Zásady ochrany osobních údajů

Zásady ochrany osobních údajů

 

Úvod

 

Ve společnosti G&P Quality Management s.r.o., dále jen jako “společnost””, shromažďujeme a zpracováváme informace o fyzických osobách, tzv. osobní údaje, pro účely výkonu naší podnikatelské činnosti, což zahrnuje i zaměstnaneckou agendu a personalistiku, poskytování služeb, marketing a obchodní administrativu. Jedná se o osobní údaje týkající se našeho personálu, našich zákazníků, dodavatelů a dalších třetích stran.

 

Dodržování předpisů o ochraně osobních údajů je základním předpokladem k zajištění bezpečnosti osobních údajů a našich obchodních operací a respektování práv fyzických osob. Společnost je správcem osobních údajů ve smyslu předpisů o ochranně osobních údajů, což znamená, že sama rozhoduje, jak a proč bude osobní údaje využívat. Tento dokument vysvětluje naše postupy pro zajištění souladu s předpisy o ochraně údajů ve vztahu k osobním údajům. Současně stanovuje vaše povinnosti ve všech situacích, kdy v rámci svého zaměstnání zpracováváte osobní údaje.

 

Přicházíte-li běžně do styku s osobními údaji, budete speciálně proškoleni / instruováni v oblasti ochrany údajů v rámci své konkrétní pozice / oddělení. Toto školení se považuje za doplněk ke zde popsaným zásadám.

 

Na vaši práci s osobními údaji a na ochranu údajů se vztahují i další předpisy, a to především naše předpisy v oblasti IT a komunikačních systémů, jimiž jste povinni se v příslušných situacích řídit.

 

Tento dokument neudílí žádným zaměstnancům žádná smluvní práva. Může být kdykoli aktualizován.

 

 

Na koho se tyto zásady vztahují?

 

Tyto zásady se vztahují na všechny zaměstnance, pracovníky, dodavatele, zástupce, konzultanty, stážisty, dobrovolníky, partnery a ředitele společnosti, dále označováni společně jen jako „zaměstnanci“.

 

Kdo ve společnosti nese odpovědnost za ochranu údajů

 

Konečnou odpovědnost za dodržování příslušných předpisů o ochraně údajů ze strany společnosti nese její představenstvo. Společnost jmenovala manažera pro ochranu údajů, jenž odpovídá za dozor nad plněním těchto zásad a zajišťuje soulad s nimi a s předpisy o ochraně údajů a poskytuje společnosti poradenství v této oblasti.

 

Všichni zaměstnanci společnosti nesou určitou míru odpovědnosti za zajištění bezpečnosti osobních údajů a jejich zpracování zákonným způsobem, nicméně někteří z nich ponesou zvláštní odpovědnost, s jejíž konkrétní podobou budou seznámeni a v souvislosti s níž jim bude poskytnuto zvláštní školení / instruktáž.

 

V případě jakýchkoli pochybností ohledně práce s osobními údaji nebo jakýchkoli obav či dotazů týkajících se platnosti nebo potenciálního porušení těchto zásad se obracejte na manažera pro ochranu údajů.

 

 

Proč je zajištění ochrany osobních údajů důležité?

 

Z porušování předpisů o ochraně osobních údajů mohou pro společnost a v některých případech i pro jednotlivé zaměstnance plynout závažné právní důsledky, například ve formě trestní odpovědnosti a pokuty ve výši až 20 milionů EUR (cca 18 milionů GBP) nebo 4 % celkového ročního celosvětového obratu, podle toho, která z částek je vyšší. Kromě toho se jakákoli fyzická osoba může vůči nám soudní cestou domáhat odškodnění, pokud porušíme její práva podle předpisů o ochraně osobních údajů. Porušení předpisů o ochraně osobních údajů může také významně poškodit naši značku a pověst.

 

Neplnění povinností plynoucích z těchto zásad může kromě právní odpovědnosti vést k disciplinárnímu řízení a v závažných případech i k ukončení vašeho pracovního poměru.

 

Co jsou osobní údaje?

 

Osobními údaji jsou veškeré informace o žijící fyzické osobě (také označované jako „subjekt údajů“), kterou lze přímo či nepřímo identifikovat zejména s odkazem na určitý identifikátor, jako je např. jméno, číslo národního pojištění, zaměstnanecké číslo nebo e-mailová adresa. Těmito osobami mohou být vaši kolegové, spotřebitelé, veřejnost, obchodní kontakty atd. Osobní údaje mohou být faktické, např. kontaktní údaje nebo datum narození, nebo se může jednat o názor na činy nebo jednání určité osoby nebo o informaci, která může mít jiný dopad na příslušnou fyzickou osobu. Osobní údaje mohou mít osobní nebo pracovní charakter.

