nebo

Ochrana osobních údajů

1.       Účel

Tato směrnice má zajistit řízené, řádné a účinné zpracování osobních údajů a jejich ochranu společnosti PANTIESKY s.r.o., IČ: 09341528, se sídlem Záběhlická 3156/65, Praha 10 – Záběhlice, 106 00, zapsané v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C vložka č. 334794, a to v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) a souvisejícími právními předpisy České republiky.

Cílem ochrany osobních údajů je zajištění bezpečného zpracování osobních údajů společnosti tak, aby bylo předcházeno jejich protiprávnímu užití, popř. aby bylo jejich protiprávní užití napraveno s minimálními dopady na soukromí subjektu údajů. Tento cíl musí být zajištěn při současném respektování předmětu podnikáni a činnosti společnosti.

Směrnice stanoví základní principy a konkrétní pravidla nakládání s osobními údaji, opatření k prevenci zneužití, zničení, ztráty a neoprávněnému přenosu, technické požadavky na elektronické systémy ke zpracování osobních údajů, pravidla pro interní kontrolní činnost v této oblasti a pravomoci a odpovědnosti konkrétních osob.

2.     Pojmy, zkratky, symboly

Citlivé údaje - osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a genetické údaje, biometrické údaje k jedinečné identifikaci fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby; citlivými údaji jsou též údaje o dávkách ionizujícího záření obdržených fyzickými osobami; citlivé údaje jsou zvláštní kategorie osobních údajů podle čl. 9 nařízení

 

DPIA - posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů podle čl. 35 nařízení

 

Identifikovatelná fyzická osoba - fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby

 

Nařízení - nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

 

Osobní údaj - veškeré informace o identifikované nebo identifikovatelné fyzické osobě, zejména určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity fyzické osoby, pokud je s jejich využitím identifikovatelná

 

Pracovník - jednatelky nebo zaměstnanec společnosti

 

Prostory společnosti - sídlo společnosti a kancelář společnosti na adrese Záběhlická 3156/65, Praha 10 – Záběhlice, 106 00

 

Předávání osobních údajů - záměrné zpřístupňování osobních údajů, zejména formou přímého poskytování (včetně poskytování informací na základě zákonů o svobodném přístupu k informacím), umožněním nahlížení do příslušných dokumentů (včetně nahlížení do spisů) nebo zveřejňováním (včetně internetových stránek)

 

Příjemce - jiná osoba, nežli pracovník společnosti, které jsou osobní údaje individuálně zpřístupňovány nebo předávány

 

Subjekt údajů - identifikovaná nebo identifikovatelná fyzická osoba

 

Titul - právní důvod zpracování osobních údajů podle čl. 6 nařízení:

  1. souhlas subjektu údajů,
  2. plnění smlouvy,
  3. plnění právní povinnosti,
  4. ochrana životně důležitých zájmů fyzické osoby,
  5. výkon veřejné moci a plnění úkolu ve veřejném zájmu,
  6. oprávněný zájem.

 

Zákon - zákon č. 110/2019 Sb., o zpracování osobních údajů

 

Zpracování - zpracování osobních údajů ve smyslu čl. 4 odst. 2 nařízení, kterým je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení

 

Zpracovatel - fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, který zpracovává osobní údaje pro společnost; zpracování nemusí být hlavním účelem činnosti zpracovatele, zpracovatelem jsou zejména osoby, které vykonávají pro společnost služby, v jejichž rámci přistupují k osobním údajům, provádí jejich změnu nebo je používají (například správci informačních systémů a poskytovatelé servisu hardwarových prostředků)

 

3.     Agendy zpracování

  • Společnost vykonává následující agendy zpracování:
    • zpracování údajů o společnících společnosti,
    • zpracování údajů o členech orgánů společnosti,
    • zpracování údajů o zaměstnancích společnosti,
    • zpracování údajů o smluvních partnerech společnosti,
    • zpracování údajů pro marketingové účely,
    • zpracování audiovizuálních záznamů a fotografií.
  • Agendy zahrnují zpracování osobních údajů v elektronické i listinné podobě.
  • Zpracování probíhá na základě titulu dle
    • čl. 6 odst. 1 písm. a) nařízení, je-li o agendu podle bodu 3.1.5. a 3.1.6.,
    • čl. 6 odst. 1 písm. b) nařízení, je-li o agendu podle bodu 3.1.3. s 3.1.4.,
    • čl. 6 odst. 1 písm. c) nařízení, je-li o agendy podle bodů 3.1.1., 3.1.2. a 3.1.3.
  • Jednatelka provádí zejména následující činnosti:
    • provádí průběžnou kontrolu souladu zpracování a souvisejících činností s nařízením, právními předpisy v oblasti ochrany údajů a touto směrnicí,
    • v případě potřeby zajistí provedení DPIA,
    • vede záznamy o činnostech zpracování,
    • spolupracuje s dozorovým orgánem,
    • je kontaktním místem pro dozorový orgán v záležitostech týkajících se zpracování a ochrany osobních údajů,
    • koordinuje činnosti zpracování a ochrany osobních údajů společnosti k zajištění jejich vzájemného souladu a souladu s nařízením, právními předpisy v oblasti ochrany údajů a s koncepcí ochrany osobních údajů,
    • zajišťuje výmaz osobních údajů, jejich předávání jinému správci a informování subjektu údajů o zpracování a ochraně osobních údajů a reakci na jiná práva subjektu údajů,
    • šetří případy zneužití, zničení, ztráty, neoprávněného přenosu a poškození osobních údajů nebo přístupu nepovolané osoby k nim a navrhuje a schvaluje nápravná opatření.

