Směrnice pro ochranu osobních údajů
Směrnice pro ochranu osobních údajů
Tato směrnice je vnitřním předpisem obchodní společnosti OP CABLE s.r.o., IČ: 02591898, se sídlem Za Olomouckou 4184/17, 796 01 Prostějov, zapsána v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 81809 /dále jen „správce“/ přijatá za účelem zajištění ochrany osobních údajů spravovaných správcem. Tato směrnice je přijata v souvislosti s nabytím účinnosti Nařízení Evropského parlamentu a rady /EU/ 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů v platném znění /dále jen „nařízení“/.
Tato směrnice obsahuje závazné pokyny, informace, pravidla, postupy a poučení pro zaměstnance správce a případné spolupracující osoby správce, které se k dodržování této směrnice zaváží. Směrnice je rovněž závazná pro jednatele společnosti. Všechny osoby, které jsou povinny řídit se touto směrnicí budou nadále pro účely této směrnice označovány jako „povinné osoby“.
Cílem této směrnice je zajištění odpovídajícího standardu ochrany osobních údajů. Dodržování této směrnice přispěje ke snížení rizika spočívajícího v možném porušení povinností, které správci ukládá nařízení, jakož i další platné a účinné právní předpisy.
„Osobním údajem“ se pro účely tohoto dokumentu rozumí jakákoli informace týkající se určené nebo určitelné fyzické osoby, k níž se osobní údaje vztahují. Tato se považuje za určenou nebo určitelnou, jestliže lze fyzickou osobu přímo či nepřímo identifikovat, zejména na základě čísla, kódu nebo jednoho či více prvků specifických pro její fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. „Subjekty údajů“ se pro účely této směrnice rozumí zejména zákazníci, potenciální zákazníci, dodavatelé, potenciální dodavatelé správce a zájemci o zaměstnání u správce.
„Zpracováním osobních údajů“ je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů jako je shromáždění, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení osobních údajů, a to bez ohledu na to, zda je prováděno s pomocí či bez pomoci automatizovaných postupů.
„Nosičem osobních údajů“ je jakýkoli materiál nebo zařízení, na kterém jsou zachyceny nebo na kterém jsou nahrány osobní údaje. Může se tak jednat o papírovou dokumentaci včetně šanonů a složek, CD, DVD, externí disky, softwarové vybavení, disk počítače, server apod.
Správce zpracovává osobní údaje v souvislosti se svou obchodní činností. Správce zpracovává osobní údaje pouze v nezbytném rozsahu. Povinné osoby nejsou oprávněny shromažďovat jakékoli jiné údaje o fyzických osobách nesouvisející s činností správce. Povinné osoby dále nejsou oprávněny se zpracovávanými osobními údaji nakládat v rozporu s touto směrnicí, uzavřenou smlouvou nebo platnou právní úpravou.
Základní povinnosti povinných osob
Povinné osoby nejsou oprávněny využít osobní údaje k jiným účelům, než pro jaké byly shromážděny.
Veškeré osobní údaje jsou údaji důvěrnými, tj. vztahuje se na ně mlčenlivost a povinné osoby nejsou oprávněny tyto informace jakkoli sdělovat nebo poskytovat jakýmkoli třetím osobám vyjma plnění účelu, pro který byly tyto osobní údaje shromážděny. Povinná osoba nesmí osobní údaje a související informace, jakož i informace o zabezpečení osobních údajů správcem, sdělovat ani spolupracovníkům nedotýká-li se toto sdělení výkonu pracovní činnosti, rodinným příslušníkům, osobám blízkým apod.
Je zakázáno osobní údaje jakkoli sdružovat či vytvářet jakékoli databáze osobních údajů není-li to nezbytné pro plnění účelu, pro který byly osobní údaje shromážděny, a nedal-li k těmto činnostem správce svůj výslovný souhlas.
Povinné osoby nejsou oprávněny údaje jakkoli prodávat, pronajímat či jinak za úplatu či bezúplatně zpřístupňovat třetím osobám či je využít pro získání majetkového prospěchu ať již svého, tak jakékoli třetí osoby.
Povinné osoby nesmí přistupovat k jiným osobním údajům, než jsou ty, které nezbytně potřebují pro výkon své činnosti pro správce. Zvláště není dovoleno pokoušet se o přístup do zabezpečených složek svěřených jiné povinné osobě a přistupovat k softwarovému nebo hardwarovému vybavení svěřené jiné povinné osobě bez výslovného pokynu správce.