 

Osobní údaje mohou být automatizovány, např. elektronické záznamy, nebo mohou být obsaženy v počítačových souborech nebo e-mailech či ručně prováděných záznamech, které jsou nebo mají být součástí evidence, např. strukturované papírové soubory a archivy.

 

Co znamená „zpracování“ osobních údajů?

 

„Zpracováním“ osobních údajů se myslí jakákoli činnost, při níž dochází k užívání osobních údajů, např. shromáždění, zaznamenání nebo držení údajů, jejich úprava, vyhledání, užití, zpřístupnění, sdílení, výmaz nebo zničení. Myslí se tím i poskytnutí nebo přenos osobních údajů třetím stranám.

 

Povinnosti spojené s ochranou údajů

 

Společnost odpovídá za dodržování předpisů o ochraně údajů a musí být schopna soulad s těmito předpisy prokázat. Aby společnost byla schopna tyto povinnosti plnit, je nezbytné, aby její zaměstnanci jednali v souladu s předpisy o ochraně údajů a veškerými dalšími firemními předpisy, směrnicemi nebo pokyny týkajícími se osobních údajů při zpracování osobních údajů v rámci svého zaměstnání.

 

Níže uvádíme klíčové povinnosti plynoucí z předpisů o ochraně údajů a podrobně popisujeme, jak společnost očekává, že její zaměstnanci budou tyto požadavky naplňovat.

 

 

  1. Zpracování osobních údajů spravedlivým, zákonným a transparentním způsobem

 

Právní základ pro zpracování

Předpisy o ochraně údajů nám dovolují zpracovávat osobní údaje pouze v případech, kdy existuje spravedlivý a zákonný důvod pro užití takových informací.

 

Právní základ pro zpracování osobních údajů existuje například v těchto případech:

 

  • plnění zákonné povinnosti, např. zdravotní a bezpečnostní nebo daňové zákony;
  • uzavírání nebo plnění smlouvy s fyzickou osobou, např. zaměstnanecké podmínky nebo smlouva o poskytování služeb s konkrétním zákazníkem;
  • jednání v oprávněném zájmu společnosti nebo třetí strany, např. vedení evidence o obchodní činnosti, sledování obchodní produktivity;
  • získání předchozího souhlasu fyzické osoby, např. pro přímé zasílání marketingových sdělení.

 

Takový souhlas, je-li vyžadován, musí být dobrovolný, konkrétní, informovaný a jednoznačný, přičemž společnost musí účinně prokázat, že takový souhlas byl udělen.

 

V souladu se směrnicemi Úřadu pro ochranu osobních údajů ohledně vztahu zaměstnance a zaměstnavatele společnost nevyužívá souhlasu jako právního základu pro zpracování zaměstnaneckých údajů, jestliže zpracování údajů není skutečně volitelné.

 

Ve většině případů se souhlas nevyžaduje ani pro další standardní pracovní aktivity, při nichž dochází k využívání údajů zákazníků nebo dodavatelů, souhlas však může být potřeba pro činnosti, které nejsou nezbytné pro řízení hlavního podnikatelského vztahu, například pro přímý marketing.

 

Transparentnost

Předpisy o ochraně údajů také požadují, abychom osobní údaje zpracovávali transparentním způsobem s tím, že jsme povinni fyzickým osobám poskytovat náležité, jasné a stručné informace o tom, jak zpracováváme jejich osobní údaje.

 

Obvykle fyzickým osobám sdělujeme základní informace o způsobu, jakým využíváme jejich osobní údaje, na formulářích, jejichž prostřednictvím údaje shromažďujeme, např. v žádostech, webových formulářích a v delších prohlášeních o ochraně soukromí s uvedením informací o: typu osobních údajů, které o nich uchováváme, jakým způsobem je využíváme, na jakém právním základě tyto informace zpracováváme, s kým je můžeme sdílet a jak dlouho je uchováváme. Například poskytujeme informace o zpracování zaměstnaneckých osobních údajů v prohlášeních o ochraně soukromí zaměstnanců.

 

Tato prohlášení ve vhodných případech doplňujeme upomínkou nebo dodatečnou informací v okamžiku, kdy dochází ke konkrétnímu úkonu v rámci zpracování nebo kdy se takový úkon stává pro fyzickou osobu relevantní, např. v okamžiku registrace k nové službě nebo akci.

 

Budete-li osobní údaj zpracovávat výhradně v rámci svých zákonných pracovních povinností a v souladu s pokyny společnosti, lze zpravidla předpokládat, že zpracování osobních údajů bude spravedlivé a zákonné.