4.     Základní principy zpracování a ochrany osobních údajů

  • Osobní údaje musí být zpracovány v souladu s požadavky právních předpisů, účelem zpracování a titulem zpracování.
  • Každé zpracování musí mít účel, např. zajištění účelu, cílů a činností společnosti stanovené právními předpisy. Každé zpracování musí mít titul podle čl. 6 nařízení.
  • Osobní údaje musí být zpracovány v minimálním rozsahu, který odpovídá konkrétnímu účelu daného zpracování. Každý pracovník musí průběžně dbát o minimalizaci zpracování osobních údajů, nadbytečné osobní údaje nejsou přípustné a musí být bez zbytečného odkladu vymazány či jinak zničeny.
  • Zpracování musí být přiměřené konkrétnímu účelu daného zpracování. Nadbytečné činnosti při zpracování nejsou přípustné a musí být bez zbytečného odkladu ukončeny.
  • Osobní údaje musí být udržovány stále aktuální. Pracovníci musí zajistit aktualizaci osobních údajů, jakmile odhalí jejich neaktuálnost.
  • Osobní údaje smí být zpracovávány jen po dobu nezbytně nutnou, která odpovídá konkrétnímu účelu daného zpracování. Doba zpracování nebo způsob jejího určení jsou uvedeny v záznamech o činnostech zpracování.
  • Osobní údaje smí být předávány pouze osobám oprávněným s nimi nakládat v souladu s účelem zpracování. Každý případ předání nepovolané osobě musí být zastaven a musí být přijato opatření k získání osobních údajů zpět.
  • Osobní údaje musí být trvale zabezpečeny před zneužitím, zničením, ztrátou, neoprávněným přenosem, poškozením a přístupem nepovolané osoby.
  • Každý případ zneužití, zničení, ztráty, neoprávněného přenosu a poškození osobních údajů nebo přístupu nepovolané osoby k nim musí být prošetřen a musí být stanovena nápravná opatření.

5.     Práva a povinnosti při zpracování a ochraně osobních údajů

5.1.    Zakázané zpracování

  • Zpracování osobních údajů mimo rámec agend podle bodu 3.1 je zakázáno, nestanoví-li tato směrnice jinak.
  • Zakázaným zpracováním je zejména:
    • příjem, uchovávání a používání e-mailů mimopracovní povahy s osobními údaji v rámci poštovního účtu společnosti,
    • příjem, uchovávání a používání dokumentů mimopracovní povahy s osobními údaji v elektronické podobě v rámci datových úložišť společnosti (např. sdílený cloud, externí disky),
    • uchovávání dokumentů mimopracovní povahy s osobními údaji v listinné podobě v prostorách společnosti,
    • automatizované individuální rozhodování, včetně profilování.

5.2.   Příjem a shromažďování osobních údajů

  • Osobní údaje lze přijímat a shromažďovat pouze v přesné a správné podobě.
  • Nesprávné nebo nepřesné osobní údaje musí být vymazány či jinak zničeny, s výjimkou případů, kdy
    • je jejich přesná a správná podoba s ohledem na účel zpracování zjevná nebo dovoditelná, nebo
    • jsou bez zbytečného odkladu opraveny; k tomu pracovník požádá subjekt údajů o sdělení přesných a správných osobních údajů.
  • Osobní údaje přijaté mimo rámec agend podle bodu 3.1 musí pracovník bez zbytečného odkladu vymazat či jinak zničit. Jsou-li takové osobní údaje nezbytné pro činnost společnosti, jednatelé posoudí jejich nezbytnost a případně zahájí nové zpracování.
  • Osobní údaje přijaté v rámci agend podle bodu 3.1, jejichž zpracování není z hlediska účelu agendy nezbytné, musí pracovník bez zbytečného odkladu vymazat či jinak zničit.

5.3.   Uchovávání osobních údajů

  • Pracovníci jsou povinni uchovávat osobní údaje v přesné a správné podobě.
  • Zjistí-li pracovník, že uchovávané osobní údaje nejsou přesné nebo správné, musí zajistit jejich aktualizaci; pracovník požádá subjekt údajů o sdělení přesných a správných osobních údajů. Nelze-li zajistit aktualizaci osobních údajů, musí být vymazány či jinak zničeny.
  • Osobní údaje smí být uchovávány pouze po dobu nezbytně nutnou k dosažení účelu zpracování.
  • Dobu uchovávání osobních údajů musí stanovit pracovník ve spolupráci s jednatelkami pro konkrétní zpracování osobních údajů (např. databázi, evidenci, seznam, skupinu věcně, časově či jinak souvisejících e-mailů nebo pracovních verzí dokumentů apod.).
  • Stanovená doba uchovávání osobních údajů smí být pracovníkem změněna, vyžaduje-li to účel zpracování.
  • Pomine-li stanovená doba uchovávání osobních údajů, musí být bez zbytečného odkladu vymazány či jinak zničeny.

5.4.   Přístup k osobním údajům

  • Přístup k osobním údajům musí být omezen jen na osoby, u nichž je nezbytný s ohledem na účel zpracování.
  • Přístup pracovníků k osobním údajům je možný jen po dobu nezbytně nutnou a pouze pokud takové osobní údaje tito pracovníci potřebují k plnění svých pracovních úkolů. Taková činnost musí být vždy v souladu s účelem původního zpracování a na základě relevantního titulu. Jde-li o nové zpracování s novým účelem, musí pracovník předem oznámit tuto skutečnost jednatelkám, které posoudí, zda se jedná o nové zpracování; v dalším se případně postupuje podle bodu 5.8.
  • Každý přístup nepovolané osoby k osobním údajům musí pracovník oznámit jednatelkám.
  • Jednatelky musí o takovém přístupu sepsat zprávu, uvádějící čas a místo přístupu, příčinu a způsob přístupu, identifikační údaje pracovníka, typ zpracování a osobních údajů, počet dotčených subjektů údajů, počet dotčených záznamů osobních údajů a identifikační údaje jednatelek. Jednatelky současně posoudí, zda došlo k porušení zabezpečení osobních údajů ve smyslu bodu 6.
  • Jednatelky bez zbytečného odkladu zajistí zabránění dalšímu přístupu nepovolané osoby k osobním údajům vhodnými technickými a organizačními opatřeními.