Bezodkladně po té, co se povinné osoby dozví o případném narušení zabezpečení osobních údajů, jsou povinny tuto skutečnost okamžitě sdělit správci a specifikovat, v čem narušení zabezpečení spočívá.
Povinné osoby jsou povinny dodržovat zásadu tzv. „čistého pracovního stolu“, tj. před opuštěním pracoviště jsou vždy povinny zkontrolovat, zda jsou veškeré nosiče, na kterých jsou osobní údaje uchovávány řádně zajištěny v souladu s touto směrnicí. Bez provedení této kontroly není povinná osoba oprávněna opustit pracoviště, leda by setrvání na pracovišti hrozilo větší újmou, než jaká by mohla být způsobena poškozením, ztrátou, zničením nebo zcizením nosiče osobních údajů.
Povinné osoby jsou vázány podniknout veškerá nezbytná opatření, aby předešly a zamezily poškození, ztrátě, zničení nebo zcizení nosiče osobních údajů.
Veškeré poznámky a zápisky obsahující osobní údaje musí být bezodkladně po té, co jejich uchování pozbyde významu, skartovány.
Povinnosti při jednotlivých činnostech zpracování
Povinné osoby jsou při jednotlivých činnostech zpracování povinny dodržovat tyto závazné pokyny:
Komunikace
Veškerá e-mailová komunikace probíhá vždy jen prostřednictvím zabezpečené e-mailové adresy, která byla povinné osobě správcem poskytnuta. Není dovoleno používat osobní e-mailové adresy pro komunikaci obsahující osobní údaje zpracovávané správcem.
Veškerá komunikace probíhá prostřednictvím zařízení svěřených povinné osobě správcem nebo zařízení, které byly správcem pro dané použití schváleny.
Zakazuje se poskytování jakýchkoli osobních údajů telefonicky nebo nezabezpečenou poštou.
V případě, že má povinná osoba jakoukoli pochybnost o identitě druhé osoby, které by měla sdělit jakékoli osobní údaje, musí zachovat mlčenlivost, až do vyjasnění veškerých pochybností.
V případě, že povinná osoba při zpracování jakékoli dokumentace zjistí, že její součástí je jakákoli listina určená pouze k soukromým účelům subjektu údajů, je povinna okamžitě ustat se zpracováním osobních údajů z této listiny, listinu řádně zajistit proti náhodnému přečtení /tj. např. vložit do obálky/ a předat subjektu údajů nebo bezpečně uložit pro pozdější předání subjektu údajů.
Jakákoli zásilka adresovaná na jméno fyzické osoby /tj. jejímž adresátem není správce/ bude neotevřená předána adresátovi, a to ve lhůtě co nejkratší. Ostatní zásilky se otevírají a předávají jednotlivým pracovníkům, kteří mají svěřenu dotčenou záležitost. Zásilky určené správci musí být vždy opatřeny údajem o datu příjmu. Pokud by takovým údajem mohla být listina znehodnocena, opatří se tímto údajem obálka, ve které listina přišla.
Nábor zaměstnanců
Za nábor zaměstnanců je odpovědný jednatel, vedoucí kanceláře a vedoucí výroby. Jiné osoby nemají přístup k údajům zájemců o zaměstnání.
Již při zadávání poptávky po nových zaměstnancích uveřejní povinná osoba odkaz na Zásady ochrany osobních údajů přijatých společností tak, aby subjekt údajů měl ještě před poskytnutím údajů správci informaci o tom, jakým způsobem správce data zpracovává a jakým způsobem s nimi zachází.
Informace o uchazečích, u kterých je patrné, že k uzavření pracovněprávního vztahu nedojde s ohledem na jejich nevyhovující kvalifikaci nebo další nevyhovující okolnosti, musí být okamžitě zlikvidovány, tj. musí dojít k nenávratnému výmazu jakýchkoli elektronických kopií těchto informací, jakož i ke skartaci dokumentů obsahujících tyto osobní údaje.
