Organizace IČ 26361850 Hvězdárna a radioklub lázeňského města Karlovy Vary o.p.s.
Hvězdárna Františka Krejčího Karlovy VaryGDPR SMĚRNICE V ORGANIZACI IČ 26361850
1. Úvod
• Ředitel Společnosti vydal směrnici na základě nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů. Cílem směrnice je vytvořit ucelený soubor pravidel na ochranu osobních údajů ve Společnosti, aby byla zajištěna jejich ochrana proti neoprávněnému zacházení s daty. Tato směrnice je závazná pro všechny zaměstnance Společnosti a zacházení s osobními údaji, které je v rozporu s touto směrnicí, bude hodnoceno jako hrubé porušení pracovní kázně.
• Ředitel Společnosti vydal směrnici na základě nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů. Cílem směrnice je vytvořit ucelený soubor pravidel na ochranu osobních údajů ve Společnosti, aby byla zajištěna jejich ochrana proti neoprávněnému zacházení s daty. Tato směrnice je závazná pro všechny zaměstnance Společnosti a zacházení s osobními údaji, které je v rozporu s touto směrnicí, bude hodnoceno jako hrubé porušení pracovní kázně.
2. Použité zkratky a výrazy
• ČR= Česká republika
• EU= Evropská unie
• GDPR Obecné nařízení = nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES
• IT= informační technologie
• OÚ= osobní údaj
• SÚ= Subjekt údajů
• Společnost= Hvězdárna a radioklub lázeňského města Karlovy Vary o.p.s.
• ÚOOÚ= Úřad pro ochranu osobních údajů
• ČR= Česká republika
• EU= Evropská unie
• GDPR Obecné nařízení = nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES
• IT= informační technologie
• OÚ= osobní údaj
• SÚ= Subjekt údajů
• Společnost= Hvězdárna a radioklub lázeňského města Karlovy Vary o.p.s.
• ÚOOÚ= Úřad pro ochranu osobních údajů
2.1 Základní definice
• Správce osobních údajů = společnost Hvězdárna a radioklub lázeňského města Karlovy Vary o.p.s. (dále i jen „Společnost“);
• Zpracovatel osobních údajů = externí firma např. zpracovávající účetnictví nebo mzdy zaměstnanců;
• Subjekt údajů = zaměstnanec, zákazník (jen fyzické osoby), obchodní partner (je-li fyzickou osobou);
• Administrátor ochrany osobních údajů = zaměstnanec Společnosti pověřený dohledem nad dodržováním pravidel ochrany osobních údajů ve Společnosti (v dalším textu i jen „Administrátor OÚ“).
• Správce osobních údajů = společnost Hvězdárna a radioklub lázeňského města Karlovy Vary o.p.s. (dále i jen „Společnost“);
• Zpracovatel osobních údajů = externí firma např. zpracovávající účetnictví nebo mzdy zaměstnanců;
• Subjekt údajů = zaměstnanec, zákazník (jen fyzické osoby), obchodní partner (je-li fyzickou osobou);
• Administrátor ochrany osobních údajů = zaměstnanec Společnosti pověřený dohledem nad dodržováním pravidel ochrany osobních údajů ve Společnosti (v dalším textu i jen „Administrátor OÚ“).
3. Základní pojmy GDPR
3.1 Definice dle čl. 4 Obecného nařízení
• Tato směrnice používá terminologii, kterou jsou v Obecném nařízení definovány některé pojmy. Níže jsou uvedeny nejdůležitější z nich:
• Osobní údaje
veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
• Zpracování
jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
• Správce
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
• Zpracovatel
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
• Příjemce
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
• Třetí strana
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
• Souhlas subjektu údajů
jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
• Porušení zabezpečení osobních údajů
porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
• Dozorový úřad
nezávislý orgán veřejné moci zřízený členským státem podle článku 51 – Úřad pro ochranu osobních údajů;
• Relevantní a odůvodněná námitka
námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení Obecného nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s Obecným nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie.