5.5.   Předávání osobních údajů

  • Předávání osobních údajů jiným pracovníkům smí pracovník provádět, pouze pokud takové osobní údaje tito pracovníci potřebují k plnění svých pracovních úkolů. Taková činnost musí být vždy v souladu s účelem původního zpracování a na základě relevantního titulu. Jde-li o nové zpracování s novým účelem, musí pracovník předem oznámit tuto skutečnost jednatelkám, které posoudí, zda se jedná o novou agendu; v dalším se případně postupuje podle bodu 5.8.
  • V případě podle předchozího bodu musí být předávání omezeno na nezbytný rozsah osobních údajů. Jsou-li osobní údaje předávány v rámci dokumentu (např. listina, e-mail, soubor s dokumentem, tabulkou nebo prezentací) pracovník musí nadbytečné osobní údaje vymazat či jinak odstranit.
  • Předávání osobních údajů jiným osobám nežli pracovníkům společnosti, je zakázáno, nestanoví-li tato směrnice jinak.
  • Předávání osobních údajů jiným osobám nežli pracovníkům společnosti, a to včetně předávání za účelem zpracování z pověření společnosti, smí pracovník provádět, pouze v případech, kdy je tímto předáváním naplňována některá z agend, a to v souladu s jejím účelem a titulem a pouze tehdy, nelze-li účelu dosáhnout sdělením informace bez osobních údajů.
  • V případě podle předchozího bodu musí být předávání omezeno na nezbytný rozsah osobních údajů. Jsou-li osobní údaje předávány v rámci dokumentu (např. listina, e-mail, soubor s dokumentem, tabulkou nebo prezentací) pracovník musí nadbytečné osobní údaje vymazat či jinak odstranit.
  • Předávání osobních údajů jiným osobám nežli pracovníkům společnosti, musí probíhat tak, aby byl vyloučen přístup nepovolaných osob k osobním údajům, zejména doručením v uzavřené zásilce u listinné formy, u elektronické formy sdílením přes chráněný cloudový prostor nebo jiné chráněné rozhraní nebo datovou schránkou. Je-li doručováno e-mailem, musí být použito šifrování, pokud by zpřístupnění nebo únik osobních údajů znamenaly riziko pro subjekt údajů (např. možnost zneužití osobních údajů, vzniku škody nebo újmy v osobnostní sféře).
  • Předávání osobních údajů jiným osobám nežli pracovníkům společnosti, musí probíhat vůči jednoznačně identifikovaným osobám nebo jejich zástupcům, jejichž totožnost je známa nebo byla ověřena nade vši pochybnost. Předávání osobních údajů telefonicky je zakázáno, s výjimkou případů, kdy dochází pouze k ověřování správnosti osobních údajů, které jsou již adresátovi známé.
  • Předávání citlivých údajů jiným osobám nežli pracovníkům společnosti, musí být prováděno u listinné formy v zapečetěné zásilce osobním doručením do vlastních rukou pracovníkem společnosti, u elektronické formy datovou schránkou do vlastních rukou nebo šifrovaným e-mailem, nemá-li adresát datovou schránku.
  • Zveřejňování osobních údajů, včetně zveřejňování na internetových stránkách společnosti, je zakázáno, nestanoví-li tato směrnice jinak.
  • Je-li nutno zveřejnit dokument obsahující osobní údaje, musí pracovník osobní údaje z dokumentu vymazat či jinak odstranit.
  • Pracovník smí zveřejňovat osobní údaje, pouze pokud tak stanoví právní předpis (zejména informace o společnosti, v právních předpisech, informace zveřejňované podle občanského zákoníku, podle zákona o sbírkách apod.).
  • V případě podle předchozího bodu musí být zveřejňování omezeno na nezbytný rozsah osobních údajů. Jsou-li osobní údaje zveřejňovány v rámci dokumentu (např. listina, e-mail, soubor s dokumentem, tabulkou nebo prezentací) pracovník musí nadbytečné osobní údaje vymazat či jinak odstranit.

5.6.   Změny osobních údajů

  • Pracovníci jsou povinni udržovat osobní údaje aktuální, zejména správné a přesné.
  • Zjistí-li pracovník, že zpracovávané osobní údaje jsou nesprávné nebo nepřesné, a to i na žádost subjektu údajů, je povinen zajistit nápravu stavu nesprávných nebo nepřesných osobních údajů, zpravidla získáním osobních údajů od subjektu údajů (písemnou žádostí) a změnou osobních údajů.
  • V případě pochybností, zda jsou osobní údaje správné a přesné, je pracovník tuto skutečnost bez zbytečného odkladu sdělit jednatelkám.
  • Jednatelky bez zbytečného odkladu ověří správnost a přesnost osobních údajů a v případě potřeby zajistí nápravu stavu, zpravidla získáním osobních údajů od subjektu údajů a změnou osobních údajů.
  • Nesprávné nebo nepřesné osobní údaje musí být vymazány či jinak zničeny, s výjimkou případů, kdy
    • je jejich přesná a správná podoba s ohledem na účel zpracování zjevná nebo dovoditelná, nebo
    • jsou bez zbytečného odkladu opraveny; k tomu pracovník požádá subjekt údajů o sdělení přesných a správných osobních údajů.
  • Změny osobních údajů musí být prováděny transparentně, zpravidla tak, aby bylo provedení změny doložitelné. Hrozí-li změnou osobních údajů riziko pro subjekt údajů nebo je pravděpodobné, že informace o nesprávných nebo nepřesných osobních údajích nebo o změně bude potřebná pro budoucí výkon agend nebo pro dozorový orgán, pracovník je povinen učinit o změně písemný záznam (čas, místo, rozsah změny a kategorie osobních údajů).
  • Je-li změna, včetně opravy, prováděna na žádost subjektu údajů, pracovník je povinen o takové žádosti bez zbytečného odkladu, nejpozději do 5 pracovních dnů, po jejím obdržení informovat jednatelky. Jednatelky o provedené změně písemně informuje subjekt údajů bez zbytečného odkladu po jejím provedení. Nebyla-li změna na žádost provedena, jednatelky písemně informují subjekt údajů do 1 měsíce po obdržení žádosti o důvodech neprovedení a právu podat stížnost u dozorového orgánu a požádat o soudní ochranu.

5.7.   Výmaz či jiné zničení osobních údajů

  • Uplyne-li stanovená doba uchovávání, osobní údaje musí být pracovníkem vymazány či jinak zničeny.
  • Pracovníci jsou povinni průběžně vymazávat pracovní verze dokumentů s osobními údaji v elektronické podobě uložené v pracovních mobilních telefonech, v pracovních stanicích, na svých datových úložištích a v e-mailových schránkách, jakmile pomine potřeba jejich použití daná účelem zpracování.
  • Pracovníci jsou povinni průběžně ničit pracovní verze dokumentů s osobními údaji v listinné podobě uložené v kancelářích, jakmile pomine potřeba jejich použití daná účelem zpracování. Zničení musí probíhat tak, aby osobní údaje nebylo možné rekonstruovat (např. znečitelněním osobních údajů a zničením dokumentu pomocí skartovačky).
  • Osobní údaje v elektronické podobě uchovávané automatizovaně v tiskových a obdobných zařízeních musí být vymazány pravidelně tak, aby k osobním údajům neměly přístup nepovolané osoby, např. poskytovatelé servisních a opravárenských služeb.
  • Žádost subjektu údajů o výmaz osobních údajů musí být předána bez zbytečného odkladu, nejpozději do 5 pracovních dnů, po jejím obdržení k vyřízení jednatelkám.
  • Jednatelky posoudí, zda je žádost o výmaz oprávněná v souladu s čl. 17 nařízení a dále, je-li žádost o výmaz oprávněná, jednatelky zajistí vyhledání a výmaz či jiné zničení osobních údajů a o provedeném výmazu písemně informuje subjekt údajů bez zbytečného odkladu po jeho provedení.
  • Nebyl-li výmaz na žádost proveden, jednatelky písemně informuje subjekt údajů do 1 měsíce po obdržení žádosti o důvodech neprovedení a právu podat stížnost u dozorového orgánu a požádat o soudní ochranu.

