Směrnice pro nakládání s osobními údaji

Constat s.r.o., IČO 284 31 855, se sídlem U smaltovny 1334/22, Holešovice, 170 00 Praha 7, zapsaná v obchodním rejstříku vedeném u Městského soudu v Praze pod spisovou značkou C 141034 ("Společnost")

  1. Úvodní ustanovení
    • Cílem této směrnice je úprava postupu pověřených osob při nakládání, zpracování a ochraně osobních údajů zpracovávaných v rámci činnosti Společnosti dle Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ("Nařízení") a dalších právních předpisů upravujících ochranu osobních údajů.
    • Zásady zde uvedené se vztahují na veškeré zpracování osobních údajů, ke kterému v rámci činnosti Společnosti dochází. Zejména se jedná o zpracování osobních údajů smluvních partnerů, klientů a případně zaměstnanců Společnosti (pokud jsou), zpracovávané oprávněnými osobami Společnosti, kteří Společnost jako správce těchto osobních údajů při jejich zpracování zastupují.
    • Zabezpečení ochrany osobních údajů má ve Společnosti vysokou prioritu. S osobními údaji je v rámci Společnosti vždy nakládáno v souladu s Nařízením a dalšími právními předpisy s cílem zajištění jejich důvěrnosti a bezpečnosti. Osobní údaje jsou vždy zpracovávány na základě platného právního důvodu ve smyslu čl. 6 Nařízení.
  2. Vymezení základních pojmů
    • Vymezení pojmů dle čl. 4 Nařízení
    • a) osobním údajem je jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu,
    • b) citlivým údajem je osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů (zvláštní kategorie osobních údajů),
    • c) anonymním údajem je takový údaj, který se netýká určeného nebo určitelného subjektu údajů nebo osobní údaj anonymizovaný tak, že subjekt údajů na základě něj není možné určit,
    • d) subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují,
    • e) zpracováním osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace,
    • f) shromažďováním osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,
    • g) uchováváním osobních údajů je udržování údajů v takové podobě, která je umožňuje dále zpracovávat,
    • h) omezením zpracování je označení uložených osobních údajů za účelem jejich zpracování v budoucnu,
    • i) likvidací (vymazáním) osobních údajů se rozumí fyzické zničení nosiče těchto informací nebo jejich fyzické vymazání umožňující jejich trvalé vyloučení z dalších zpracování,
    • j) správcem je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, a to za podmínek určených Nařízením a jinými právními předpisy,
    • k) zpracovatelem je každý subjekt, který pro správce osobní údaje zpracovává,
    • l) souhlas subjektu údajů je svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů. Souhlas musí být odvolatelný a prokazatelný.
  3. Povaha osobních údajů shromažďovaných a zpracovávaných Společností
    • Společnost shromažďuje a zpracovává osobní údaje sloužící k jednoznačné a nezaměnitelné identifikaci subjektu (identifikační údaje) a osobní údaje umožňující kontakt se subjektem (kontaktní údaje). Rozsah zpracovávaných údajů se u jednotlivých skupin subjektů může odlišovat dle účelu zpracování. Společnost u jednotlivých subjektů zpracovává pouze ty údaje, které jsou nezbytné pro naplnění účelu jejich shromažďovaní. Společnost neshromažďuje a nezpracovává citlivé osobní údaje, s případnou výjimkou údajů zpracovávaných pro účely plnění povinností a výkonu zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany.
    • Identifikačními údaji se pro účely této směrnice rozumí zejména jméno, příjmení, datum narození, bydliště, číslo průkazu, fakturační údaje a heslo a případně daňové identifikační číslo a IČO. Kontaktními údaji se pro účely této směrnice rozumí zejména uvedené telefonní číslo, e-mailová adresa a IP adresa, cookie a jiné obdobné informace.