3.1 Definice dle čl. 4 Obecného nařízení
• Tato směrnice používá terminologii, kterou jsou v Obecném nařízení definovány některé pojmy. Níže jsou uvedeny nejdůležitější z nich:
• Osobní údaje
veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
• Zpracování
jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
• Správce
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
• Zpracovatel
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
• Příjemce
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
• Třetí strana
fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
• Souhlas subjektu údajů
jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
• Porušení zabezpečení osobních údajů
porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
• Dozorový úřad
nezávislý orgán veřejné moci zřízený členským státem podle článku 51 – Úřad pro ochranu osobních údajů;
• Relevantní a odůvodněná námitka
námitka vůči návrhu rozhodnutí za účelem posouzení, zda došlo k porušení Obecného nařízení, nebo zda je zamýšlený úkon v souvislosti se správcem či zpracovatelem v souladu s Obecným nařízením, která jasně dokazuje významnost rizik vyplývajících z návrhu rozhodnutí, pokud jde o základní práva a svobody subjektů údajů, případně volný pohyb osobních údajů v rámci Unie.
3.2 Obecné zásady pro zpracování OÚ dle čl. 5 nařízení EU
• Při práci s osobními údaji se všichni zaměstnanci Společnosti řídí těmito obecnými zásadami:
- Zákonnost –zpracování osobních údajů je prováděno vždy pouze na základě určitého právního základu – viz kapitola 3.3;
- Korektnost –správné použití, přesné, společensky bezvadné;
- Transparentnost –všechny informace o ochraně osobních údajů určené subjektu údajů jsou stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků;
- Účelové omezení –shromažďování osobních údajů je možné jen za jasně stanoveným účelem;
- Minimalizace údajů –nezpracovává se více údajů, než je pro daný účel nezbytně nutné;
- Přesnost –zpracovávané osobní údaje musí být přesné;
- Omezené uložení –osobní údaje jsou uloženy jen po dobu nezbytně nutnou;
- Integrita a důvěrnost –náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením;
- Odpovědnost správce –Společnost zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU.
• Při práci s osobními údaji se všichni zaměstnanci Společnosti řídí těmito obecnými zásadami:
- Zákonnost –zpracování osobních údajů je prováděno vždy pouze na základě určitého právního základu – viz kapitola 3.3;
- Korektnost –správné použití, přesné, společensky bezvadné;
- Transparentnost –všechny informace o ochraně osobních údajů určené subjektu údajů jsou stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků;
- Účelové omezení –shromažďování osobních údajů je možné jen za jasně stanoveným účelem;
- Minimalizace údajů –nezpracovává se více údajů, než je pro daný účel nezbytně nutné;
- Přesnost –zpracovávané osobní údaje musí být přesné;
- Omezené uložení –osobní údaje jsou uloženy jen po dobu nezbytně nutnou;
- Integrita a důvěrnost –náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením;
- Odpovědnost správce –Společnost zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU.
3.3 Zpracování osobních údajů (čl. 6, 7, 8 nařízení)
• Osobní údaje se mohou ve Společnosti zpracovávat pouze na základě relevantního právního základu, kterým může být:
- subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
- zpracování je nezbytné pro splnění právní povinnosti, která se na Společnost vztahuje;
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
- zpracování je nezbytné pro účely oprávněných zájmů Společnosti či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Souhlas subjektu údajů musí být informovaný, konkrétní a písemný a Společnost je povinna získat jej ještě předtím, než zpracování osobních údajů zahájí, a také je povinna jej po celou dobu zpracování prokázat.
• Osobní údaje se mohou ve Společnosti zpracovávat pouze na základě relevantního právního základu, kterým může být:
- subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
- zpracování je nezbytné pro splnění právní povinnosti, která se na Společnost vztahuje;
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
- zpracování je nezbytné pro účely oprávněných zájmů Společnosti či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
Souhlas subjektu údajů musí být informovaný, konkrétní a písemný a Společnost je povinna získat jej ještě předtím, než zpracování osobních údajů zahájí, a také je povinna jej po celou dobu zpracování prokázat.
3.4 Zpracování citlivých údajů (čl. 9 nařízení)
• Zvláštní pozornost je věnována zpracování citlivých údajů. Jedná se například o:
- údaje o zdravotním stavu zaměstnance Společnosti,
- popis rodinného prostředí zaměstnance.
• Nevhodná práce s citlivými údaji může mít nepříznivý vliv na dotčené osoby. Společnost proto zpracovává tyto údaje pouze v nezbytném rozsahu a dbá ve zvýšené míře o jejich zabezpečení.
• Zvláštní pozornost je věnována zpracování citlivých údajů. Jedná se například o:
- údaje o zdravotním stavu zaměstnance Společnosti,
- popis rodinného prostředí zaměstnance.
• Nevhodná práce s citlivými údaji může mít nepříznivý vliv na dotčené osoby. Společnost proto zpracovává tyto údaje pouze v nezbytném rozsahu a dbá ve zvýšené míře o jejich zabezpečení.