U zájemců, kteří nebyly pro danou pracovní pozici vybráni, ale u kterých je pravděpodobnost, že by jim v blízké době mohla být nabídnuta jiná pracovní nabídka, je možné, aby jejich osobní údaje byly zpracovávány i po obsazení nabízené pozice, ovšem pouze po přiměřenou dobu – tj. po dobu 3 měsíců. Po uplynutí této doby je již pravděpodobné, že by subjekt údajů o nabídku zaměstnání neměl zájem, a povinná osoba přistoupí k likvidaci takovýchto osobních údajů.
Zakazuje se sdělovat zájemcům o zaměstnání nepravdivé nebo zkreslující informace.
Zakazuje se sbírat u uchazečů o zaměstnání více informací, než kolik povinná osoba potřebuje pro vyhodnocení vhodnosti kandidáta.
Zaměstnanecká evidence
Při přijetí do zaměstnání zjišťuje správce od subjektů údajů pouze takové informace, které nezbytně potřebuje pro plnění zákonných povinností a uplatňování práv zaměstnavatele v souvislosti s pracovním poměrem zaměstnanců, mzdové účetnictví, odvody daní, poplatků a povinných odvodů na sociální, zdravotní, případně úrazové pojištění, evidence docházky do zaměstnání, plnění povinností týkajících se bezpečnosti a ochrany zdraví při práci a evidence pracovních cest.
Povinné osoby nejsou oprávněny od zaměstnanců zjišťovat jakékoli jiné osobní údaje v souvislosti se zpracováním.
Získané osobní údaje jsou uchovávány v zaměstnaneckých složkách na zabezpečeném místě v uzamčené kanceláři. Povinné osoby jsou oprávněny tyto osoby zpřístupnit pouze zpracovatelům uvedeným v Záznamu o zpracování č. 3. Je přísně zakázáno zaměstnanecké složky vynášet z příslušné kanceláře, nedal-li k tomu správce výslovný pokyn.
Povinné osoby nejsou oprávněny sdělovat ostatním spolupracovníkům více osobních údajů, než je nezbytné pro výkon spolupráce.
Povinné osoby musí subjekt údajů seznámit se Zásadami ochrany osobních údajů přijatých správcem bezprostředně před uzavřením pracovního poměru. Současně bude subjektu údajů předána Informace o zpracování osobních údajů zaměstnanců.
Povinná osoba před prvním vstupem subjektu údajů do provozovny upozorní, že prostor je monitorován kamerovým systémem a seznámí subjekt údajů s velikostí monitorovaného prostoru.
Odběratelsko-dodavatelské vztahy
Ke komunikaci s odběrateli a dodavateli je oprávněna pouze povinná osoba určená správcem. Povinné osoby vždy přistupují k osobním údajům odběratelů a dodavatelů pouze v nezbytných případech a v nezbytném rozsahu. Komunikace probíhá vždy podle pravidel stanovených výše v sekci „komunikace“.
Povinné osoby musí každého nového odběratele nebo dodavatele prokazatelně informovat o přijatých Zásadách ochrany osobních údajů /zasláním e-mailového oznámení/.
O vymáhání dospělých dosud neuhrazených pohledávek rozhoduje jednatel společnosti. Nezbytné údaje jsou v takovém případě postoupeny poskytovateli právních služeb.
Povinné osoby jsou povinny zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví v souvislosti s dodavatelsko-odběratelskými vztahy správce.
Datová schránka
Přístup do datové schránky má pouze jednatel společnosti, případně pověřený zaměstnanec, kterého jednatel společnosti správou datové schránky pověří, a smluvně vázaný poskytovatel účetních služeb. Osoby pověřené přístupem do datové schránky nejsou ovšem oprávněny učinit jakékoli podání bez vědomí a souhlasu jednatele společnosti.
Přístupové údaje k datové schránce jsou považovány za údaje důvěrné a heslo je potřeba podrobit zvláštní ochraně s ohledem na skutečnost, že prostřednictvím datové schránky může být učiněna řada závazných a vymahatelných úkonů.
Datovou schránkou mohou být osobní údaje zpřístupňovány třetím osobám v případech, kdy tak stanoví zákon /podání pro daňovou správu, zdravotní pojišťovny, Českou správu sociálního zabezpečení, Kooperativu, pojišťovnu, apod./ nebo v případě, kdy k tomu bude správce vyzván soudním příkazem nebo jiným rozhodnutím správního orgánu příslušného k výkonu dozoru nad činností správce.