5.8.   Nové zpracování

  • Nové zpracování musí mít jednoznačný účel, vycházející z právních předpisů nebo z potřeb zajištění činností společnosti.
  • Nové zpracování musí mít jednoznačný titul; pokud je titulem souhlas subjektu údajů, postupuje se podle bodu 10.
  • Zjistí-li pracovník, že je nutno pro plnění právních předpisů nebo zajištění činností společnosti zahájit nové zpracování, oznámí tuto skutečnost bez zbytečného odkladu jednatelkám dříve, než takové zpracování zahájí.
  • Jednatelky provedou analýzu inherentních rizik nového zpracování a DPIA, je-li to nutné.
  • Jednatelky prověří zabezpečení osobních údajů nového zpracování a případně navrhne opatření k jeho zajištění. Jednatelky rozhodnou o opatřeních k zajištění zabezpečení osobních údajů nového zpracování, při čemž přihlíží ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob. Jednatelky dohlíží nad zajištěním provedení opatření.
  • Jednatelky učiní záznam o činnostech zpracování.
  • Nové zpracování vyžaduje informování subjektu údajů podle bodu 9.3.
  • Při změně účelu zpracování se postupuje přiměřeně jako u nového zpracování.

5.9.   Omezení zpracování

  • Pokud subjekt údajů požádá o omezení zpracování podle čl. 18 nařízení, žádost je bez zbytečného odkladu předána jednatelkám.
  • Jednatelky posoudí, zda je žádost o omezení zpracování oprávněná v souladu s čl. 18 nařízení a dále, je-li žádost o omezení zpracování oprávněná zajistí omezení zpracování osobních údajů.
  • Jednatelky stanoví dobu omezení zpracování. Při tom vychází ze žádosti subjektu údajů nebo z jeho dodatečného vyjádření v této věci, které si písemně vyžádá.
  • Jednatelky o provedeném omezení zpracování písemně informují subjekt údajů bez zbytečného odkladu po jeho provedení. Nebylo-li omezení zpracování na žádost provedeno, jednatelky písemně informují subjekt údajů do 1 měsíce po obdržení žádosti o důvodech neprovedení a právu podat stížnost u dozorového orgánu a požádat o soudní ochranu.
  • Je zakázáno zpracovávat osobní údaje, u nichž bylo provedeno omezení zpracování, jinak, nežli jejich uchováváním a zálohováním.
  • Osobní údaje, u nichž bylo provedeno omezení zpracování, lze výjimečně zpracovávat pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu. O takovém zpracovávání rozhodnou jednatelky.
  • Jednatelky vedou seznam omezených zpracování.
  • Jednatelky písemně informují subjekt údajů o tom, že omezení zpracování bude zrušeno, a to nejméně 15 dnů před uplynutím stanovené doby omezení zpracování.

5.10. Oznamovací povinnost ohledně změny nebo výmazu osobních údajů nebo omezení zpracování

  • Pokud dojde ke změně nebo výmazu osobních údajů nebo omezení zpracování v případě, kdy byly osobní údaje individuálně zpřístupňovány nebo předávány příjemci, pracovník oznámí tuto skutečnost jednatelkám.
  • Jednatelky posoudí, zda je možné nebo z hlediska přiměřenosti vyžadovaného úsilí vhodné informovat příjemce o změně nebo výmazu osobních údajů nebo omezení zpracování. Jsou-li splněny tyto podmínky, jednatelky bez zbytečného odkladu zajistí informování příjemce v rozsahu: čas, místo, rozsah změny, výmazu nebo omezení zpracování a kategorie osobních údajů.
  • Informace o příjemcích musí jednatelky bez zbytečného odkladu sdělit subjektu údajů, pokud o to požádal.

6.     Zabezpečení osobních údajů

6.1.    Obecné principy

  • Zpracování a ochranu osobních údajů společností, včetně přístupu k nim, smí pracovníci provádět, pouze pokud to plyne z jejich pracovní náplně, pracovního zařazení nebo rozhodnutí orgánů společnosti.
  • Osobní údaje musí být soustavně zabezpečeny tak, aby bylo zabráněno jejich zneužití, zničení, ztrátě, neoprávněnému přenosu, poškození a přístupu nepovolané osoby.
  • Pracovníci musí vyvinout veškeré rozumně dosažitelné úsilí, aby bylo předcházeno a zabráněno porušení zabezpečení osobních údajů.
  • Každý případ porušení zabezpečení osobních údajů musí být bez zbytečného odkladu hlášen jednatelkám.
  • Jednatelky zajistí provedení testu a hodnocení účinnosti zabezpečení. Na základě jejich výsledků přijme opatření ke zvýšení úrovně zabezpečení, jsou-li vzhledem k riziku pro subjekt údajů a agendu zpracování nutná.

6.2.   Zabezpečení osobních údajů v listinné podobě

  • Zpracování osobních údajů v listinné podobě musí probíhat prostorově soustředěně, v místě určeném pracovníkem s vědomím jednatelek, není-li to vyloučeno povahou osobních údajů, povahou zpracování nebo účelem zpracování.
  • Zpracování osobních údajů v listinné podobě musí probíhat v budovách a místnostech s řízeným vstupem (zejména zámky nebo jiná zabezpečovací opatření, s omezeným počtem individuálně určených osob oprávněných ke vstupu).
  • Pokud nejsou používány, osobní údaje v listinné podobě musí být uchovávány v uzamčeném prostoru (např. místnosti nebo skříni). Klíč k tomuto prostoru musí být pod soustavnou kontrolou pracovníka společnosti.
  • Používané osobní údaje v listinné podobě, včetně pracovních kopií listin, musí být pod soustavnou kontrolou pracovníka společnosti. Nelze-li soustavnou kontrolu zajistit, používá pracovník anonymizované kopie listin.
  • Citlivé údaje v listinné podobě musí být zpracovávány v uzamčené místnosti s řízeným přístupem, výlučně pracovníkem stanoveným rozhodnutím jednatelek. Vstup jiných osob do této místnosti je možný jen v doprovodu určeného pracovníka, a to včetně provádění údržby nebo úklidu. O každém vstupu do této místnosti musí být učiněn záznam (datum, čas, identifikace určeného pracovníka a jiné osoby, doba trvání zpracování, účel, podpis).
  • Citlivé údaje v listinné podobě musí být uchovávány v místnosti podle předchozího bodu v uzamčeném zařízení s bezpečnostním zámkem.
  • Používané citlivé údaje v listinné podobě musí být pod soustavnou kontrolou určeného pracovníka. Pořizování pracovních kopií citlivých údajů v listinné podobě je zakázáno.

