsou uvedeny v §23 a§5 a)1. Zák. o zaměstnanosti. Os. údaje se vyskytují v organizaci buď ve formě originálních písemností (či jejich kopií), v elektronické podobě ve formě počítačové databáze a na archivních médiích (CD, FD. ..).
2) Definice používaných pojmů – správce os. údajů – tím, je dle zákona subjekt určující účel a prostředky zpracování osobních údajů, zpracování provádí a odpovídá za něj
– osobní údaj – jím je jakákoliv informace naplňující podmínku vztahu k fyzické osobě – subjektu údajů, jakýkoli údaj týkající se této osoby. Na základě tohoto údaje je subjekt přímo či nepřímo identifikován, určen (např. jméno, příjmení, číslo OP, adresa, telefon, mailová adresa). Osobní údaje jsou zpracovávány v podobě „evidence“ či „datového souboru“
– zpracovatel os. údajů – na základě zmocnění či pověření správcem za něj provádí zpracování osobních údajů (případně na základě zvláštního zákona)
– zpracování osobních údajů – jím je jakákoli operace správce či zpracovatele s osobními údaji, zejména shromažďování (získání za účelem jejich uložení pro další zpracování), ukládání na nosiče dat, uchovávání, úprava, vyhledávání, zveřejňování, likvidace
– subjekt údajů – jím je osoba, ke které se osobní údaje vztahují. V případě, kdy je vyžadován souhlas subjektu údajů, jde vždy o jednostranný právní úkon tohoto subjektu, jehož obsahem je svolení se zpracováním svých osobních údajů
– uchovávání, likvidace os. údajů – uchováváním údajů se rozumí jejich udržování v podobě umožňující další zpracování. Likvidace pak představuje jejich fyzické zničení (např. skartovačkou) či vymazání datových nosičů aj.
– anonymní údaj – je takovým údajem, který prošel procesem anonymizace a u něhož nelze zjistit subjekt údajů. V podmínkách organizace jde zejména o uveřejňování neadresných údajů o sumě pohledávek po splatnosti, věková struktura klientů uváděná ve statistických výstupech bez uvedení jednotlivých jmen a podobné souhrnné statistické údaje, které neidentifikují konkrétní osobu aj.
3) Citlivé údaje
Citlivým údajem jsou údaje vypovídající o národnostním, rasovém, etnickém původu, politických postojích, členství v odborech, náboženství, filos. přesvědčení, odsouzení za trestný čin, údaje o zdravotním stavu, sex. životě, biometrické a genetické údaje. Citlivé údaje, kdy je vyžadován písemný souhlas zaměstnance, spolupracující osoby a klienta a jsou zpracovávány v organizaci v těchto případech:
a) Údaje o trestní bezúhonnosti (vyžadovány u pokladní, dalších zaměstnanců a spolupracujících osob s hmotnou zodpovědností)
b) Podrobné údaje o zdravotním stavu, zdravotní testy, vše nad rámec běžné vstupní zdravotní prohlídky u klientů pojištěných ve všech případech pojištění osob.
Se sdělením citlivých údajů dávají zaměstnanci správci svůj písemný souhlas v uzavřené pracovní smlouvě.
Se sdělením citlivých údajů dávají klienti svůj písemný souhlas v prováděné finanční analýze za účelem nabídky a sjednání pojistné či jiné smlouvy.
4) Informační povinnost
Zejména v § 11 zákona je organizaci dána povinnost informovat subjekt údajů (zaměstnance, obch. partnera-fyz. osobu) o tom, že jsou údaje o něm správcem shromažďovány, zpracovávány, v jakém rozsahu a pro jaký účel, kdo bude údaje zpracovávat a komu mohou být zpřístupněny.
Dále je subjekt informován o svém právu přístupu ke svým os. údajům a možnosti jejich opravy, příp. podání vysvětlení ze strany správce. V zákonem stanovených případech je subjekt údajů o výše uvedených skutečnostech informován při prvním kontaktu, při němž správce a subjekt údajů vstupují do právního vztahu (při nástupu zaměstnance do zaměstnání a při navázání vztahů s fyzickými osobami za účelem nabídky či uzavření pojistné či jiné smlouvy dle činnosti správce).
5) Oznamovací povinnost
Režim Zák. o ochraně osobních údajů se na organizaci vztahuje z toho titulu, že je zpracovatelem osobních údajů (správcem) za své zaměstnance a dále v dalších případech dle b. 1). Povinnost registrovat se na Úřadu pro ochranu os. údajů, ale z tohoto titulu nemá, neboť zpracování os. údajů provádí pouze ze své povinnosti vyplývající ze zvláštních zákonů. Pokud tedy organizace provádí zpracování osobních údajů na základě zvláštních zákonů (zejména Zák. práce, zák. o soc. zabezpečení, zák. o zdr. pojištění, zák. o zaměstnanosti, zák. o služebním poměru…) a pro plnění povinností stanovených těmito zvláštními zákony, pak oznamovací povinnost nevzniká. Pokud jsou nad rámec splnění výše uvedeného účelu shromažďovány některé nadbytečné údaje, jde o porušení zákona. Oznamovací povinnost (povinnost registrovat se) má organizace v případě, že zpracovává osobní údaje nad rámec daný těmito zákony. Smyslem oznamovací povinnosti je zajistit výkon dozoru ze strany ÚOOÚ.