Marketing
Správce je oprávněn vykonávat marketingovou činnost a zveřejňovat prezentaci společnosti, jakož i svých výrobků prostřednictvím svých webových stránek xxx.xxxxxxx.xx. V rámci této prezentace může správce uvést i kontakt na některé povinné osoby, pokud zveřejnění kontaktu odpovídá pracovní náplni dané pracovní pozice.
Povinné osoby nejsou oprávněny měnit informace uveřejněné na webových stránkách bez vědomí a výslovného pokynu jednatele společnosti.
Správce zřídil uživatelský účet služeb Facebook za účelem prezentace společnosti. Osoba pověřená správou účtu není oprávněna umožnit přístup k účtům jakékoli třetí osobě. Tato osoba není oprávněna zveřejnit prostřednictvím tohoto účtu jakékoli osobní údaje. Osoba pověřená správou účtu může odpovídat na vznesené dotazy uživatelů služby, nesmí je však sama aktivně kontaktovat.
Účetnictví
Veškeré účetní podklady jsou shromažďovány v uzamčené kanceláři a předávány zpracovateli smluvně vázanému poskytovateli účetních služeb. Účetní údaje jsou rovněž předávány prostřednictvím softwarového řešení Helios, do kterého jsou průběžně pověřeným pracovníkem zaznamenávány veškeré prodeje.
Veškeré účetní záznamy jsou vedeny v účetním softwarovém řešení Helios.
Povinné osoby nesmí umožnit přístup k uživatelskému účtu Xxxxxx žádné třetí osobě ani žádné třetí osobě nesdělit heslo k uživatelskému účtu.
Povinné osoby jsou ve všech věcech týkajících se vedení účetnictví oprávněny komunikovat pouze s účetní, která je smluvně vázána a má se správcem uzavřenu Smlouvu o zachování důvěrnosti informací.
Bez výslovného pokynu správce nejsou povinné osoby oprávněny poskytnout jakékoli informace týkající se účetnictví jakékoli třetí osobě.
Kamerový systém
Provozovna správce je chráněna kamerovým systémem s ohledem na skutečnost, že v provozovně došlo k opakovaným ztrátám materiálu a pracovním úrazům. Tato skutečnost byla sdělena všem zaměstnancům. Vedle toho jsou monitorované prostory označeny piktogramy tak, aby o kamerovém systému byly informovány všechny třetí osoby vstupující do provozovny.
Vedoucí kanceláře je povinen zajistit, aby monitorované prostory byly řádně označeny, a to jak piktogramem, tak kontaktem na správce. Vedle toho je povinen zajistit, aby kamery nebyly mířeny do obličejů vstupujících osob.
Přísně se zakazuje užívat kamerový systém k monitoringu nebo sledování zaměstnanců, k hodnocení jejich pracovních výsledků nebo kázně.
Zakazuje se, aby k záznamům přistupovaly jiné osoby, než vedoucí kanceláře nebo vedoucí výroby. Tyto osoby jsou oprávněny se souhlasem správce zpřístupnit tyto záznamy pouze Policii České republiky za účelem vyšetření podezření ze spáchání trestné činnosti nebo v pojišťovně v případě způsobení škod.
Poskytování místa na datovém serveru
Správce poskytuje třetím smluvně vázáným osobám možnost uložení dat na svém datovém serveru, a to do složky, která takové třetí osobě byla vytvořena. Přístup ke složce je šifrován a chráněn heslem.
Správce garantoval těmto třetím osobám, že k údajům uloženým v jejich složce nebude nijak aktivně přistupovat. Zakazuje se povinným osobám pokoušet se o přístup do těchto složek. Stejně tak se zakazuje informovat se na heslo nebo možnost přístupu u těchto třetích osob.
Databáze souhlasů
Správce ve spolupráci se svým obchodním partnerem nabízí zaměstnancům možnost parkování v areálu, ve kterém se nachází provozovna správce. V této souvislosti je nezbytné vedení seznamu oprávněných zaměstnanců, kteří k zápisu do takového seznamu dali souhlas. Osoba pověřená správcem vede databázi souhlasů, ve které sleduje, zda jsou všechny udělené souhlasy aktivní. V případě, že souhlas jakékoli osoby přestane splňovat tuto podmínku, tj. pozbyde platnosti nebo bude subjektem údajů odvolán, je pověřená osoba povinna vymazat údaje subjektu údajů ze všech seznamů umožňující parkování v areálu a veškeré související evidence. V případě, že subjekt uplatní své právo na omezení zpracování nebo na provedení opravy, je pověřená osoba povinna pozastavit zpracování takovýchto údajů až do chvíle, kdy bude požadavek subjektu údajů vyřízen.