4. Informace o ochraně osobních údajů (čl. 12 nařízení)
• Veškeré informace o tom, jak Společnost zajišťuje ochranu osobních údajů, jsou v listinné podobě uloženy ve spisovně Společnosti, v elektronické podobě na www stránkách Společnosti.
Informace o ochraně osobních údajů jsou zpracovány v podobě:
- tato směrnice o ochraně osobních údajů;
- informace o ochraně osobních údajů pro zaměstnance;
- informace o ochraně osobních údajů pro zákazníky a obchodní partnery.
• Zaměstnanci Společnosti jsou minimálně jedenkrát ročně informováni o ochraně osobních údajů ve společnosti.
• Veškeré informace o tom, jak Společnost zajišťuje ochranu osobních údajů, jsou v listinné podobě uloženy ve spisovně Společnosti, v elektronické podobě na www stránkách Společnosti.
Informace o ochraně osobních údajů jsou zpracovány v podobě:
- tato směrnice o ochraně osobních údajů;
- informace o ochraně osobních údajů pro zaměstnance;
- informace o ochraně osobních údajů pro zákazníky a obchodní partnery.
• Zaměstnanci Společnosti jsou minimálně jedenkrát ročně informováni o ochraně osobních údajů ve společnosti.
5. Právo na přístup k osobním údajům (čl. 15 nařízení)
• Každý subjekt údajů (zaměstnanec Společnosti, zákazník, obchodní partner) má právo na přístup k osobním údajům, které se ho týkají. Postup je následující:
- Subjekt údajů má právo si podat žádost o informaci, zda a v jakém rozsahu jsou zpracovávány jeho osobní údaje.
- Společnost musí subjektu údajů poskytnout kopie zpracování osobních údajů.
- Společnost poskytuje subjektu údajů informace o ochraně osobních údajů bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může jednatel Společnosti rozhodnout o uložení přiměřeného poplatku, nebo odmítnout žádosti vyhovět.
- Společnost při poskytování údajů není schopna poskytnout dálkový přístup k osobním údajům žadatele.
- Žádost nelze odepřít z technických nebo jiných provozních důvodů.
- Společnost vždy dbá na to, aby žádost o poskytnutou informaci zjišťovala pouze oprávněný zájem žadatele.
- Společnost vždy dbá na to, aby při poskytnutí informace o osobních údajích nebyly zároveň poskytnuty osobní údaje jiných osob.
- Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
• Každý subjekt údajů (zaměstnanec Společnosti, zákazník, obchodní partner) má právo na přístup k osobním údajům, které se ho týkají. Postup je následující:
- Subjekt údajů má právo si podat žádost o informaci, zda a v jakém rozsahu jsou zpracovávány jeho osobní údaje.
- Společnost musí subjektu údajů poskytnout kopie zpracování osobních údajů.
- Společnost poskytuje subjektu údajů informace o ochraně osobních údajů bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může jednatel Společnosti rozhodnout o uložení přiměřeného poplatku, nebo odmítnout žádosti vyhovět.
- Společnost při poskytování údajů není schopna poskytnout dálkový přístup k osobním údajům žadatele.
- Žádost nelze odepřít z technických nebo jiných provozních důvodů.
- Společnost vždy dbá na to, aby žádost o poskytnutou informaci zjišťovala pouze oprávněný zájem žadatele.
- Společnost vždy dbá na to, aby při poskytnutí informace o osobních údajích nebyly zároveň poskytnuty osobní údaje jiných osob.
- Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
5.1 Postup vyřizování žádosti o přístup k osobním údajům
5.1.1 Příjem žádosti
© Hvězdárna a radioklub lázeňského města Karlovy Vary, o.p.s.
• Žádosti o přístup k osobním údajům jsou přijímány výhradně písemnou formou Žádosti o přístup k osobním údajům, a to v kanceláři Společnosti na adrese K Letišti 144, 360 01 Karlovy Vary. Pracovník, který přijímá Žádost o přístup k osobním údajům, si vyžádá od zájemce o přístup k osobním údajům (dále jen „Žadatel“) průkaz totožnosti (např. občanský průkaz) a zkontroluje, že údaje Žadatele souhlasí s údaji na žádosti. Následně předá bez zbytečného odkladu žádost Administrátorovi ochrany osobních údajů.