 

6.3.   Zabezpečení osobních údajů v elektronické podobě

  • Zabezpečení osobních údajů v elektronické podobě musí být zajištěno soustavnou a aktuální antivirovou ochranou všech zařízení a systémů obsahujících osobní údaje ve správě společnosti, chráněným přístupem k osobním údajům s heslem, a to do zařízení i do systémů.
  • Systém přístupových hesel je řízený a průběžně kontrolován jednatelkami.

6.4.   Řešení bezpečnostních incidentů

  • Dojde-li k porušení zabezpečení, včetně úniku z informačních systémů nebo blokování osobních údajů nebo dokumentů s nimi v elektronické podobě (např. dočasná ztráta dostupnosti v důsledku ransomware), pracovník musí o této skutečnosti bez zbytečného odkladu informovat jednatelky.
  • Pracovník je povinen bez zbytečného odkladu po zjištění porušení zabezpečení přijmout nezbytné kroky k obnovení zabezpečení, a to ve spolupráci s jednatelkami, zejména
    • prověřit funkčnost technických opatření zabezpečení (např. zámky, dveře, detekce vstupu, hesla),
    • obnovit funkčnost technických opatření zabezpečení (např. zajištěním opravy, opětovným zapnutím) a
    • obnovit zpracování v režimu zabezpečení osobních údajů před porušením zabezpečení.
  • Pokud byly osobní údaje v důsledku porušení zabezpečení přemístěny, předány nebo blokovány, jednatelky ve spolupráci s pracovníkem zajistí jejich získání zpět a obnovení zpracování v původním rozsahu a původním způsobem.
  • Pokud byly osobní údaje v důsledku porušení zabezpečení změněny nebo vymazány, jednatelky ve spolupráci s pracovníkem zajistí jejich aktualizaci nebo doplnění a obnovení zpracování v původním rozsahu a původním způsobem.
  • Jednatelky musí provést bez zbytečného odkladu po zjištění porušení zabezpečení šetření tohoto porušení, v jehož rámci
    • určí míru rizika pro práva a svobody fyzických osob (mizivé, běžné, vysoké),
    • naleznou příčinu porušení zabezpečení,
    • odhalí následky porušení zabezpečení a nakládání s osobními údaji, jejichž zabezpečení bylo porušeno, včetně způsobené újmy, zejména pro subjekt údajů a agendy zpracování společnosti,
    • prověří účinnost systému zabezpečení, s ohledem na nálezy dle předchozích bodů,
    • přijme opatření k nápravě a předcházení obdobných porušení zabezpečení a
    • učiní o šetření porušení zabezpečení záznam.
  • Jednatelky musí provést bez zbytečného odkladu po oznámení porušení zabezpečení zpracovatelem šetření podle bodu 6.4.5.
  • Újmu vzniklou v důsledku porušení zabezpečení řeší jednatelky tak, aby byla bez zbytečného odkladu napravena.

6.5.   Ohlašování a oznamování porušení zabezpečení

  • Pokud porušení zabezpečení představuje běžné riziko pro práva a svobody fyzických osob, jednatelky musí do 72 hodin ohlásit porušení zabezpečení dozorovému orgánu.
  • Ohlášení musí obsahovat
    • popis povahy daného případu porušení zabezpečení včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
    • jméno/a a kontaktní údaje jednatelek nebo jiného kontaktního místa, které může poskytnout bližší informace,
    • popis pravděpodobných následků porušení zabezpečení a
    • popis opatření k nápravě a předcházení obdobných porušení zabezpečení.
  • Není-li možné poskytnout informace současně, jednatelky je poskytnou postupně bez dalšího zbytečného odkladu.
  • Pokud porušení zabezpečení představuje vysoké riziko pro práva a svobody fyzických osob, jednatelky musí bez zbytečného odkladu oznámit porušení zabezpečení subjektu údajů.
  • Obsah oznámení je obdobný obsahu ohlášení podle bodu 6.5.2.

7.      Záznamy o činnostech zpracování

  • Jednatelky musí provést písemný záznam o činnostech zpracování vždy, když
    • je prováděno nové zpracování, nebo
    • dochází ke změně zpracování; v takovém případě musí být záznam o činnostech zpracování proveden bez zbytečného odkladu po provedení změny.
  • Záznam o činnostech zpracování musí obsahovat
    • název a kontaktní údaje společnosti a jméno a příjmení jednatelky,
    • účely zpracování,
    • popis kategorií subjektů údajů a kategorií osobních údajů,
    • kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny a předány, včetně příjemců ve třetích zemích nebo mezinárodních organizacích,
    • informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace,
    • je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů, a
    • je-li to možné, obecný popis technických a organizačních opatření zabezpečení osobních údajů.
  • Záznam o činnostech zpracování uchovávají jednatelky.
  • Jednatelky musí bez zbytečného odkladu poskytnout záznamy o činnostech zpracování na požádání dozorovému orgánu.
  • Vzor záznamu o činnostech zpracování stanoví příloha této směrnice.