Hardwarové vybavení
Povinné osoby jsou povinny využívat pouze takové hardwarové vybavení, které jim bylo ze strany správce přiděleno, nebo které bylo správcem schváleno pro užívání v souvislosti se zpracováním osobních údajů. Povinné osoby nejsou oprávněny měnit bezpečnostní nastavení svěřeného hardwarového vybavení.
Povinné osoby nejsou oprávněny vynášet svěřené hardwarové vybavení mimo prostor vymezený správcem pro užívání takovéhoto zařízení. To neplatí pro mobilní zařízení, u kterých dal správce souhlas s užíváním mimo vymezený prostor.
V případě, že bude hardwarové vybavení se souhlasem správce vyneseno mimo vymezený prostor, je povinná osoba zavázána uchovávat zařízení na bezpečném místě. Při přepravě zařízení musí být toto vždy pod dohledem povinné osoby. Povinná osoba není oprávněna zpřístupnit takové zařízení třetí jakékoli osobě.
V případě, že je povinné osobě přidělen uživatelský účet, je tato povinna zabezpečit jej odpovídajícím heslem dostatečné síly. Heslo vždy musí obsahovat malá i velká písmena, číslice a zvláštní znaky, přičemž minimálním počtem znaků hesla je 8. Povinná osoba není oprávněna takovéto heslo ke svému uživatelskému účtu sdělit jakékoli třetí osobě a za přístup k osobním údajům prostřednictvím svého uživatelského účtu plně odpovídá.
Zakazuje se jakékoli informace o heslech umísťovat na hardwarové vybavení nebo do snadno přístupných nebo viditelných míst.
Zakazuje se instalace jakéhokoli softwaru na hardwarové vybavení správce bez vědomí a výslovného souhlasu správce.
Zakazuje se hardwarové vybavení správce nebo vybavení obsahující osobní údaje zpracovávané správcem připojovat k jakýmkoli neznámým nebo nezabezpečeným sítím.
Na veškerých počítačích i telefonech vždy musí být aktivováno automatické uzamknutí obrazovky nebo displeje maximálně po 3 minutách nečinnosti tak, aby opakované odemknutí přístroje vyžadovalo zadání bezpečnostního hesla.
Zabezpečení kanceláří a hardwarového vybavení
Povinné osoby, které od správce obdrželi klíč nebo jiný přístupový prostředek do jakéhokoli objektu využívaném správcem, musí tyto přístupové prostředky řádně zabezpečit a chránit je před poškozením, zničením a zejména ztrátou nebo zcizením. V případě, že dojde ke ztrátě nebo zcizení takového přístupového prostředku, je povinná osoba o této skutečnosti bezodkladně informovat správce, který přijme vhodná opatření k tomu, aby nemohlo dojít k úniku, ztrátě nebo zcizení dat uchovávaných v objektu /tj. zejména zajistí bezodkladnou výměnu zámku, deaktivaci přístupového čipu apod./.
Povinné osoby nesmí přístupové prostředky do objektu ponechat v nezabezpečeném prostoru bez dozoru nebo je ponechat v dispozici jakékoli třetí osoby.
Povinné osoby, které od správce obdrží jakékoli hardwarové vybavení, na které se ukládají osobní údaje zpracovávané správcem, nesmí nechat toto hardwarové vybavení v nezabezpečeném prostoru bez dozoru nebo jej ponechat v dispozici třetí osoby. V případě, že dojde k poškození, ztrátě, zničení či zcizení takovéhoto zařízení, musí o této skutečnosti povinná osoba bezodkladně informovat správce. V případě, že má povinná osoba podezření, že by jí svěřené hardwarové vybavení mohlo být předmětem hackerského útoku, je povinna bezodkladně o této skutečnosti informovat správce a podniknout veškeré nezbytné kroky k tomu, aby dokončení útoku zabránila /tj. okamžitě kontaktovat správce IT a splnit veškeré jím udělené pokyny/.