  4. Subjekty osobních údajů, zdroj osobních údajů a účel zpracování
    • Společnost shromažďuje a zpracovává osobní údaje následujících skupin subjektů:
    • a) zaměstnanci Společnosti a uchazeči o zaměstnání v rámci Společnosti (pokud jsou v konkrétní době takoví)
    • V případě svých zaměstnanců Společnost shromažďuje a zpracovává identifikační a kontaktní údaje k účelům personálním, pracovněprávním, daňovým, sociálního zabezpečení, nemocenského pojištění a k dalším účelům podle zvláštních právních předpisů, a to po dobu trvání pracovního poměru a dále po dobu nezbytnou k plnění zákonných povinností Společnosti jakožto zaměstnavatele. Právním důvodem pro tyto formy zpracování je plnění pracovní či obdobné smlouvy, případně je zpracování nezbytné pro plnění právní povinnosti vztahující se na správce pro účely jeho oprávněných zájmu nebo pro účely plnění povinností a výkonu zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany (souhlas se zpracováním není vyžadován) – účel "ADMIN". Údaje jsou získávaný výlučně od subjektů údajů.
    • V případě uchazečů o zaměstnání Společnost shromažďuje a zpracovává identifikační a kontaktní údaje nutné k vyhodnocení žádosti subjektu a další komunikaci. V případě údajů poskytnutých aktivním úkonem subjektu vůči Společnosti (např. zasláním životopisu či motivačního dopisu), subjekt údajů tímto úkonem požaduje provedení opatření – vyhodnocení životopisu – před uzavřením pracovní nebo obdobné smlouvy s Společností ve smyslu čl. 6 odst. 1 písm. b) Nařízení (souhlas se zpracováním není vyžadován) – účel "ADMIN". Údaje jsou získávaný výlučně od subjektů údajů.
    • b) obchodní partneři a klienti Společnosti
    • U svých obchodních partnerů a klientů Společnost shromažďuje a zpracovává identifikační a kontaktní údaje primárně pro účely plnění svých smluvních povinností a výkonu svých smluvních práv. Právním důvodem pro tuto formu zpracování je plnění smlouvy uzavřené s těmito subjekty (souhlas se zpracováním není vyžadován) – účel "SML", a dále oprávněný zájem Společnosti jako správce osobních údajů vycházející z dřívějšího kontaktu, komunikace a spolupráce s těmito osobami (souhlas se zpracováním není vyžadován) – účel "KOM". Údaje jsou získávány výlučně od subjektů údajů. Společnost dále shromažďuje a zpracovává identifikační a kontaktní údaje pro účely ověřování spokojenosti, hodnocení a marketing (na základě souhlasu) – účel "MKT".
    • Pokud jsou osobní údaje zpracovávány mimo Českou republiku budou dodržovány veškeré právní předpisy a plněny veškeré povinnosti, které příslušný zákon ukládá.
  5. Pověřené osoby a jejich povinnosti při nakládání s osobními údaji
    • Pověřenými osobami, které jsou oprávněny zpracovávat osobní údaje v rámci Společnosti, jsou:
      • - jednatel Společnosti
      • - zaměstnanci zařazeni na pozice administrativních a technických pracovníků, účetních, PR manažerů
      • - externisté pověření Společnosti
    • Jednatel Společnosti odpovídá za celkový chod Společnosti, včetně pravidel uvedených v této směrnici.
    • Jednatel, případně pověření zaměstnanci jsou povinni nakládat s osobními údaji pouze za účelem plnění svých pracovních povinností, a to pouze v rozsahu nezbytném pro naplnění účelů, pro které jsou tyto údaje zpracovávány. Jsou povinni takto činit v souladu s povinnostmi stanovenými právními předpisy touto směrnicí a pokyny zaměstnavatele. Jsou povinni chránit osobní údaje před změnou, zničením, ztrátou, neoprávněnými přenosy, jiným neoprávněným zpracováním, jakož i jiným zneužitím. Nejsou oprávněni osobní údaje zpřístupňovat třetím osobám mimo pověřené osoby.
    • Osoba pověřená zabezpečením ochrany osobních údajů uložených na serverech, v osobních počítačích, včetně přenosných, zajišťuje, aby data byla chráněna v souladu s aktuálními technickými požadavky na počítačovou bezpečnost.
