Kodex o ochraně osobních údajů v provozu správce OÚ
Správce OÚ:
Obchodní společnost: Eurofarm systems s.r.o.
se sídlem: Puclice 72, PSČ: 346 01
IČ: 26360756
zápis v obchodním rejstříku u Krajského soudu v Plzni, oddíl a vložka C. 15363
dále jen „správce OÚ“
vydává tento
KODEX O POVINNOSTECH OSOB SPOLUPRACUJÍCÍCH PŘI PROVOZU ZÁVODU SPRÁVCE OSOBNÍCH ÚDAJŮ
PŘI ZAJIŠTĚNÍ OCHRANY OSOBNÍCH ÚDAJŮ
Preambule
- Tento kodex definuje základní povinnosti všech osob, které spolupracují při provozu závodu společnosti Eurofarm systems s.r.o., k zajištění ochrany osobních údajů za účelem dosažení aktuálního souladu zpracování veškerých osobních údajů v provozu správce OÚe s Nařízením Evropského parlamentu a Rady (EU) 2016/679, dále jen „Nařízení GDPR“.
Článek 1
Vymezení základních pojmů
- Osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě, dále též „subjekt údajů“.
- Osoba je identifikovatelná, pokud ji lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (např. jméno, identifikační číslo, lokační údaje, síťový identifikátor, odkazem na prvky fyzické, genetické, psychické, ekonomické, kulturní nebo společenské identity).
- Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, prováděná pomocí či bez pomoci automatizovaných postupů.
- Zvláštní kategorie osobních údajů představují osobní údaje rasovém či etnickém původu, o politických názorech, o náboženském vyznání nebo o filozofickém přesvědčení, údaje o členství v odborech, genetické údaje, biometrické údaje, údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
- Správcem osobních údajů ve vztahu k osobním údajům, které se vyskytují v provozu správce OÚe, je správce OÚ (sám určuje účel a prostředky zpracování osobních údajů).
- Zpracovatelem osobních údajů je jakýkoliv subjekt, který zpracovává osobní údaje pro správce.
- Příjemcem osobních údajů je každý subjekt, kterým jsou osobní údaje poskytnuty; za příjemce se nepovažují orgány veřejné moci, které mohou získávat osobní údaje v rámci svých šetření.
- Profilováním se v provozu správce OÚe rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k subjektům osobních údajů, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, zdravotní způsobilosti k výkonu práce, spolehlivosti, chování apod.
- Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. Konkrétním projevem pseudonymizace v provozu správce OÚe je přidělování osobních čísel kmenovým zaměstnancům správce OÚe.
- Právní titul zpracování osobních údajů představují následující skutečnosti:
- zpracování je nezbytné pro splnění právní povinnosti správce
- zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů
- subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; souhlas není nezbytnou podmínkou pro zpracování osobních údajů, ale představuje pouze jeden z rovnocenných právních titulů pro zpracování osobních údajů
- zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
- zpracování je nezbytné pro účely oprávněných zájmů příslušného správce OÚe nebo třetí osoby
- zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu.
- Souhlasem subjektu osobních údajů je jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt osobních údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
- Časovou mezí se rozumí období, ve kterém jsou osobní údaje uchovávány.
Článek 2
Základní zásady zpracování osobních údajů
Při veškerém zpracování osobních údajů v provozu správce OÚe jsou správce OÚ i všichni jeho zaměstnanci povinni respektovat zásadní zásady zpracování osobních údajů, tj.:
2.1: Zásada zákonnosti
○ zpracovávat osobní údaje lze jen na základě minimálně jednoho z definovaných právních titulů
○ zpracování nesmí být v rozporu se zákonem
2.2: Zásada korektnosti a transparentnosti
○ povinnost správce zajišťovat co největší míru informovanosti subjektů údajů
○ všechny informace určené subjektu údajů musí být stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků
2.3: Zásada účelového omezení
○ zpracování osobních údajů jen pro konkrétní, výslovně definované a legitimní účely a způsobem slučitelným s těmito účely
○ více účelů zpracování → nutné získat právní titul zpracování pro všechny účely
○ zpracovávat osobních údaje za jinými účely, než pro které byly shromážděny → tzv. „další zpracování“ je přípustné pouze výjimečně: když původní účel zpracování OÚ odpadl a nový nebyl definován
2.4: Zásada minimalizace údajů
○ osobní údaje musejí být přiměřené a relevantní ve vztahu ke konkrétnímu účelu
○ zpracovávat lze vždy pouze ty osobní údaje, které jsou pro dosažení účelu nezbytné, a to pouze v nutném rozsahu
2.5: Zásada přesnosti
○ osobní údaje musejí být přesné, neaktuální údaje musejí být opraveny či vymazány
2.6: Zásada omezení uložení
○ osobní údaje mohou být uloženy jen po dobu nezbytnou pro účely, pro nějž jsou zpracovávány
2.7: Zásada integrity a důvěrnosti
○ povinnost zajistit bezpečnost dat, ochrana před neoprávněným a nezákonným zpracováním.