Server společnosti je umístěn v zabezpečené místnosti bez oken, která je chráněna bezpečnostními dveřmi zabraňujícími jednak neoprávněnému přístupu jednak požáru. Přístup k serveru má pouze jednatel společnosti a v jeho doprovodu správce IT, příp. osoba pro daný případ pověřená jednatelem společnosti. Vždy se však musí jednat o prověřenou důvěryhodnou osobu. Přistupující osoba je vždy před opuštěním prostoru povinna zkontrolovat, že server je řádně zajištěn proti přístupu třetích osob, tj. že bezpečnostní dveře jsou řádně zamčeny. Klíče od přístupových dveří jsou uchovávány na zabezpečeném místě, ke kterému má přístup jednatel společnosti.
Povinné osoby jsou vždy před opuštěním jakéhokoli chráněného zamykatelného prostoru správce povinny se přesvědčit, že zanechaly všechna elektrická zařízení řádně zabezpečená, okna dobře zavřená a dveře musí být řádně zamknuty. Povinné osoby, nejsou oprávněny opustit místa, která jsou napojena na bezpečnostní systém bez tohoto, aniž by tento bezpečnostní systém aktivovaly. Ustanovení tohoto odstavce neplatí v případě, že v prostoru se stále nacházejí jakákoli další povinná osoba mající do daných prostor přístup.
Archiv společnosti se nachází v prvním patře budovy a je chráněn bezpečnostními dveřmi. Do archivu má přístup pouze jednatel a jím určená osoba. Obě tyto osoby dbají na to, aby dveře archivu byly vždy řádně uzamčeny a veškerá okna uzavřena. Bez provedení této kontroly nejsou povinné osoby oprávněny opustit archiv.
Bezpečnostní incidenty
Bezpečnostním incidentem se rozumí porušení zabezpečení osobních údajů, které vede nebo by mohlo vést k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
V případě, že povinná osoba zjistí jakýkoli bezpečnostní incident nebo jeho hrozbu, je povinna tuto skutečnost okamžitě oznámit správci.
V případě, že dojde k bezpečnostnímu incidentu, oznámí správce toto porušení bez zbytečného odkladu, pokud možno do 72 od okamžiku, kdy se o incidentu dozvěděl Úřadu pro ochranu osobních údajů, ledaže je nepravděpodobné, že by narušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud správce vyhodnotí, že záležitost je bagatelní, tedy bez rizika pro práva a svobody fyzických osob, neoznámí tuto skutečnost dozorovému úřadu, ale přijme taková opatření, aby se incident neopakoval.
Při určování rizika porušení zabezpečení vychází správce zejména z kategorie osobních údajů, které byly bezpečnostním incidentem dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko představují zvláštní kategorie údajů /tj. údaj o zdravotním stavu/, případně údajů, jimiž lze způsobit subjektu újmu či zásah do jeho práv. Správce vezme rovněž v úvahu, zda k porušení došlo úmyslně či nedbalostně, kdy úmyslný čin výrazně zvyšuje riziko bezpečnostního incidentu.
Pokud správce vyhodnotí, že by bezpečnostní incident mohl mít vliv na práva svobody fyzických osob, uvede v oznámení:
identifikaci správce;
povahu porušení zabezpečení;
přijatá opatření;
pravděpodobné důsledky;
kontakt na pověřenou osobu.
Pokud incident představuje vysoké riziko pro práva a svobody subjektu údajů, musí správce o incidentu informovat rovněž subjekt údajů. To neplatí, pokud by tato povinnost vyžadovala nepřiměřené úsilí. V takovém případě ovšem všechny subjekty údajů musí být informovány stejně účinným způsobem pomocí veřejného oznámení.
Odpovědnost
Správce upozornil povinné osoby, že pokud poruší povinnost mlčenlivosti s ohledem na osobní údaje zpracovávané správcem, mohou se dopustit přestupku dle § 44 a 44a zákona č. 101/2000 Sb., o ochraně osobních údajů.
Správce dále upozornil povinné osoby, že neoprávněným nakládáním s osobními údaji se mohou dopustit trestného činu neoprávněného nakládání s osobními údaji dle § 180 zákona č. 40/2009 Sb., trestní zákoník v platném znění.
Vedle toho je správce oprávněn vymáhat po povinných osobách náhradu újmy, která mu porušením povinností povinné osoby vznikla, a to až do výše stanovené Zákoníkem práce nebo Občanským zákoníkem v platném znění.
