Obchodní název zaměstnavatele: Masák & Partner, s.r.o.
sídlo zaměstnavatele: Rooseveltova 575/39, 160 00 Praha 6
korespondenční adresa: Na baště sv. Ludmily 253/1, 160 00 Praha 6
IČ: 270 866 31
I. Účel
1. Účelem této směrnice, jako jednoho z organizačních opatření ve smyslu čl. 32 Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (dále také GDPR), je stanovit pravidla zpracování osobních údajů zaměstnavatelem a zásady ochrany těchto údajů uplatňované na všechny informace týkající se identifikovaného nebo identifikovatelného subjektu údajů.
2. Tato směrnice dále upravuje postupy v případě porušení zabezpečení osobních údajů ve smyslu článku 33 a 34 GDPR a zároveň práva subjektu údajů na přístup k osobním údajům ve smyslu článku 15 GDPR.
3. Tato směrnice se použije rovněž na právní vztahy mezi Masák & Partner, s.r.o. a spolupracovníky (fyzickými osobami) mimo zaměstnanecký vztah a/nebo dodavateli.
II. Definice pojmů
1. GDPR – Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.
2. Osobní údaj – Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
3. Dozorový úřad – Úřad pro ochranu osobních údajů, pokud prováděcí předpis nestanoví jinak.
4. Zaměstnavatel – Obchodní název zaměstnavatele: Masák & Partner, s.r.o.
5. Subjekt údajů – Každá fyzická osoba, včetně osob samostatně výdělečně činných.
6. Oprávněná osoba – Je každá osoba, včetně právnických osob, která pro zaměstnavatele vykonává takovou činnost, při které přichází do styku s osobními údaji subjektů, včetně zaměstnanců zaměstnavatele, event. členů jeho orgánů.
7. Pověřená osoba – Je oprávněná osoba pověřená zaměstnavatelem ke specifickým činnostem souvisejícím se zpracováním osobních údajů, zejména prevencí incidentů, zabezpečením zpracování osobních údajů, řešením stížností a žádostí, správou systémů a dalšími činnostmi. Seznam pověřených osob včetně označení jejich pověření je přílohou této směrnice.
8. Zaměstnanec – Fyzická osoba v pracovněprávním či jiném obdobném vztahu k zaměstnavateli, zejména spolupracovník (fyzická osoba) zaměstnavatele mimo zaměstnanecký vztah.
9. Dodavatel – osoba v právním vztahu se zaměstnavatelem, vůči níž má zaměstnavatel v postavení věřitele právo na určité plnění (pohledávku).
10. Zpracování osobních údajů – Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
III. Zásady zpracování osobních údajů
1. Tato směrnice se vztahuje na každou oprávněnou osobu při plnění jejích povinností.
2. Jakékoli zpracování osobních údajů musí být prováděno zákonným, spravedlivým a transparentním způsobem.
3. Každá oprávněná osoba musí být s touto směrnicí seznámena a na důkaz toho, že ji řádně pochopila a nemá k ní doplňující dotazy, připojí svůj podpis na podpisový arch, jehož vzor je přílohou této směrnice.
4. Zaměstnavatel vede záznam o činnostech zpracování osobních údajů.
5. Zaměstnavatel provádí kontrolu přesnosti, úplnosti a aktuálnosti osobních údajů minimálně 1 x za dva roky u dodavatelů a každý rok u zaměstnanců.
6. Zaměstnavatel bude zpracovávat osobní údaje po dobu trvání smlouvy a po dobu, kdy lze z takové smlouvy účinně vymáhat majetková práva, a/nebo po dobu nezbytnou k plnění archivačních povinností zaměstnavatele podle platných právních předpisů, zejména zákona č. 563/1991 Sb., o účetnictví, zákona č. 235/2004 Sb., o dani z přidané hodnoty, zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, zákona č. 499/2004 Sb., o archivnictví a spisové službě, zákona č. 262/2006 Sb., zákoník práce.
7. Zaměstnavatel zpracovává osobní údaje jak v elektronické, tak analogové formě.
8. Zaměstnavatel zajistí pravidelná školení oprávněných osob na zásady dodržování ochrany osobních údajů ve smyslu GDPR každých 12 měsíců.
9. Účelem zpracování osobních údajů je především výkon podnikatelské činnosti a souvisejících zaměstnavatele (např. plnění smluv, objednávek apod.), plnění veškerých povinností stanovených právními předpisy (např. vedení účetnictví, mezd apod.) a ochrana práv a oprávněných zájmů zaměstnavatele (např. správa pohledávek, vedení případných soudních, správní či jiných řízení, obrana před nároky třetích osob apod.).
IV. Povinnosti oprávněné osoby
1. Oprávněná osoba je povinna zpracovávat osobní údaje ve vztahu k subjektu údajů korektně a zákonným způsobem. Oprávněná osoba nesmí získané informace bez pokynu zaměstnavatele předat žádné další třetí osobě, a to ani v České republice a ani do zahraničí, tj. má povinnost mlčenlivosti.
2. Oprávněná osoba je povinna při získání osobních údajů od subjektu údajů informovat o tom pověřenou osobu, která subjektu údajů předá informační doložku dle GDPR, jejíž vzor je přílohou této směrnice, a zajistí její podpis. Pokud již tyto osobní údaje jsou obsaženy v pracovní smlouvě či jiném typu smluvního dokumentu, na jehož základě subjekt údajů vykonává pro zaměstnavatele činnost, informační doložka se nepoužije.