    • Je-li pověřenou osobou osoba mimo Společnost nebo jiná osoba, která při plnění úkolů nebo poskytování služeb pro Společnost využívá třetích osob (k využívání těchto třetích osob při zpracování není zpracovatel oprávněn bez souhlasu Společnosti), je Společnost povinna veškeré povinnosti vyplývající z této směrnice přenést na tyto třetí osoby a zavázat je k plnění povinností k ochraně osobních údajů a poskytování dostatečných záruk ochrany osobních údajů ve smyslu čl. 28 Nařízení.
    • Společnosti a příslušné pověřené osoby jsou povinny vést záznamy o činnostech zpracování; aktualizované záznamy jsou udržovány jednatelem Společnosti.
  6. Bezpečnost zpracovávaných osobních údajů
    • Písemnosti a digitální záznamová média, která obsahují osobní údaje, musí být zabezpečena v uzamykatelných prostorách Společnosti, popř. na jiných místech, kde je možno zajistit jejich ochranu. To platí i pro kopie písemností obsahujících osobní údaje.
    • Data obsahující osobní údaje, která jsou uložena v počítačích, musí být vhodným způsobem zabezpečena před volným přístupem neoprávněných osob, před změnou, zničením, ztrátou, neoprávněnými přenosy, jiným neoprávněným zpracováním, jakož i jiným zneužitím osobních údajů.
    • Veškeré sdílené dokumenty jsou zálohovány na externí úložiště. Jak na zdroji dat, tak na záložních discích se používá enkrypce – šifrování. Přístup ke složkám s osobními údaji jsou dostupné pouze omezenému a přesně určenému počtu osob na základě uživatelského jména a hesla. Není přípustné, aby pověřená osoba svá hesla sdělovala jiným osobám a aby svůj počítač ponechala v režimu přihlášení bez dozoru. Dále je rovněž zakázáno, aby pověřená osoba pracovala s osobními údaji na počítači, ke kterému má přístup i neurčená třetí osoba (např. vzdálený přístup do systému Společnosti z nezabezpečených domácích počítačů).
    • Za plnění povinností stanovených výše jsou odpovědné pověřené osoby podle rozsahu svých oprávnění vyplývajících z pracovní smlouvy nebo pokynů zaměstnavatele.
    • Všichni zaměstnanci i další spolupracovníci jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení pracovního či jiného poměru, a to bez časového omezení.
    • Zjistí-li kterákoliv z pověřených osob v rámci Společnosti informaci o porušení zabezpečení osobních údajů (ztráta, únik, zvýšené riziko atp.) je povinna o tom neprodleně informovat příslušného vedoucího pracovníka Společnosti případně jednatel Společnosti. Společnosti má následně povinnost, pokud možno do 72 hodin informovat o incidentu dozorový orgán (Úřad pro ochranu osobních údajů). Tato povinnost Společnosti nevzniká, pokud se ukáže jako nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob. V případě, že následkem porušení je vysoké riziko pro práva a svobody subjektu údajů, vzniká správci povinnosti zpravit o události i subjekt údajů.
  7. Způsoby zpracování osobních údajů
    • a) obecné zásady
    • Společnost je povinna učinit vše proto, aby byly shromažďovány pouze aktuální a přesné údaje, a to v rozsahu nezbytně nutném pro zajištění účelu jejich zpracování. Pokud subjekt souhlas se zpracováním osobních údajů odvolá, je nutno listiny obsahující jeho osobní údaje skartovat, nejde-li o listiny, které je nutno podle zvláštních předpisů dále archivovat. Jedná-li se o údaje v elektronické podobě, je v případě odvolání souhlasu nutné příslušné záznamy smazat, nejde-li o údaje, které je nutno podle zvláštních předpisů dále archivovat či není-li nutné údaje dále uchovávat za účelem určení, výkonu nebo obhajoby právních nároků.
    • b) písemná podoba
    • Osobní údaje zaměstnanců jsou obsaženy v pracovních smlouvách. Osobní údaje obchodních partnerů jsou obsaženy v příslušných smlouvách na dodávku zboží či služeb. Osobní údaje žadatelů o zaměstnání mohou být obsaženy i v písemné podobě v případě, že uchazeč o pozici ve Společnosti zaslal svoje podklady, tj. životopis, motivační dopis či jiný podklad, v písemné podobě.