5.1.2 Zpracování žádosti
• Administrátor OÚ prověří dle Katalogu osobních údajů všechny agendy Společnosti, kde jsou osobní údaje zpracovávány, a nalezne-li osobní údaje Žadatele, zaznamená je v případě elektronického zpracování do jednoduchého formuláře Přehled zpracovávaných osobních údajů. U dat zaznamenaných v papírové podobě provede kopii dokumentu (nebo té části dokumentu), kde jsou data uvedena.
• Nalezne-li Administrátor OÚ v různých agendách odlišné údaje (např. různé adresy trvalého bydliště), zaznamená tuto skutečnost do formuláře Oprava zpracovávaných osobních údajů a vyžádá si od Žadatele upřesnění, které údaje jsou správné. V příslušné agendě pak v souladu s kapitolou 6 této směrnice. Shromážděné informace o zpracování osobních údajů jsou Žadateli doručeny způsobem, který si Žadatel zvolil při podávání žádosti.
• Žádost o přístup k informacím musí být vždy vyřízena do 30 kalendářních dnů. Není-li možno ze závažných důvodů tento termín splnit, kontaktuje Administrátor OÚ Žadatele a informuje jej, že z administrativních důvodů bude termín zpracování jeho žádosti prodloužen – toto prodloužení může být maximálně 60 kalendářních dnů.
6. Právo na opravu osobních údajů (čl. 16 nařízení)
• Každý subjekt údajů má právo na opravu osobních údajů, které se ho týkají. Může se jednat o změnu adresy, jména, bydliště, telefonního čísla pod.
• Pracovník personálního oddělení předloží vždy 1x ročně zaměstnancům dotazník na kontrolu aktuálnosti osobních údajů. Další doplnění nebo aktualizace v evidenci zaměstnanců se provádějí dle aktuální změny.
• Zaměstnanci Společnosti mají povinnost ohlašovat zaměstnavateli všechny skutečnosti, které jsou nezbytné pro vedení personální a mzdové dokumentace.
• Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
• Pracovník personálního oddělení předloží vždy 1x ročně zaměstnancům dotazník na kontrolu aktuálnosti osobních údajů. Další doplnění nebo aktualizace v evidenci zaměstnanců se provádějí dle aktuální změny.
• Zaměstnanci Společnosti mají povinnost ohlašovat zaměstnavateli všechny skutečnosti, které jsou nezbytné pro vedení personální a mzdové dokumentace.
• Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
7. Právo na výmaz osobních údajů (čl. 17 a 18 nařízení)
• Každý subjekt údajů má právo na výmaz osobních údajů, které se ho týkají.
• Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního řádu Společnosti a této směrnice. Podá-li subjekt údajů žádost o výmaz osobních údajů, které odpovídají výše popsaným datům zpracovávaným na základě zákonné povinnosti, je subjekt údajů vyrozuměn, že jeho žádosti nelze vyhovět. V odůvodnění je pak uveden právní důvod zpracování, případně i zákon, který zpracování osobních údajů ukládá.
• Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjekt údajů dává souhlas se zpracováním osobních údajů (viz Informovaný souhlas se zpracováním osobních údajů).
• Vždy 1x ročně se provádí kontrola dokumentace Společnosti, aby dále neobsahovala zbytečné osobní údaje (rozvázání pracovního poměru zaměstnance apod.).
• Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
• Každý subjekt údajů má právo na výmaz osobních údajů, které se ho týkají.
• Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního řádu Společnosti a této směrnice. Podá-li subjekt údajů žádost o výmaz osobních údajů, které odpovídají výše popsaným datům zpracovávaným na základě zákonné povinnosti, je subjekt údajů vyrozuměn, že jeho žádosti nelze vyhovět. V odůvodnění je pak uveden právní důvod zpracování, případně i zákon, který zpracování osobních údajů ukládá.
• Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjekt údajů dává souhlas se zpracováním osobních údajů (viz Informovaný souhlas se zpracováním osobních údajů).
• Vždy 1x ročně se provádí kontrola dokumentace Společnosti, aby dále neobsahovala zbytečné osobní údaje (rozvázání pracovního poměru zaměstnance apod.).
• Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
8. Právo vznést námitku proti zpracování OÚ (čl. 21 nařízení)
• Každý subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se ho týkají.
• Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního řádu Společnosti a této směrnice.
• Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjekt údajů dává souhlas se zpracováním osobních údajů (viz Informovaný souhlas se zpracováním osobních údajů).
• Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
• Každý subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které se ho týkají.
• Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního řádu Společnosti a této směrnice.
• Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjekt údajů dává souhlas se zpracováním osobních údajů (viz Informovaný souhlas se zpracováním osobních údajů).
• Žádost subjektu údajů vyřizuje Společnost bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.
9. Prevence a výchova k ochraně osobních údajů
• Všichni zaměstnanci Společnosti jsou povinni přistupovat ke zpracování osobních údajů zodpovědně a vyvíjet maximální snahu k dodržování všech zásad daných platnou legislativou a vnitřními směrnicemi Společnosti. Každý zaměstnanec, který má důvod se domnívat, že ve Společnosti dochází ke zpracování osobních údajů v rozporu s platnou legislativou nebo s vnitřními směrnicemi Společnosti, je povinen o tomto svém zjištění informovat svého nadřízeného.
• Minimálně 1x ročně jsou zaměstnanci Společnosti proškoleni v problematice ochrany osobních údajů a seznámeni s případnými změnami v této oblasti.
• Všichni zaměstnanci Společnosti jsou povinni přistupovat ke zpracování osobních údajů zodpovědně a vyvíjet maximální snahu k dodržování všech zásad daných platnou legislativou a vnitřními směrnicemi Společnosti. Každý zaměstnanec, který má důvod se domnívat, že ve Společnosti dochází ke zpracování osobních údajů v rozporu s platnou legislativou nebo s vnitřními směrnicemi Společnosti, je povinen o tomto svém zjištění informovat svého nadřízeného.
• Minimálně 1x ročně jsou zaměstnanci Společnosti proškoleni v problematice ochrany osobních údajů a seznámeni s případnými změnami v této oblasti.
10. Organizační a technická opatření k zabezpečení osobních údajů ve Společnosti (čl. 32 až 26 nařízení)
10.1 Doba uložení a zpracování osobních údajů
• Doba uložení a zpracování osobních údajů se řídí pouze obdobím, po které jsou tyto údaje potřebné. Zpravidla jde o dobu, po kterou se nás týká například provedení rezervací a registrací programových nabídek. Údaje se po jejich jednorázovém použití nikterak nearchivují. Údaje shromažďované (například telefonní čísla a e-maily návštěvníků našich programů) jsou po skončení programu vždy smazány nebo ponechány na dobu nezbytně nutnou k nápravě technické chyby (fotografie se návštěvníkům neodešle).
10.2 Smlouvy a účetní doklady
• Řada smluv obsahuje osobní údaje nebo na základě smluvního vztahu jako zpracovatelé pracují s osobními údaji správce (Společnosti). Jedná se zejména o smlouvy typu:
- zpracování platů zaměstnanců externí firmou,
- poskytování externí služby správy počítačové sítě.
• Společnost je v pozici správce osobních údajů. Externí firma poskytující služby je v pozici zpracovatele osobních údajů. Ani uzavřená smlouva nezbavuje správce (Společnost) povinnosti chránit osobní údaje. Zpracování osobních údajů externí firmou (zpracovatelem) v souladu s GDPR je zajištěno smluvně, a to ustanovením, ve kterém externí firma:
- poskytne dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR (čl. 28 GDPR),
- zajistí a doloží, že zpracování osobních údajů je prováděno v souladu s GDPR (čl. 24 GDPR).
10.3 Ochrana osobních údajů a účetní doklady
• Účetní doklady (faktury) jsou dokumenty obsahujícím osobní údaje, na které se GDPR vztahuje. Účetní jednotky jsou povinny uchovávat účetní záznamy pro účely vedení účetnictví po zákonem stanovenou dobu (zákon o účetnictví), jedná se tedy o zpracování osobních údajů.
• Pro zabezpečení těchto osobních údajů je nezbytné, aby:
- při práci s účetními doklady se postupovalo tak, aby nemohlo dojít k neoprávněnému přístupu k osobním údajům,
- doklady byly řádně uloženy ve spisovně Společnosti, jejich vyzvedávání se řídilo Spisovým a skartačním řádem,
- doklady byly řádně uloženy v archivu Společnosti a po zákonné lhůtě skartovány dle Spisového a skartačního řádu.
• příklady účetních dokladů a jejich archivace:
- účetní závěrky a výroční zprávy po dobu 10 let počínajících koncem účetního období, kterého se týkají,
- účetní doklady, účetní knihy, odpisové plány, inventurní soupisy, účtový rozvrh, přehledy po dobu 5 let počínajících koncem účetního období, kterého se týkají,
- účetní záznamy, kterými účetní jednotky dokládají vedení účetnictví, po dobu 5 let počínajících koncem účetního období, kterého se týkají. Účetní jednotka může jako účetní záznamy použít zejména mzdové listy a jiné doklady pro účely důchodového pojištění po dobu 30 let, daňové doklady nebo jinou dokumentaci vyplývající ze zvláštních právních předpisů.