Článek 3
Přehled osobních údajů zpracovávaných v provozu správce OÚ
V provozu správce OÚ jsou zpracovávány následující skupiny osobních údajů:
|
1. |
|
|
2. |
|
|
3. |
|
|
4. |
|
Článek 4
Účely a právní tituly zpracování osobních údajů v provozu správce OÚ
podle jednotlivých skupin osobních údajů zpracovávaných v provozu správce OÚe
4.1: OSOBNÍ ÚDAJE OBCHODNÍCH ZÁSTUPCŮ
viz příloha č. 1 tohoto vnitřního předpisu
4.2: OSOBNÍ ÚDAJE FYZICKÝCH OSOB – OBCHODNÍCH PARTNERŮ
viz příloha č. 2 tohoto vnitřního předpisu
4.3: OSOBNÍ ÚDAJE FYZICKÝCH OSOB – KONTAKTNÍCH OSOB OBCHODNÍCH PARTNERŮ
viz příloha č. 3 tohoto vnitřního předpisu
4.4: OSOBNÍ ÚDAJE SPOLEČNÍKŮ – FYZICKÝCH OSOB
viz příloha č. 4 tohoto vnitřního předpisu
Článek 5
Povinnosti spolupracujících osob na úseku ochrany osobních údajů
Článek 5a – Všeobecné povinnosti
- Každá spolupracující osoba je povinna seznámit se se zásadami ochrany osobních údajů (viz článek 2 výše) a při jakémkoliv kontaktu s osobními údaji v provozu správce OÚ tyto zásady v plném rozsahu zachovávat.
- Každá spolupracující osoba je povinna zpracovávat pouze ty osobní údaje, které bezprostředně souvisejí s plněním jejích smluvních povinností vůči správci OÚ, dále též „relevantní osobní údaje“, a zdržet se jakéhokoliv zpracování jiných osobních údajů.
- Každá spolupracující osoba, která má v rámci plnění svých pracovních povinností přístup k jakékoliv dokumentaci správce OÚ obsahující osobní údaje, je povinna nakládat s ní bezpečným způsobem při dodržení všech zásad vyplývajících z nařízení GDPR a všech povinností vyplývajících z tohoto kodexu GDPR. Tato povinnost zahrnuje též péči o to, aby dokumentace obsahující osobní údaje nezůstávala volně položená bez dozoru na místech, kde nelze vyloučit přístup dalších osob k osobním údajům v ní obsaženým.
- Každá spolupracující osoba je povinna nevyužít osobní údaje, k nimž získala přístup v rámci svého smluvního vztahu k správci OÚ, k jiným účelům, než které jsou definovány správcem OÚ, zachovávat o nich mlčenlivost a zdržet se jakéhokoliv jejich zneužití.
Článek 5b – Zvláštní povinnosti při užívání firemní výpočetní techniky a telekomunikačních zařízení
- Každá spolupracující osoba, která při plnění svých smluvních povinností využívá služební výpočetní techniku a telekomunikační zařízení, je povinen při veškeré práci s počítačem dodržovat:
a) všeobecné povinnosti popsané v článku 5a výše a
b) specifické povinnosti definované níže.