6) Oblasti nakládání s osobními údaji v organizaci, způsob jejich zpracování
K zpracování os. údajů dochází v organizaci našimi spolupracovníky v těchto útvarech, odborech: obchodní oddělení , účetní, právní útvar, fakturace, technologické oddělení. eK zpracování os.údajů dochází v organizaci dále spolupracujícími osobami na základě uzavřených smluv. Organizace zpracovává pouze přesné a pravdivé osobní údaje, které za tím účelem průběžně (v případě změn) ověřuje. Právo (a zároveň povinnost) přijít do styku a nakládat s osobními údaji je zde uvedeným spolupracovníkům vybraných útvarů, stanoveno v prac. náplni, v rámci jejich pracovních úkolů určených vedoucím útvaru, případně přímo jednatelem. Osobní údaje jsou předávány pouze tam, kde je to nezbytné pro plnění pracovních povinností (tzn. např. vůči nadřízenému, oprávněným externím uživatelům – FÚ, VZP, OSSZ) či povinností předávání údajů příslušným subjektům pro něž a jejím jménem je příslušná smlouva zpracovávána.
b) Osobní údaje fyzických osob v rámci smluvních vztahů
Účelem shromažďování údajů v této oblasti jsou uzavřené smlouvy o výkonu činnosti. Údaje jsou získávány formou písemných smluv. Samotnými doklady obsahujícími os. údaje pak jsou živnostenské listy, nabídky, návrhy smluv, obchodní smlouvy, výpisy z rejstříku a dalších evidencí.
Obdobně jako u spolupracovníků jsou os. údaje chráněny v oblasti vztahů s klienty, kdy k údajům v elektronické podobě je přístup prostřednictvím hesla oprávněné osoby, údaje v papírové podobě (smlouvy s obch. partnery – fyzickými osobami) jsou v uzavřených skříních s omezeným přístupem.
Veškeré elektronické údaje jsou před napadením zvenčí chráněny firewallem, antivirovou ochranou a jsou vytvářeny bezpečnostní kopie.
Ke styku s osobními údaji dochází rovněž v kanceláři při rozdělování došlé pošty, u spolupracovníků v jednotlivých odborech organizace, které nakládají s osobními údaji a rovněž při nakládání s os. údaji v elektronické podobě správcem poč. sítě. Všechny tyto osoby jsou rovněž vázány mlčenlivostí a jsou povinny při plnění svých povinností zabránit jakémukoli úniku os. údajů, s kterými přicházejí do styku.
7) Povinnosti dotčených spolupracovníků a dalších osob
Touto směrnicí jsou povinni se řídit v rámci svých pracovních povinností všichni spolupracovníci organizace a rovněž tak další osoby, které jsou k organizaci v obdobném právním vztahu (spolupracovníci na dohodu, podnikatelských subjektů na mandátní smlouvy a pod.)
V případě, že je nakládání s osobními údaji přeneseno na základě písemné smlouvy ke zpracovateli mimo organizaci (např. zpracování mezd, účetnictví, postoupení smlouvy subjektu jejímž jménem a na jejíž účet je smlouva vyhotovena), je tato organizace – zpracovatel rovněž povinna se řídit uvedeným zákonem a touto směrnicí. Ve smlouvě je definován rozsah, účel, doba platnosti smlouvy, zodpovědné osoby, technické a organizační zabezpečení ochrany os. údajů a to jak při vzájemném předávání těchto údajů, tak při jejich zpracování u dodavatele této služby – zpracovatele.
8) Ochrana osobních údajů a její ukončení
Dle výše uvedených ustanovení je ochrana os. údajů zabezpečena: u os. údajů ve fyzické podobě formou jejich uzamčení oprávněnou osobou (uzamykání kanceláří a skříní obsahujících data) a obdobně u archivovaných nosičů dat, u údajů v elektronické podobě formou přístupových hesel k jednotlivým datovým skladům. U údajů předávaných ústně formou jasně vymezených kompetencí a prac. povinností určených v prac. Náplni.
Organizace – zaměstnavatel je povinna provést likvidaci os. údajů, jakmile pomine účel, pro který byly os. údaje shromažďovány, anebo pokud o tuto likvidaci požádá zaměstnanec. Výjimkou jsou ale údaje, které organizace zpracovává na základě zvláštního zákona. Zde jsou údaje archivovány v souladu se Směrnicí k archivaci, a to odděleně od ostatních archivovaných písemností a pod samostatným uzavřením. Za likvidaci archivovaných údajů v oblasti personální zodpovídá personálního útvar, za likvidaci v oblasti mzdové zodpovídá účetní. Klient či jiná spolupracující osoba – možnost kdykoliv písemně souhlas se zpracováním odvolat.
9) Součinnost s kontrolními orgány
Pro ochranu svých zákonných práv se zaměstnanci mohou obracet přímo na ÚOOÚ s žádostí o zajištění nápravy, pokud organizace sdělila neoprávněně jinému jeho osobní údaje.
10) Předání os. údajů do jiných států
V těchto výjimečných případech je předávání prováděno dle § 27 zákona (např. v případě zaměstnávání cizích státních příslušníků při ukončení jejich prac. poměru).
Jakub Kněžek
jednatel společnosti