Dokumentace přijatých opatření
Osoba pověřená správcem je povinna vést složku, ve které budou založeny dokumenty:
vstupní datasheety pro zpracování analýzy GDPR
GAP analýza
Informace o zpracování – společníci
Informace o zpracování – zaměstnanci /vzor/
Dodatek k pracovní smlouvě /vzor/
Smlouvy o zachování důvěrnosti informací uzavřené se zpracovateli
Zásady ochrany osobních údajů
Cookies prohlášení
Vzory používaných souhlasů
Záznamy o činnostech zpracování
Tato směrnice
Případné další dokumenty týkající se ochrany osobních údajů
Archivační a skartační řád
Za účelem sjednotit postup při nakládání s písemnostmi nebo jinými záznamy, jejichž původcem je správce, nebo kterými správce disponuje v souvislosti se svou činností, přijal správce tyto závazné pokyny. Za správné vedení archivu odpovídá jednatel, který zabezpečuje systematické zakládání archiválií.
Materiály uložené v archivu musí být uloženy tak, aby nedošlo k jejich poškození, zničení, ztrátě nebo zcizení. K zapůjčení archiválií mimo archiv může dojít pouze s vědomím jednatele společnosti a v odůvodněných případech.
Vždy nejpozději do 31. 3. roku následujícího po roce, ve kterém byly písemnosti vyřízeny, se provádí jejich uložení do archivu správce. Před uložením do archivu musí být písemnosti označeny názvem písemnosti, časovým zařazením, skartačním znakem a skartační lhůtou. Skartační znaky vyjadřují dokumentární hodnotu jednotlivých druhů písemností:
A – písemnost má trvalou dokumentační hodnotu a je určena k úschově po neomezeně stanovenou dobu;
V – písemnost bude podrobena výběrovému řízení, ve kterém se rozhodne o případném trvalém uskladnění. Dokumentační hodnotu písemnosti posuzuje osoba odpovědná za vedení archivu, tj. vedoucí kanceláře;
S – písemnost bude po uplynutí skartační lhůty zničena.
Archiv slouží zejména k uložení písemností a záznamů, které:
správce nepotřebuje pro běžnou činnost, které neobsahují osobní údaje;
účetní doklady a další písemnosti ekonomické povahy;
písemnosti související s činností správce jako zaměstnavatele.
Skartace se dotýká pouze dokumentů, které nepatří do archivní péče a nedůležitých písemností, které byly navrženy ke zničení.
Žádné písemnosti nesmí být odevzdávány přímo do sběru, všechny dokumenty určené ke skartaci musí být nenávratně zlikvidovány tak, aby nemohlo dojít k jejich obnově.
Skartační lhůty
Materiál |
Obsah |
Skartační znak |
Skartační lhůta |
Zakladatelské dokumenty |
Společenská smlouva Stanovy |
A |
--- |
Interní předpisy |
Směrnice Řády |
S |
10 |
Dokumenty dotýkající se valné hromady |
Pozvánky Zápisy Usnesení Prezenční listiny |
A |
---
|
Evidence společníků |
Seznam společníků |
S |
6 |
Smluvní dokumentace |
Xxxxxxx s odběrateli Xxxxxxx s dodavateli Evidence uskutečněných plnění Podklady uskutečněných plnění |
S |
10 |
Zaměstnanecké složky |
Osobní dotazník Pracovní smlouvy Dohody o provedení práce Dohody o pracovní činnosti Prohlášení poplatníka daně z příjmů fyzických osob Zápočtové listy Vyúčtování daně z příjmů fyzických osob Mzdové listy |
A |
30 |
HR |
Prezenční listiny ze školení |
S |
3 |
HR |
Docházkové listy zaměstnanci |
S |
3 |
Hospodaření |
Účetní závěrka – rozvaha, výkaz zisků a ztrát a příloha Daňové přiznání |
A |
10 |
Hospodaření |
Účetní doklady Účetní knihy Účtový rozvrh |
A |
5 |
Hospodaření |
Doklady vztahující se k daňovému přiznání k dani z přidané hodnoty a výpočtu daně |
A |
10 |
Majetek |
Kupní smlouvy movité věci Xxxxxxx o dílo |
S |
10 |
Majetek |
Kupní smlouvy nemovité věci Xxxxxxx o dílo |
A |
---
|
Ostatní |
Různé |
V |
3 |
V Prostějově dne 25. 5. 2018
OP CABLE, s.r.o.
Xxxx Xxxxxxxx, jednatel