    • Fyzické nosiče osobních údajů uvedené výše jsou uchovávány na uzamykatelném místě, ke kterému má přístup pouze vymezený okruh pověřených osob.
    • c) elektronická podoba
    • Osobní údaje obchodních partnerů a klientů jsou zpravidla zpracovávány pouze v elektronické podobě. V elektronické podobě jsou zpracovávány i osobní údaje původně získané z písemných zdrojů a uvedené v předchozí sekci.
  8. Oprávnění subjektu údajů
    • S výjimkou uvedených případů, kdy právní důvod pro zpracování je jiný než souhlas se zpracováním údajů od jejich subjektů (souhlas se zpracováním není vyžadován), zpracovává Společnost osobní údaje výhradně se souhlasem jejich subjektů. Subjekty osobních údajů jsou v tomto smyslu oprávněné svůj souhlas kdykoliv odvolat.
    • Společnost poskytuje subjektům osobních údajů veškeré informace (poučení) o účelu, způsobech a jiných charakteristikách zpracování, které jsou vyžadovány právními předpisy. Tyto informace (poučení) jsou zároveň dostupné u jednatele Společnosti.
    • Další oprávnění subjektu osobních údajů na základě Nařízení:
      • – Právo na přístup k osobním údajům: Subjekt údajů má právo získat od Společnosti potvrzení, zda zpracovává jeho osobní údaje, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům.
      • – Právo na opravu a výmaz, popřípadě omezení zpracování: Subjekt údajů má právo (v případech stanovených Nařízením) požádat Společnost o opravu nebo doplnění nesprávných, resp. neúplných osobních údajů, požádat o výmaz osobních údajů, pokud odpadl nebo není dán důvod pro jejich zpracování, případně požádat omezení zpravování osobních údajů v souvislosti s řešením okolností zpracování osobních údajů u Společnosti.
      • – Právo vznést námitku: Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoliv vznést u Společnosti námitku proti zpracování jeho osobních údajů zpracovávaných pro účely oprávněných zájmů Společnosti nebo jiných osob (dle Nařízení), oprávněnými zájmy dle Nařízení můžou být zejména případy ochrany práv a právních nároků Společnosti.
      • – Právo na přenositelnost údajů: Subjekt údajů má (za podmínek stanovených v Nařízení) právo získat své osobní údaje od Společnosti a předat je jinému správci osobních údajů.
      • – Svá práva plynoucí ze zpracování osobních údajů mohou subjekty osobních údajů kdykoliv uplatnit kontaktováním Společnosti na poštovní adrese či e-mailem uvedeným výše.
      • - Právo podat stížnost u dozorového úřadu: V jakékoliv záležitosti týkající se zpracování osobních údajů má subjekt, pokud se domnívá, že zpracováním jeho osobních údajů bylo porušeno Nařízení, právo podat stížnost u dozorového úřadu. Tímto je pro subjekty s bydlištěm v České republice Úřad pro ochranu osobních údajů, se sídlem v Praze, Pplk. Sochora 27, 170 00 Praha 7, e-mail: posta@uoou.cz, tel.: +420 234 665 111.
  9. Přijetí a kontrola dodržování ustanovení směrnice a její revize
    • Tato směrnice byla přijata jednatelem Společnosti v rámci jeho pravomocí a pravidla zde uvedená jsou závazná pro všechny zaměstnance Společnosti a osoby v obdobném postavení.
    • Pověřené osoby zajistí kontrolu plnění povinností vyplývajících z ustanovení této směrnice pro nakládání s osobními údaji v mezích své působnosti. Porušení povinností zaměstnanců vyplývajících z této směrnice se považuje za závažné porušení pracovní kázně a může být důvodem k ukončení pracovního poměru.
    • Revize směrnice se provádí v případě potřeby, nejméně však jednou ročně. Za revizi a zapracování změn odpovídá jednatel Společnosti.
  10. Účinnost směrnice
    • Tato směrnice pro nakládání s osobními údaji nahrazuje doposud používaná pravidla pro nakládání s osobními údaji. Tato směrnice nabývá platnosti a účinnosti dnem