8.     DPIA

  • Jednatelky musí provést analýzu inherentních rizik vždy
    • před zahájením nového zpracování, nebo
    • před provedením změny zpracování, která by mohla zvýšit riziko zpracování pro subjekt údajů.
  • Analýza inherentních rizik musí posoudit, zda zpracování představuje některé z následujících rizikových kritérií:
    • hodnocení včetně bodování, profilování, lokalizace a predikce chování,
    • automatizované rozhodování s právním nebo podobně závažným dopadem,
    • systematické monitorování a pozorování včetně veřejně přístupných prostor s nemožností vyhnout se zpracování údajů,
    • zpracování citlivých údajů včetně údajů o elektronické komunikaci, finančních údajů nebo citlivých údajů vysoce osobní povahy nebo domácích aktivit,
    • rozsáhlé zpracování z hlediska počtu osob, objemu dat a rozsahu datových položek, doby trvání a geografického rozšíření,
    • sdružování, kombinování nebo porovnání osobních údajů z více zpracování pro různé účely nebo různými rozumně nepředpokládatelnými správci,
    • zpracování údajů zranitelných osob, které jsou v nerovnováze moci vůči správci údajů a odmítnutí by jim způsobilo vážné problémy (například zaměstnanec vůči zaměstnavateli, děti),
    • inovativní využití technologií nebo nových technologických řešení s novými formami zpracování osobních údajů,
    • zpracování zabraňující osobám uplatnit některé ze svých práv nebo využívat službu nebo smlouvu, nebo
    • předání osobních údajů přes hranice mimo území EU.
  • Kritéria jsou považována za splněná v závislosti na tom, zda jsou plněna primárně nebo sekundárně. Primárnost a sekundárnost je posuzována z hlediska relevance naplnění takového rizika a míry shody s jeho charakteristikami; sekundární kritéria připadají v úvahu zpravidla jen při širším výkladu požadavku nařízení a při velmi konzervativním posuzování rizik; sekundární plnění kritéria neodpovídá závažnosti primárního plnění kritéria.
  • Jsou-li naplněna dvě kritéria, je možné (ovšem nikoli výlučně) vysoké riziko zpracování pro subjekt údajů. Jsou-li naplněna kritéria v méně závažném rozsahu, jde o běžné riziko.
  • Jednatelky vyhotoví o analýze inherentních rizik záznam.
  • Pokud zpracování představuje vysoké riziko pro subjekt údajů, jednatelky musí provést DPIA. DPIA nemusí být provedeno, pokud je zpracování založeno právními předpisy a DPIA bylo provedeno v rámci přípravy těchto právních předpisů.
  • Před provedením DPIA jednatelky písemně požádají o stanovisko subjekt údajů zamýšleného zpracování. Stanovisko subjektu údajů musí být zohledněno v DPIA, nebrání-li tomu účel zpracování.
  • DPIA zahrnuje
    • systematický popis zamýšlených operací zpracování a účely zpracování, včetně oprávněných zájmů společnosti,
    • posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů,
    • posouzení rizik pro práva a svobody subjektů údajů a
    • plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.
  • Jednatelky vyhotoví o DPIA zprávu.
  • Pokud z DPIA vyplývá, že zpracování představuje vysoké riziko pro subjekt údajů, jestliže by společnost nepřijala opatření k řešení tohoto rizika, jednatelky před zahájením nebo změnou zpracování provedou konzultace s dozorovým orgánem.

9.     Zvláštní práva subjektu údajů

9.1.    Vyřizování žádostí subjektu údajů

  • Subjekt údajů má právo podat žádost o
    • přístup k osobním údajům; při vyřizování této žádosti se postupuje podle bodu 9.2,
    • opravu nepřesných osobních údajů; při vyřizování této žádosti se postupuje podle bodu 5.6,
    • výmaz („právo být zapomenut“); při vyřizování této žádosti se postupuje podle bodu 5.7,
    • omezení zpracování; při vyřizování této žádosti se postupuje podle bodu 5.9,
    • informace o příjemcích osobních údajů, kterým byly oznámeny oprava, výmaz nebo omezení zpracování; při vyřizování této žádosti se postupuje podle bodu 5.10,
    • přenos osobních údajů; při vyřizování této žádosti se postupuje podle bodu 9.4,
    • prokázání důvodů zpracování na základě námitky; při vyřizování této žádosti se postupuje podle bodu 9.5, a
    • informování o opatřeních podle předchozích bodů; při vyřizování této žádosti se postupuje podle bodu 9.3.
  • Žádost subjektu údajů musí být bez zbytečného odkladu předána jednatelkám.
  • Jednatelky musí posoudit, zda je žádost právně přípustná a dále
    • zajistí vyhovění žádosti postupem stanoveným touto směrnicí, pokud je alespoň zčásti právně přípustná, nebo
    • zamítnou žádost, pokud není právně přípustná.
  • Je-li žádost subjektu údajů zjevně věcně nedůvodná nebo nepřiměřená, zejména protože se opakuje, jednatelky
    • uloží přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů, nebo
    • odmítnou žádosti vyhovět.
  • Pokud mají jednatelky důvodné pochybnosti o totožnosti fyzické osoby, která podává žádost, musí požádat o poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu údajů.
  • Pokud není žádosti vyhověno, jednatelky písemně informují bez zbytečného odkladu, nejpozději do jednoho měsíce, od přijetí žádosti subjekt údajů o důvodech a o možnosti podat stížnost u dozorového orgánu a žádat o soudní ochranu.

9.2.   Přístup subjektu údajů k osobním údajům

  • Žádost subjektu údajů o potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, musí být předána bez zbytečného odkladu jednatelkám.
  • Jednatelky ve spolupráci s příslušnými pracovníky zajistí vyhledání osobních údajů žádajícího subjektu údajů, zejména v informačních systémech, v e-mailech, na serverech, v datových zálohách, v pracovních stanicích a mobilních telefonech a v listinných dokumentech.
  • Pokud jsou osobní údaje žádajícího subjektu údajů nalezeny,
    • jednatelky ve spolupráci s příslušným pracovníkem zajistí vytvoření jejich kopie; pokud kopie obsahují osobní údaje jiných subjektů údajů, musí být anonymizovány, a
    • jednatelky vyhotoví písemné potvrzení o zpracování, které musí obsahovat následující informace:
      • účely zpracování,
      • kategorie dotčených osobních údajů,
      • příjemce nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny nebo předávány, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích,
      • plánovaná doba, po kterou budou osobní údaje uchovávány, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby,
      • existence práva požadovat od společnosti opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování nebo vznést námitku proti tomuto zpracování,
      • právo podat stížnost u dozorového orgánu,
      • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
      • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování a informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů a
      • pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, informace o vhodných zárukách, které se vztahují na předání.
    • Pokud nejsou osobní údaje žádajícího subjektu údajů nalezeny, jednatelky vyhotoví písemné potvrzení o neexistenci zpracování.
    • Jednatelky musí zajistit odeslání kopie osobních údajů, jsou-li zpracovávány, v opačném případě odeslání potvrzení subjektu údajů.

