SMĚRNICE Ochrana osobních údajů
Tato směrnice je vydávána za účelem konkretizace povinností vyplývajících z nařízení Evropského parlamentu a Rady EU č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále jen Nařízení).
Ochrana osobních údajů
Čl. I Účel směrnice
1.1. Tato směrnice je vydávána za účelem konkretizace povinností vyplývajících z nařízení Evropského parlamentu a Rady EU č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů, dále jen Nařízení).
1.2. Směrnice je závazná pro všechny zaměstnance Alinex-Kácovská s.r.o..
Čl. II Základní pojmy
2.1. Osobním údajem se rozumí jakákoliv informace, která se týká určené nebo určitelné fyzické osoby.
2.2. Citlivý údaj je osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů.
2.3. Subjektem údajů je ten, o jehož údaje se jedná.
2.4. Zpracováním osobních údajů je jakákoliv operace s nimi činěná, tedy včetně jejich zobrazení, uložení v papírové podobě, přepsání do databáze, opravy apod.
2.5. Shromažďování osobních údajů je systematický postup, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací.
2.6. Likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování.
2.7. Správce osobních údajů je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj.
2.8. Oprávněná osoba je každý subjekt, který na základě pověření správcem zpracovává osobní údaje podle zákona o ochraně osobních údajů, tj. zaměstnanec úřadu, který zpracovává osobní údaje v rámci svých pracovních povinností.
Čl. III Základní zásady nakládání s osobními údaji
3.1. Alinex-Kácovská s.r.o.zpracovává osobní údaje korektním a transparentním způsobem.
3.2. Alinex-Kácovská s.r.o.před každým zpracováním osobních údajů stanoví účel a právní důvod tohoto zpracování.
3.3. Alinex-Kácovská s.r.o.zpracovává osobní údaje pouze v nezbytném rozsahu a po dobu nezbytnou k danému účelu.
3.4. Alinex-Kácovská s.r.o.zpracovává osobní údaje přesné a podle potřeby je aktualizuje.
3.5. Alinex-Kácovská s.r.o.(dále jen „ALINEX-KÁCOVSKÁ S.R.O.“) zajišťuje náležité zabezpečení osobních údajů.
Čl. IV Vnitřní pravidla upravující povinnosti zaměstnanců
4.1 Odpovědný zaměstnanec
Zaměstnanec odpovědný za oblast ochrany osobních údajů, bude určen včetně odpovídajícího nastavení procesů a vedení dokumentace souladu s Nařízením (dále jen „Odpovědný zaměstnanec“). Odpovědný zaměstnanec je současně pověřencem pro ochranu osobních údajů, který je pověřen stykem s Úřadem pro ochranu osobních údajů.
4.2 Informování subjektů údajů
Odpovědný zaměstnanec zajistí informování subjektů údajů, jejichž údaje Alinex zpracovává. Informace určené uživatelům zveřejní na webových stránkách a dále pak na informační nástěnce na veřejně přístupném místě. Informace určené zaměstnancům zveřejní ve sdíleném adresáři Veřejné složky. Oprávněné osoby informují konkrétní subjekt údajů o účelu a době, po kterou budou jeho os. údaje uchovávány, při přebírání údajů.
4.3 Přístup k osobním údajům2
Požádá-li subjekt údajů o sdělení svých osobních údajů, ověří oprávněná osoba (dále také zaměstnanec) totožnost žadatele. Pokud subjekt údajů podává osobně písemnou žádost o přístup k osobním údajům, oprávněná osoba, která žádost přebírá, potvrdí totožnost žadatele na žádosti. U poštovního podání žádosti je nutné úředně ověřený podpis žádosti. Při podání žádosti prostřednictvím datové schránky se totožnost považuje za prokázanou, je-li žádost zaslána prostřednictvím datové schránky žadatele. V případě elektronického podání žádosti musí být podepsána uznávaným elektronickým podpisem s identifikátory.
Žádost může být podána na formuláři zveřejněném na webových stránkách nebo volnou formou.
Běžné provozní dotazy týkající se osobních údajů subjektu údajů vyřídí oprávněná osoba obratem. Pokud žadatel požádá, oprávněná osoba požadované údaje zdarma vytiskne.
K vyřízení ostatních žádostí o přístup k osobním údajům je příslušný odpovědný zaměstnanec. Žádost je povinen vyřídit do 30 dnů. Lhůtu je možné prodloužit v případě potřeby a s ohledem na složitost a počet žádostí o další dva měsíce. O prodloužení lhůty žadatele informuje bez zbytečného odkladu, nejpozději však do 10 dnů od obdržení žádosti.
4.4 Přesnost údajů, právo na opravu a doplnění
Oprávněné osoby jsou povinny dbát na správnost zpracovávaných osobních údajů.
Na správnost osobní údajů dbá oprávněná osoba zejména při přepisování údajů z formulářů do registrů nebo příslušných aplikací.
Subjekt údajů má právo žádat opravu a doplnění osobních údajů, které se ho týkají.6 Žádost podanou uživatelem na pracovišti ALINEX-KÁCOVSKÁ S.R.O. oprávněná osoba vyřídí po ověření totožnosti obratem.
Zjistí-li oprávněná osoba, že v systému došlo ke zjevnému překlepu, údaj opraví.
4.5 Povinnosti oprávněných osob – zaměstnanců, zabezpečení osobních údajů
Zaměstnanci jsou povinni osobní údaje zpracovávat výhradně v rámci svých pracovních náplní.