 

Standardní prohlášení o ochraně soukromí a prohlášení, která vydáváme například našim zaměstnancům, zákazníkům a veřejnosti, by obvykle měla postačovat k tomu, aby fyzické osoby byl náležitě informovány o způsobu, jakým v rámci svého zaměstnání zacházíte s jejich osobními údaji. Nicméně byste měli zvážit, zda by nebylo vhodné zaslat upomínku nebo dodatečné informace v okamžiku, kdy dochází ke konkrétním zpracovatelským úkonům. To je důležité zejména v případě, kdy se domníváte, že fyzické osoby potřebují další informace, aby jasně pochopily, jakým způsobem budou jejich údaje v rámci takových úkonů užívány.

 

Jakékoli nové formuláře pro shromažďování osobních údajů a jakékoli navržené znění souhlasu musí být předem schváleno manažerem pro ochranu údajů.

 

Pokud máte jakékoli pochybnosti o právním základě pro zpracování osobních údajů nebo pokud si nejste jisti, zda fyzickým osobám byly poskytnuty náležité informace, zejména ohledně nových zpracovatelských úkonů, obracejte se na manažera pro ochranu údajů.

 

  1. Zvýšená péče při zpracování citlivých údajů nebo zvláštních kategorií osobních údajů

 

Některé kategorie osobních údajů se označují za „zvláštní“, protože jsou mimořádně citlivé. Jedná se o informace, které vypovídají o:

 

  • rasovém nebo etnickém původu;
  • politických názorech;
  • náboženském vyznání nebo filozofickém přesvědčení;
  • členství v odborových organizacích;
  • fyzickém nebo duševním zdraví;
  • sexuálním životě nebo sexuální orientaci;
  • biometrické nebo genetické údaje (jsou-li užívány k identifikaci fyzické osoby); a
  • informace o trestných činech nebo odsouzeních.

 

Co se týče zvláštní kategorie osobních údajů, předpisy o ochraně údajů požadují, abychom k užití těchto citlivých informací měli kromě jednoho z právních důvodů popsaných v části 1 i další právní důvod. O jaký konkrétní právní důvod se bude jednat, záleží na okolnostech.

 

Dodatečné právní důvody pro zpracování zvláštních kategorií údajů jsou uvedeny níže. Ty, které jsou označeny hvězdičkou (*), jsou pro zpracování zvláštních kategorií osobních údajů zaměstnanců obzvlášť relevantní:

 

  • plnění právní povinnosti / uplatnění zákonného práva v oblasti zaměstnanosti*;
  • hodnocení pracovní schopnosti na základě odborného lékařského posudku při zachování mlčenlivosti*;
  • monitorování rovnosti z hlediska rasového nebo etnického původu, náboženského vyznání, zdraví nebo sexuální orientace*;
  • uplatňování, zjišťování nebo obrana právních nároků*;
  • prevence nebo zjišťování nezákonných úkonů; nebo
  • výslovný souhlas fyzické osoby

 

 

Pokud v rámci svého zaměstnání pracujete se zvláštními kategoriemi osobních údajů, musíte dodržování předpisů o ochraně údajů věnovat zvláštní péčí. Zejména byste měli usilovat, aby:

 

  • jakékoli činnosti zpracování probíhaly striktně v souladu s vašimi zákonnými pracovními povinnostmi a pokyny společnosti;
  • existovaly příslušné právní důvody pro zpracování údajů, a to jak základní důvody podle kapitoly 1, tak i dodatečné důvody podle kapitoly 2, které jsou vyžadovány pro vaši konkrétní činnost;
  • fyzickým osobám byly poskytnuty dostatečné informace o zacházení s jejich údaji. V některých případech bude třeba doplnit aktuální prohlášení o ochraně soukromí konkrétními informacemi týkajícími se zvláštních kategorií údajů, např. když společnost sleduje absence z důvodu nemoci a / nebo upravuje pracovní povinnosti pro zaměstnance se zdravotním postižením nebo závažným onemocněním, můžeme poskytovat případ od případu dodatečná prohlášení jako doplněk k prohlášení o ochraně soukromí zaměstnanců;
  • abyste uplatňovali dodatečná bezpečnostní opatření a opatření pro zachování důvěrnosti vzhledem ke skutečnosti, že dopad ztráty nebo zneužití osobních údajů zvláštní kategorie na fyzické osoby může být vyšší než u jiných druhů údajů. Viz také kapitola 7 níže; a
  • v případě, kdy jako právní základ pro zpracování používáte souhlas, abyste si předem zajistili schválení textu souhlasu ze strany manažera pro ochranu údajů.