9.3.   Informování subjektu údajů

  • Zřizuje se samostatná odkaz na internetových stránkách, pod nímž lze najít informace o zpracování a ochraně osobních údajů zpracovávaných společností, a sice přinejmenším v tomto rozsahu:
    • informace o společnosti a kontaktní údaje, informace o orgánech a kontaktní údaje na ně,
    • obecné informace o
      • kategoriích osobních údajů,
      • kategoriích subjektů údajů,
      • agendách zpracování,
      • účelech zpracování,
      • titulech zpracování,
      • případných kategoriích příjemců osobních údajů,
      • případných úmyslech předat osobní údaje do třetí země nebo mezinárodní organizaci,
      • existenci práva na přístup k osobním údajům, jejich opravu nebo výmaz, omezení zpracování,
      • existenci práva vznést námitku proti zpracování
      • existenci práva na přenos osobních údajů,
      • existenci práva odvolat kdykoli souhlas, pokud je souhlas titulem zpracování a
      • existenci práva podat stížnost u dozorového orgánu.
    • Pokud je zahájeno zpracování nových osobních údajů již známého subjektu údajů nebo nové zpracování osobních údajů dosud neznámého subjektu údajů, nebo je zahájeno zpracování pro jiný účel, příslušný pracovník je povinen sdělit subjektu údajů písemně následující informace:
      • jsou-li osobní údaje získány od subjektu údajů
        • účel zpracování,
        • titul zpracování,
        • případné kategorie příjemců osobních údajů a
        • případný úmysl předat osobní údaje do třetí země nebo mezinárodní organizaci,
        • doba uchovávání osobních údajů nebo kritéria pro její stanovení, nelze-li v této chvíli určit a
        • skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů,
      • nejsou-li osobní údaje získány od subjektu údajů
        • informace podle bodu 9.3.2.1,
        • kategorie dotčených osobních údajů a
        • zdroj, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů.
      • Informace musí být sděleny subjektu údajů bez zbytečného prodlení, nejpozději do jednoho měsíce, po získání osobních údajů nebo současně s první komunikací se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace (například první oslovení budoucího smluvního partnera, jehož osobní údaje byly získány z veřejně dostupných zdrojů).
      • Informace nejsou zasílány, pokud jsou osobní údaje získány na základě právního předpisu, plnění povinností v oblasti rozpočtové, účetní a daňové a uzavírání smluv, plnění povinností v oblasti pracovního práva.
      • Jednatelky poskytnou na žádost subjektu údajů informace o opatřeních provedených na základě jeho žádostí podle bodu 9.1.1 bez zbytečného odkladu, nejpozději do jednoho měsíce, od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. O takovém prodloužení musí být subjekt údajů informován do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.

9.4.   Přenos osobních údajů

  • Žádost subjektu údajů o předání jím poskytnutých osobních údajů ve strukturovaném, běžně používaném a strojově čitelném formátu jemu samému vyřídí jednatelky vyhledáním osobních údajů, vytvořením souboru s osobními údaji ve formátu PDF/A nebo XML a předáním souboru s osobními údaji subjektu údajů.
  • Při vyřizování žádosti subjektu údajů o předání jím poskytnutých osobních údajů ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správci se postupuje obdobně.

9.5.   Vyřizování námitek subjektu údajů proti zpracování

  • Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se jej týkají, jehož titulem je čl. 6 odst. 1 písm. f) nařízení, kterým jsou oprávněné zájmy společnosti nebo třetí strany.
  • Podnět subjektu údajů označený jako námitka nebo z jehož obsahu plyne, že by mohl být námitkou, musí být bez zbytečného odkladu předán jednatelkám.
  • Jednatelky ve spolupráci s příslušným pracovníkem zajistí přerušení zpracování osobních údajů, zejména vyhledáním osobních údajů a vydáním pokynu pracovníkům společnosti, aby se bez zbytečného prodlení zdrželi používání, kopírování, předávání, změn nebo zpřístupňování osobních údajů.
  • Jednatelky ve spolupráci s určeným pracovníkem shromáždí informace o účelu, titulu a rozsahu a způsobech zpracování a o rizicích zpracování pro subjekt údajů.
  • Jednatelky zajistí provedení analýzy informací podle předchozího bodu, s cílem stanovit důvody zpracování a jejich závažnost.
  • Na základě výsledků analýzy jednatelky určí, zda důvody pro zpracování převažují nad zájmy nebo právy a svobodami subjektu údajů nebo zda je zpracování nezbytné pro určení, výkon nebo obhajobu právních nároků.
  • O provedeném postupu a jeho výsledcích vyhotoví jednatelky záznam.
  • Pokud není prokázána skutečnost podle bodu 9.5.6, jednatelky ve spolupráci s příslušným pracovníkem zajistí výmaz osobních údajů.

10.    Zpracování se souhlasem subjektu údajů

  • Pokud je zpracování prováděno na základě souhlasu subjektu údajů (zejména v případě, kdy jiný titul u nového zpracování nelze použít), musí být tento souhlas získán od subjektu údajů nejpozději současně se získáním osobních údajů, nebo bez zbytečného odkladu po něm, nejsou-li osobní údaje získány od subjektu údajů.
  • Předpokládá-li pracovník, že bude ke zpracování nutný souhlas subjektu údajů, sdělí tuto skutečnost bez zbytečného odkladu jednatelkám.
  • Jednatelky posoudí, zda je titul v souladu s nařízením a jinými právními předpisy a s účelem a způsobem zpracování, a ve spolupráci s příslušným pracovníkem připraví text souhlasu subjektu údajů.
  • Text souhlasu musí obsahovat
    • identifikační údaje společnosti,
    • účel zpracování,
    • rozsah a kategorie osobních údajů,
    • způsoby zpracování,
    • doba zpracování nebo způsob, jímž bude určena,
    • právo na odvolání souhlasu a
    • informaci o případném předávání a o možných rizicích přenosu dat do třetích zemí.
  • Pracovník zajistí odeslání textu souhlasu subjektu údajů s žádostí o potvrzení souhlasu, např. datovou schránkou v elektronické podobě nebo doporučenou zásilkou v listinné podobě.
  • Pokud není souhlas subjektem údajů potvrzen, informuje o tom určený pracovník jednatelky a jednatelky zajistí, aby zpracování bylo bez zbytečného odkladu ukončeno a osobní údaje vymazány či jinak zničeny.
  • Jednatelky posoudí, zda je odvolání souhlasu v souladu s nařízením a jinými právními předpisy a následně
    • pokud je tomu tak, ve spolupráci s určeným pracovníkem zajistí bez zbytečného odkladu ukončení zpracování a vymazání či jiné zničení osobních údajů, nebo
    • pokud tomu tak není, zejména v případě, kdy je zpracování prováděno z jiného titulu, zašle subjektu údajů písemnou informaci v tomto smyslu.