K osobním údajům mají přístup pouze určení zaměstnanci.
Zaměstnanci, kteří přicházejí do styku s osobními údaji uživatelů, jsou povinni zachovávat mlčenlivost o osobních údajích a přijatých opatřeních k jejich ochraně, o nichž se v souvislosti se svým zaměstnáním (výkonem funkce) dozvěděli, a to i po skončení svého pracovního poměru.
Odpovědní zaměstnanci jsou povinni se vyvarovat jakéhokoli jednání, které by mohlo být chápáno jako neoprávněné zveřejňování osobních údajů, nebo vést k neoprávněnému přístupu třetích osob k osobním údajům. Zejména, ale nikoliv nesmí:
– sdělovat jakékoliv osobní údaje jiné osobě, než která je subjektem údajů nebo je jejím zákonným zástupcem,
– hlasitě sdělovat osobní údaje v prostorách ALINEX-KÁCOVSKÁ S.R.O. (kupříkladu číst údaje získané z registrů, smluv, formulářů, pracovních podkladů apod.), a to i v případě, že je subjekt údajů přítomen, pokud si to výslovně nevyžádá,
– dovolit nepovolaným osobám nahlížet do listin, které nesou osobní údaje, nebo na obrazovku monitoru, kde jsou takové údaje zobrazeny,
– neumožnit zpracování osobních údajů jiné osobě, která není pro konkrétní účel zpracování oprávněnou osobou,
– vytištěné dokumenty obsahující osobní údaje neprodleně po vytištění odebírat z tiskáren, kopírek nebo faxů,
– skartovat dokumenty, které již nebudou potřebovat či využívat a které nejsou povinni archivovat,
– zachovávat jedinečnost a důvěrnost přístupového hesla, tj. nesdílet heslo s jinou osobou, nezaznamenávat heslo např. na papíře, v souborech v počítači nebo na přenosných médiích,
– provést odhlášení při každém odchodu od pracovní stanice,
– v případě zjištění porušení opatření k ochraně osobních údajů (nebo nabytí podezření) informovat neprodleně vedoucí a ALINEX-KÁCOVSKÁ S.R.O..
Všichni zaměstnanci, kteří se podílejí na sběru a zpracování osobních údajů musí být seznámeni se zněním zákona na ochranu osobních údajů.
Veškeré fyzické dokumenty, které obsahují osobní údaje, oprávněné osoby ukládají oprávněné osoby v místnostech, kam je zamezen přístup nepovolaných osob, v uzamčeném prostoru. Přístup k těmto písemnostem je omezen pouze na zaměstnance, kteří s nimi pracují v rámci svých pracovních úkolů. Dokumenty se uchovávají pouze po nezbytnou dobu a následně se archivují. Tyto činnosti se řídí spisovým řádem.
Pokud je pro plnění pracovních úkolů nezbytné vytvářet soubory s osobními údaji příslušné aplikace, ukládá je oprávněná osoba na předem určená místa na síťovém disku s omezenými přístupovými právy, a tyto soubory maže, jakmile je nepotřebuje.
Oprávněná osoba soubory se seznamy osobních údajů uživatelů nikdy nenahrává na přenosná média (ani na notebooky) a cloudy, neposílá emailem ani nevystavuje na intranetu. Výjimky povoluje vedoucí ALINEX-KÁCOVSKÁ S.R.O..
Správce IT pravidelně posuzuje úroveň zabezpečení IT systémů (včetně systému uživatelských oprávnění) s ohledem na rizika pro subjekty osobních údajů, a v případě potřeby přijímá vhodná technická a organizační opatření, aby rizika zmírnil.7
Vedoucí zaměstnanci plnění povinností k ochraně osobních údajů průběžně kontrolují.
4.6 Porušení zabezpečení
Zjistí-li kterýkoli zaměstnanec, že došlo k porušení zabezpečení osobních údajů, případně úniku osobních údajů, neprodleně o tom odešle zprávu odpovědnému zaměstnanci, který ve spolupráci s pověřencem pro ochranu osobních údajů zajistí další kroky. V případě rizika porušení zabezpečení počítačové sítě hlásí problém na helpdesk správce počítačové sítě.
Oprávněná osoba ve spolupráci s pověřencem pro ochranu osobních údajů vyhodnotí riziko pro práva a svobody fyzických osob, a pokud vyhodnotí, že riziko existuje, ohlásí tuto skutečnost nejpozději do 72 hodin od porušení zabezpečení ÚOOÚ.
Pokud je riziko pro práva a svobody fyzických osob vysoké, zejména pokud došlo k úniku hesel, odpovědný oprávněná osoba vhodným způsob informuje dotčené osoby.
4.7 Likvidace osobních údajů
Pokud městská část přestane shromažďovat a zpracovávat osobní údaje, provede jejich likvidaci následujícím způsobem:
– skartace originálních písemností;
– vymazání v elektronických databázích, popř. jejich anonymizace (výmaz jména, příjmení,
adresy bydliště apod.);
– trvalé vyloučení z dalšího zpracování (odstranění záznamu apod.).
Čl. V Závěrečná ustanovení
1.Vedoucí je povinen seznámit všechny své podřízené zaměstnance s touto směrnicí.
2.Směrnice nabývá účinnosti dne 25.5.2018
V Praze dne 22.5.2018
ALINEX-KÁCOVSKÁ S.R.O. Praha