3. Každá oprávněná osoba smí zpracovávat osobní údaje pouze za zaměstnavatelem určeným účelem, a to pouze zaměstnavatelem určenými prostředky.
4. Oprávněná osoba je oprávněna zpracovávat osobní údaje pouze v souladu s pokyny zaměstnavatele. Oprávněná osoba smí zpracovávat pouze osobní údaje nezbytné pro plnění svých povinností vůči zaměstnavateli. Zaměstnavatel za tímto účelem zřizuje oprávněným osobám přístup výlučně k nutným evidencím osobních údajů.
5. Zjistí-li oprávněná osoba, že jsou osobní údaje jakéhokoliv subjektu údajů nepřesné, neúplné či zastaralé, ohlásí to zaměstnavateli.
6. Zjistí-li oprávněná osoba, že jsou osobní údaje zpracovávány déle, než je nezbytné pro účely, pro které jsou zpracovávány, ohlásí to bezprostředně přímému nadřízenému a nedojde-li k nápravě bez zbytečného prodlení, pověřené osobě, příp. zaměstnavateli.
7. Oprávněná osoba pracující s osobními údaji v analogové formě je povinna tyto vždy před odchodem z pracoviště uzamknout tak, aby k nim neměla přístup žádná neoprávněná osoba.
8. Oprávněná osoba pracující s osobními údaji na PC musí vždy zajistit, aby v době její nepřítomnosti bylo nezbytné pro přístup k nim zadat přístupové heslo, které nesmí prozradit třetí osobě. Zároveň se zavazuje přístupové heslo minimálně 1 x za 6 měsíců měnit.
V. Práva subjektů údajů
1. Oprávněná osoba, která obdržela v jakékoliv formě (písemně, telefonicky, osobně) žádost či stížnost fyzické osoby, která se týká nebo by se mohla týkat ochrany osobních údajů, zejména žádosti ve smyslu čl. 15–22 GDPR, oznámí tuto skutečnost příslušné pověřené osobě.
2. Příslušná pověřená osoba vyřizuje požadavky subjektů údajů v souladu s obecnými pokyny společnosti, vždy však tak, aby žádosti subjektu údajů bylo vyhověno bez zbytečného odkladu nejpozději do 1 měsíce ode dne obdržení žádosti, a aby mu byly k vyřízení jeho žádosti poskytnuty veškeré informace a v případě, že žádosti nebylo vyhověno, aby byly sděleny důvody tohoto rozhodnutí.
3. Pověřená osoba je povinna před odpovědí na požadavek ověřit identitu žádajícího subjektu údajů, a provést tak vždy přiměřeným způsobem, který zaručí dostatečnou identifikaci subjektu údajů s ohledem na formu podání, využitý komunikační prostředek a obsah žádosti subjektu údajů.
4. V případě žádosti subjektu údajů o přístup k osobním údajům poskytne příslušná pověřená osoba subjektu údajů minimálně informaci, zda osobní údaje, které se subjektu údajů týkají, jsou či nejsou zpracovávány a poskytne mu Informační doložku dle GDPR, jejíž vzor je přílohou této směrnice.
5. Informace podle tohoto článku poskytuje společnost subjektu údajů ve stejné formě, v jaké o informace subjekt údajů požádal.
VI. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu
1. Porušením zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. Může se jednat zejména o krádež nebo zničení analogově vedených informací, krádež nebo zničení elektronických médií včetně PC nebo hackerský útok.
2. Oprávněná osoba, která zjistí, že došlo k porušení zabezpečení osobních údajů je o tom povinna neprodleně informovat pověřenou osobu, a to bez ohledu na denní dobu.
3. Jakékoli porušení zabezpečení osobních údajů je zaměstnavatel povinen bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásit dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
4. Ohlášení dozorovému úřadu provede zaměstnavatel prostřednictvím datové schránky.
5. Ohlášení dozorovému úřadu podle tohoto článku musí přinejmenším obsahovat:
A. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
B. jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
C. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
D. popis opatření, která zaměstnavatel přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
Není-li možné poskytnout veškeré tyto informace současně, mohou být poskytnuty postupně bez zbytečného odkladu.
6. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí pověřená osoba toto porušení bez zbytečného odkladu subjektu údajů.
7. Zaměstnavatel prostřednictvím pověřené osoby dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření.
VII. Kontrola dodržování směrnice
1. Dohled nad dodržováním této směrnice a obecně závazných právních předpisů souvisejících s GDPR vykonává zaměstnavatel.
2. Statutární orgán zaměstnavatele slouží jako kontaktní osoba oprávněné osoby v otázkách bezpečnosti a ochrany osobních údajů. V případě jakýchkoli pochybností o výkladu této směrnice či rozsahu a obsahu zákonných povinností poskytuje statutární orgán závazný výklad, kterým jsou oprávněné osoby povinny se řídit.
3. Statutární orgán odpovídá za aktualizaci této směrnice.
VII. ZÁVĚREČNÁ USTANOVENÍ
1. Tato směrnice je nedílnou součástí komplexní soustavy vnitřních předpisů zaměstnavatele.
2. Tato směrnice byla schválena dne 31.1. 2023 a nabývá účinnosti dnem 1.2. 2023.