10.4 Zabezpečení výpočetní techniky
• Pro zajištění ochrany osobních údajů jsou stanovena pravidla pro užívání IT techniky ve Společnosti. Jedná se o správu, údržbu, ochranu a zabezpečení výpočetní techniky, ochranu a zabezpečení informačních systémů, dat a software.
• Jednatel Společnosti zajistí ochranu osobních údajů při práci s IT technikou:
- pravidla pro užívání IT,
- zákazy užívání IT pro jiné než pracovní účely,
- ochrana osobních údajů při práci s IT (zejména využívání emailů),
- školení zaměstnanců Společnosti,
- pravidelná kontrola dodržování stanovených pravidel.
10.1 Doba uložení a zpracování osobních údajů
• Doba uložení a zpracování osobních údajů se řídí pouze obdobím, po které jsou tyto údaje potřebné. Zpravidla jde o dobu, po kterou se nás týká například provedení rezervací a registrací programových nabídek. Údaje se po jejich jednorázovém použití nikterak nearchivují. Údaje shromažďované (například telefonní čísla a e-maily návštěvníků našich programů) jsou po skončení programu vždy smazány nebo ponechány na dobu nezbytně nutnou k nápravě technické chyby (fotografie se návštěvníkům neodešle).
10.2 Smlouvy a účetní doklady
• Řada smluv obsahuje osobní údaje nebo na základě smluvního vztahu jako zpracovatelé pracují s osobními údaji správce (Společnosti). Jedná se zejména o smlouvy typu:
- zpracování platů zaměstnanců externí firmou,
- poskytování externí služby správy počítačové sítě.
• Společnost je v pozici správce osobních údajů. Externí firma poskytující služby je v pozici zpracovatele osobních údajů. Ani uzavřená smlouva nezbavuje správce (Společnost) povinnosti chránit osobní údaje. Zpracování osobních údajů externí firmou (zpracovatelem) v souladu s GDPR je zajištěno smluvně, a to ustanovením, ve kterém externí firma:
- poskytne dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR (čl. 28 GDPR),
- zajistí a doloží, že zpracování osobních údajů je prováděno v souladu s GDPR (čl. 24 GDPR).
10.3 Ochrana osobních údajů a účetní doklady
• Účetní doklady (faktury) jsou dokumenty obsahujícím osobní údaje, na které se GDPR vztahuje. Účetní jednotky jsou povinny uchovávat účetní záznamy pro účely vedení účetnictví po zákonem stanovenou dobu (zákon o účetnictví), jedná se tedy o zpracování osobních údajů.
• Pro zabezpečení těchto osobních údajů je nezbytné, aby:
- při práci s účetními doklady se postupovalo tak, aby nemohlo dojít k neoprávněnému přístupu k osobním údajům,
- doklady byly řádně uloženy ve spisovně Společnosti, jejich vyzvedávání se řídilo Spisovým a skartačním řádem,
- doklady byly řádně uloženy v archivu Společnosti a po zákonné lhůtě skartovány dle Spisového a skartačního řádu.
• příklady účetních dokladů a jejich archivace:
- účetní závěrky a výroční zprávy po dobu 10 let počínajících koncem účetního období, kterého se týkají,
- účetní doklady, účetní knihy, odpisové plány, inventurní soupisy, účtový rozvrh, přehledy po dobu 5 let počínajících koncem účetního období, kterého se týkají,
- účetní záznamy, kterými účetní jednotky dokládají vedení účetnictví, po dobu 5 let počínajících koncem účetního období, kterého se týkají. Účetní jednotka může jako účetní záznamy použít zejména mzdové listy a jiné doklady pro účely důchodového pojištění po dobu 30 let, daňové doklady nebo jinou dokumentaci vyplývající ze zvláštních právních předpisů.
10.4 Zabezpečení výpočetní techniky
• Pro zajištění ochrany osobních údajů jsou stanovena pravidla pro užívání IT techniky ve Společnosti. Jedná se o správu, údržbu, ochranu a zabezpečení výpočetní techniky, ochranu a zabezpečení informačních systémů, dat a software.