- Každá spolupracující osoba je povinna zadat při práci se služebním počítačem v rámci logovacích údajů heslo splňující standardní stupeň ochrany před jeho zneužitím. Heslo splňuje standardní stupeň ochrany před zneužitím v následujících případech:
- heslo obsahuje alespoň 8 znaků v kombinaci písmen a číslic
- heslo je pravidelně obměňováno podle pokynů správce OÚ podle doporučení poskytovatele IT-služeb.
- Každá spolupracující osoba je zodpovědná za všechny soubory, které ve služebním počítači vytváří a které si lokálně ukládá. Každá spolupracující osoba je povinna dodržovat při vytváření souborů na služebním počítači a při jejich lokálním ukládání veškeré všeobecné povinnosti popsané v článku 5a výše.
- Každá spolupracující osoba je povinna ohlídat, aby nenechávala počítač bez dozoru v aktivním režimu, tj. opustí-li z jakýchkoliv důvodů místnost s počítačem, je povinna tuto místnost uzamknout nebo uvést počítač alespoň do režimu spánku, tj. do stavu, kdy opětovná práce na počítači vyžaduje opětovné přihlášení pomocí logovacích údajů včetně hesla.
- Každá spolupracující osoba je povinna dbát o to, aby žádné třetí osoby neměly při komunikaci s ní výhled na monitor jím užívaného počítače, pokud jsou na monitoru zpřístupněny jakékoliv osobní údaje.
- Každá spolupracující osoba je povinna při zasílání hromadné e-mailové korespondence určené třetím osobám dbát o to, aby e-mailové adresy jednotlivých adresátů hromadné e-mailové zprávy nebyly viditelné ostatním adresátům zprávy.
- Každá spolupracující osoba je povinna v plném rozsahu dodržet veškerá pravidla stanovená správce OÚ k zajištění síťové bezpečnosti, zejména zdržet se stahování jakéhokoliv softwaru mimo softwaru předepsaného správce OÚ, nepřipojovat na služební počítač žádná neprověřená zařízení, ani vlastní flash-disky či jiné nosiče dat a neotevírat žádné nebezpečné webové stránky.
- Reportážní fotografie, popř. videozáznamy z interních akcí správce OÚ pořádaných pro klienty, popř. z akcí pořádaných správce OÚ pro veřejnost, jsou spolupracující osoby povinny využívat výlučně způsobem, který určí správce OÚ.
- Každá spolupracující osoba, která při plnění pracovních povinností využívá služební telekomunikační zařízení, je povinna chránit takové zařízení před ztrátou či poškozením, aby nedošlo k nežádoucímu úniku uložených osobních dat (kontaktních údajů fyzických osob. Každá spolupracující osoba je povinna nepořizovat si žádné kopie osobních údajů získaných v souvislosti s plněním smluvních povinností vůči správci OÚ.
Článek 5c – Zvláštní povinnosti při rozmnožování a uchovávání listin s osobními údaji
- Každá spolupracující osoba, která při plnění svých smluvních povinností vůči správci OÚ kopíruje jakékoliv listiny obsahující osobní údaje, je povinna dbát o to, aby v kopírovacím stroji nenechala kopírovanou listinu a nezpůsobila tak nežádoucí únik osobních údajů.
- Každá spolupracující osoba je povinna dbát o to, aby při pořizování kopií listin s osobními údaji a při jejich dalším zpracovávání byly v plném rozsahu dodrženy veškeré zásady ochrany osobních údajů – viz článek 2 výše.
- Každá spolupracující osoba je povinna provést skartaci listin s osobními údaji, které má v rámci vyřizování svojí smluvní agendy vůči správce OÚ ve své držbě, po uplynutí časové meze pro zpracování osobních údajů definované v přílohách tohoto vnitřního předpisu.
- Každá spolupracující osoba je povinna za účelem řádného dohledu nad dodržením časové meze pro zpracování osobních údajů definované v přílohách opatřit listiny s osobními údaji vhodným způsobem poznámkou o době jejich vzniku, pokud tato doba není zřejmá přímo z obsahu konkrétní listiny.
Článek 6
Závěrečná ustanovení
Tento kodex pro ochranu osobních údajů se vydává s účinností od 25. 05. 2018 a bude součástí obsahu smluv uzavíraných s osobami spolupracujícími se správcem OÚ při provozu jeho závodu.
Přílohy:
Poslední aktualizace: 22. 10. 2018
+420 733 541 147