11.     Vztahy se zpracovateli

  • Je zakázáno použít zpracovatele, který neposkytuje dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky nařízení a jiných právních předpisů a aby byla zajištěna ochrana práv subjektu údajů.
  • Požadavek záruk zpracovatele podle předchozího bodu musí být zohledněn již při výběru zpracovatele, zejména zahrnutím do podmínek výběru zpracovatele (např. dodavatele služby v rámci výběrového řízení).
  • Smlouva se zpracovatelem musí obsahovat ustanovení o podmínkách a způsobu provádění zpracování, které stanoví následující požadavky na zpracovatele:
    • zpracovává osobní údaje pouze na základě doložených pokynů společnosti, včetně otázek předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládají právní předpisy; v takovém případě zpracovatel společnost informuje o tomto právním požadavku před zpracováním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu,
    • zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti,
    • přijme všechna opatření zabezpečení osobních údajů v souladu s čl. 32 nařízení,
    • nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního písemného povolení společnosti a zajistí jeho smluvní závazky obdobné jeho vlastním závazkům vůči společnosti,
    • zohledňuje povahu zpracování, je společnosti nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění povinnosti reagovat na žádosti subjektu údajů,
    • poskytuje společnosti součinnost při plnění povinností v oblasti zpracování a ochrany osobních údajů podle právních předpisů,
    • v souladu s rozhodnutím společnosti všechny osobní údaje buď vymaže, nebo je vrátí společnosti po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právní předpisy (například archivní legislativa) nepožadují uchovávání osobních údajů,
    • poskytne společnosti veškeré informace potřebné k doložení toho, že byly splněny povinnosti ve vztahu ke zpracovateli, a umožní kontroly prováděné společností a
    • informuje bez zbytečného odkladu společnost v případě, že podle jeho názoru určitý pokyn porušuje právní předpisy týkající se zpracování a ochrany osobních údajů.
  • Smlouva se zpracovatelem musí být písemná. Založení vztahu se zpracovatelem formou objednávky a jejího potvrzení je zakázáno.

12.    Kontroly v oblasti zpracování a ochrany osobních údajů

  • Jednatelky provádí kontroly zpracování a ochrany osobních údajů z hlediska dodržování požadavků právních předpisů a této směrnice.
  • V rámci kontroly jednatelky posuzují zejména
    • způsob provádění činností zpracování,
    • platnost titulu,
    • účel zpracování,
    • plnění povinností pracovníků,
    • zabezpečení osobních údajů,
    • reakce na práva subjektu údajů a
    • záznamy o činnostech zpracování.
  • Pokud dojde k bezpečnostnímu incidentu, musí jednatelky provést mimořádnou kontrolu příslušné agendy do 30 dnů od tohoto incidentu.
  • Jednatelky provádí kontroly zpracovatelů.
  • Jednatelky musí vyhotovit o kontrole protokol, a to do 15 dnů po ukončení kontroly.

13.    Školení a poučení v oblasti zpracování a ochrany osobních údajů

  • Společnost zajišťuje školení pracovníků v oblasti zpracování a ochrany osobních údajů.
  • Pokud kontrola odhalí významné nebo méně významné dlouhodobé porušování právních předpisů nebo této směrnice pracovníky, jednatelky zajistí jejich individuální konkrétní školení v oblasti zpracování a ochrany osobních údajů z hlediska požadavků této směrnice.
  • Jednatelky musí provést vstupní poučení o konkrétním způsobu provádění zpracování a požadavcích na něj kladených právními předpisy příslušného pracovníka při jeho ustanovení, nebo při změně účelu zpracování.

 

 

 

Příloha

Záznam o činnostech zpracování – název agendy zpracování
Čl. 30 odst. 1 obecného nařízení o ochraně osobních údajů (GDPR)
 Správce: PANTIESKY s.r.o., Záběhlická 3156/65, /Praha 10, 106 00, IČ: 09341528Zápis v obchodním rejstříku: Městský soud v Praze, sp. Zn. 334774, oddíl C Zástupce správce: Kateřina Hanzalová, Petra Pořízková (jednatelky)
I. Účely zpracování
ZAJIŠTĚNÍ AGEND SPOLEČNOSTI VE SMYSLU JEJÍ ZAKLADATELSKÉ LISTINY
GDPR – zpracování nezbytné pro právní důvod zpracování osobních údajů podle čl. 6 nařízení:

g)    souhlas subjektu údajů,

h)    plnění smlouvy,

i)      plnění právní povinnosti,

j)      ochrana životně důležitých zájmů fyzické osoby,

k)     výkon veřejné moci a plnění úkolu ve veřejném zájmu, oprávněný zájem.

zákon č. 110/2019 Sb., o zpracování osobních údajů
Obecné vymezení kategorie: klient/zákazník/člen klubu, dodavatel, smluvní partner, zaměstnanec
III. Kategorie osobních údajů
Jméno, příjmení, datum narození, adresa, telefonní číslo, e-mail, IP adresa atd.
IV. Kategorie příjemců
Smluvní partner pro zpracování mezd a účetních údajů, správce IT
V. Plánované lhůty pro výmaz kategorií osobních údajů
Po dobu trvání členství v klubu PANTIESKY + 5 let po jeho ukončení
VI. Obecný popis technických a organizačních bezpečnostních opatření
Listinná vyhotovení dokumentace jsou ukládána v uzamčených prostorách, elektronická jsou přístupná pod heslem
VII. Informace o předání osobních údajů
Pokud případně dojde k předání osobních údajů do třetích zemí a/ nebo mezinárodní organizaci, je třeba uvést i toto. vč. identifikace třetí země a/ nebo mezinárodní organizace.

 

Schváleno: Kateřinou Hanzalovou, Petrou Pořízkovou, jednatelkami
Dne: 17.7.2020
V: Vladivostocká 1294/17, Vršovice, 100 00 Praha 10
user