• Jednatel Společnosti zajistí ochranu osobních údajů při práci s IT technikou:
- pravidla pro užívání IT,
- zákazy užívání IT pro jiné než pracovní účely,
- ochrana osobních údajů při práci s IT (zejména využívání emailů),
- školení zaměstnanců Společnosti,
- pravidelná kontrola dodržování stanovených pravidel.
11. Odpovědnost zpracovatele osobních údajů (čl. 28 a 29 nařízení)
• Společnost využívá externí firmy:
- Společnost jako správce má uzavřenu písemnou smlouvu, která obsahuje povinné náležitosti při zpracování osobních údajů zaměstnanců Společnosti. Jedná se o:
1. povinnost zpracovávat osobní údaje pouze na základě doložených pokynů správce;
2. povinnost zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti;
3. povinnost přijmout všechna opatření požadovaná podle čl. 32 nařízení (rizika spojená se zpracováním osobních údajů);
4. povinnost dodržovat podmínky pro zapojení dalšího zpracovatele;
5. povinnost zohledňovat povahu zpracování a být správci nápomocen, jde-li o žádosti člověka, jehož osobní údaje jsou zpracovávány;
6. povinnost být správci nápomocen při zajišťování souladu s povinnostmi vyplývajícími z čl. 32 až 36 nařízení (rizika spojená se zpracováním osobních údajů);
7. povinnost v souladu s rozhodnutím správce osobní údaje vymazat nebo vrátit správci (a zničit kopie);
8. povinnost poskytovat správci informace potřebné k doložení toho, že byly splněny příslušné povinnosti a povinnost umožnit správci provádět audity či inspekce.
Ve všech záležitostech ochrany osobních údajů je zpracovatel podřízen správci osobních údajů.
• Společnost využívá externí firmy:
- Společnost jako správce má uzavřenu písemnou smlouvu, která obsahuje povinné náležitosti při zpracování osobních údajů zaměstnanců Společnosti. Jedná se o:
1. povinnost zpracovávat osobní údaje pouze na základě doložených pokynů správce;
2. povinnost zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti;
3. povinnost přijmout všechna opatření požadovaná podle čl. 32 nařízení (rizika spojená se zpracováním osobních údajů);
4. povinnost dodržovat podmínky pro zapojení dalšího zpracovatele;
5. povinnost zohledňovat povahu zpracování a být správci nápomocen, jde-li o žádosti člověka, jehož osobní údaje jsou zpracovávány;
6. povinnost být správci nápomocen při zajišťování souladu s povinnostmi vyplývajícími z čl. 32 až 36 nařízení (rizika spojená se zpracováním osobních údajů);
7. povinnost v souladu s rozhodnutím správce osobní údaje vymazat nebo vrátit správci (a zničit kopie);
8. povinnost poskytovat správci informace potřebné k doložení toho, že byly splněny příslušné povinnosti a povinnost umožnit správci provádět audity či inspekce.
Ve všech záležitostech ochrany osobních údajů je zpracovatel podřízen správci osobních údajů.
12. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu (čl. 33 a 34 nařízení)
• Jestliže kterákoliv ze zúčastněných stran (správce, zpracovatel, subjekt údajů) získá podezření, že je porušeno zabezpečení osobních údajů, je postup následující:
1. Ihned o tom informuje jednatele Společnosti a Administrátora ochrany osobních údajů.
2. Administrátor ochrany osobních údajů vytvoří záznam o narušení zabezpečení osobních údajů ve formuláři Záznam o incidentu zpracování OÚ.
3. Jednatel Společnosti a Administrátor ochrany osobních údajů zhodnotí, zda došlo k porušení zabezpečení osobních údajů dle článku 33 a 34 nařízení.
4. Jednatel Společnosti a Administrátor ochrany osobních údajů zjistí povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro subjekty údajů.
5. V případě potvrzení narušení bezpečnosti osobních údajů bezodkladně, nejpozději do 72 hodin, informují dozorový orgán (Úřad na ochranu osobních údajů). Oznámení dozorovému orgánu je prováděno prostřednictvím on-line formuláře, který je k dispozici na webových stránkách ÚOOÚ na adrese https://www.uoou.cz/oznameni-o-poruseni-ochrany-osobnich-udaju.asp#obalhlava.
6. V případě pochybností, zda došlo/nedošlo k porušení zabezpečení osobních údajů je vždy vznesen dotaz na dozorový orgán (Úřad na ochranu osobních údajů).
7. V případě, že došlo k závažnému porušení zabezpečení osobních údajů, oznámí tuto skutečnost jednatel Společnosti subjektu údajů (zaměstnanec, zákazník, obchodní partner), a to např. informativním mailem nebo osobním dopisem.
8. Jednatel Společnosti a Administrátor ochrany osobních údajů na základě doporučení dozorového orgánu učiní taková opatření, aby nedocházelo k dalšímu porušování zabezpečení osobních údajů.
• Jestliže kterákoliv ze zúčastněných stran (správce, zpracovatel, subjekt údajů) získá podezření, že je porušeno zabezpečení osobních údajů, je postup následující:
1. Ihned o tom informuje jednatele Společnosti a Administrátora ochrany osobních údajů.
2. Administrátor ochrany osobních údajů vytvoří záznam o narušení zabezpečení osobních údajů ve formuláři Záznam o incidentu zpracování OÚ.
3. Jednatel Společnosti a Administrátor ochrany osobních údajů zhodnotí, zda došlo k porušení zabezpečení osobních údajů dle článku 33 a 34 nařízení.
4. Jednatel Společnosti a Administrátor ochrany osobních údajů zjistí povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro subjekty údajů.
5. V případě potvrzení narušení bezpečnosti osobních údajů bezodkladně, nejpozději do 72 hodin, informují dozorový orgán (Úřad na ochranu osobních údajů). Oznámení dozorovému orgánu je prováděno prostřednictvím on-line formuláře, který je k dispozici na webových stránkách ÚOOÚ na adrese https://www.uoou.cz/oznameni-o-poruseni-ochrany-osobnich-udaju.asp#obalhlava.
6. V případě pochybností, zda došlo/nedošlo k porušení zabezpečení osobních údajů je vždy vznesen dotaz na dozorový orgán (Úřad na ochranu osobních údajů).
7. V případě, že došlo k závažnému porušení zabezpečení osobních údajů, oznámí tuto skutečnost jednatel Společnosti subjektu údajů (zaměstnanec, zákazník, obchodní partner), a to např. informativním mailem nebo osobním dopisem.
8. Jednatel Společnosti a Administrátor ochrany osobních údajů na základě doporučení dozorového orgánu učiní taková opatření, aby nedocházelo k dalšímu porušování zabezpečení osobních údajů.
13. Jmenování pověřence pro ochranu OÚ (čl. 37 až 39 nařízení)
Na Společnost se nevztahuje povinnost jmenovat pověřence pro ochranu osobních údajů dle čl. 37 až 39 obecného nařízení.
Na Společnost se nevztahuje povinnost jmenovat pověřence pro ochranu osobních údajů dle čl. 37 až 39 obecného nařízení.
14. Porušení povinnosti mlčenlivosti
Jednatel Společnosti důsledně zakazuje předávání osobních údajů zaměstnanců, klientů a obchodních partnerů třetím osobám soukromého práva (nabídky zboží apod.).
Pokud zaměstnanec vědomě poruší povinnost mlčenlivosti, bude to zaměstnavatel považovat za porušení pracovní kázně zvlášť hrubým způsobem a může se zaměstnancem okamžitě rozvázat pracovní poměr podle § 55 odst. 1 písm. b) zákoníku práce.
Jestliže zaměstnanec, byť i z nedbalosti, poruší povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě OÚ získané v souvislosti s výkonem svého zaměstnání, vystavuje se nebezpečí trestního stíhání pro trestný čin dle § 180 zákona č. 40/2009 Sb., trestní zákoník - Neoprávněné nakládání s OÚ.
Jednatel Společnosti důsledně zakazuje předávání osobních údajů zaměstnanců, klientů a obchodních partnerů třetím osobám soukromého práva (nabídky zboží apod.).
Pokud zaměstnanec vědomě poruší povinnost mlčenlivosti, bude to zaměstnavatel považovat za porušení pracovní kázně zvlášť hrubým způsobem a může se zaměstnancem okamžitě rozvázat pracovní poměr podle § 55 odst. 1 písm. b) zákoníku práce.
Jestliže zaměstnanec, byť i z nedbalosti, poruší povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě OÚ získané v souvislosti s výkonem svého zaměstnání, vystavuje se nebezpečí trestního stíhání pro trestný čin dle § 180 zákona č. 40/2009 Sb., trestní zákoník - Neoprávněné nakládání s OÚ.
© Hvězdárna a radioklub lázeňského města Karlovy Vary, o.p.s.