 

Pro případy, kdy zaměstnanec v rámci své pozice a pracovních povinností běžně pracuje s údaji zvláštní kategorie, společnost obvykle má zavedeny postupy, jimiž je zajištěno, že činnosti zpracování prováděné takovým zaměstnancem uspokojují výše uvedené požadavky.

 

Nicméně za alternativních okolností např. když se účastníte nového projektu nebo provádíte aktualizaci stávajícího systému, která zahrnuje nové druhy zpracování zvláštní kategorie údajů, se laskavě obraťte na manažera pro ochranu údajů, aby bylo zajištěno, že se uplatňují správné postupy.

 

Také pokud máte jakékoli pochybnosti ohledně právních důvodů, které jsou vyžadovány pro zpracování zvláštní kategorie údajů, nebo informací, které je třeba sdělovat fyzickým osobám, spojte se s manažerem pro ochranu údajů.

 

  1. Zpracovávejte výhradně osobní údaje pro určité, výslovně vyjádřené a legitimní účely

 

Společnost osobní údaje zpracovává výhradě pro legitimní účely výkonu našich podnikatelských aktivit a správu zaměstnaneckých a dalších obchodních vztahů.

 

Osobní údaje, které zpracováváte v rámci svých povinností, smíte využívat výhradně pro legitimní a schválené účely společnosti. Osobní údaje nesmíte zpracovávat pro žádné účely, které se nevztahují k vašim pracovním povinnostem.

 

Zpracovávání osobních údajů pro jakékoli nekompatibilní nebo neschválené účely, např. využívání firemní databáze kontaktů ke zjištění adresy kolegova bydliště pro soukromé nepracovní účely, může vést k porušení předpisů o ochraně údajů. To může mít pro všechny dotčené strany potenciálně škodlivé důsledky, včetně disciplinárního řízení.

 

Jestliže zjistíte, že potřebujete určité osobní údaje zpracovávat pro jiné účely, než pro které byly původně shromažďovány, musíte si ověřit, zda dotčené fyzické osoby byly o této skutečnosti informovány, a pokud ne, musíte zvážit, zda-li je takový dodatečný účel legitimní v kontextu obchodních aktivit společnosti a kompatibilní s původním účelem.

 

Nejste-li si jisti, zda je určitý účel zpracování legitimní, měli byste se obrátit na manažera pro ochranu údajů, dříve než začnete osobní údaje pro takový dodatečný účel zpracovávat.

 

  1. Ujistěte se, že osobní údaje jsou přiměřené, relevantní a omezené na to, co je nezbytné z hlediska vašich legitimních účelů

 

Předpisy o ochraně údajů požadují, abychom zajistili, že osobní údaje, které zpracováváme, budou přiměřené, relevantní pro naše účely a omezené na to, co je z hlediska takových účelů nezbytné, dále také jako „minimalizace údajů“.  Jinými slovy, požadujeme informace, které potřebujeme pro naše legitimní obchodní účely, nepožadujeme však víc informací, než kolik potřebujeme, abychom byli schopni provádět své obchodní operace.

 

 

Měli byste se snažit získávat a zpracovávat pouze osobní údaje, které skutečně potřebujete pro legitimní a schválené účely společnosti v rámci své pracovní pozice.

 

Musíte zajistit, abyste měli k dispozici dostatek osobních údajů, abyste byli schopni je používat spravedlivě a s přihlédnutím k veškerým relevantním informacím.

 

Vytváříte-li formuláře pro shromažďování osobních údajů, měli byste být schopni obhájit, proč se požaduje každá zvláštní kategorie údajů.

 

Dále musíte také jednat v souladu s pokyny společnosti ohledně uchovávání a ukládání údajů, které zajišťují, aby osobní údaje byly uchovávány pouze po dobu nezbytně nutnou pro zamýšlený účel.

 

  1. Dbejte na přesnost a v případě nutnosti i aktuálnost osobních údajů

 

Společnost musí učinit opatření, která zajistí, že osobní údaje budou přesné a v případě nutnosti aktuální. Například požadujeme, aby zaměstnanci oznamovali jakékoli změny ve svých kontaktních informacích nebo osobních údajích. Zaměstnancům také pravidelně předkládáme žádosti o aktualizaci jejich osobních údajů. Také dbáme na to, aby rozhodnutí mající dopad na fyzické osoby byla založena na přesných a aktuálních informacích.

 

Jestliže v rámci svého zaměstnání zpracováváte osobní údaje fyzických osob, musíte s vynaložením přiměřeného úsilí zajistit přesnost a v případě nutnosti i aktuálnost takových údajů.

 

Při shromažďování osobních údajů se snažte ověřovat jejich přesnost na samém počátku. Pokud následně zjistíte jakékoli nepřesnosti v osobních údajích, které zpracováváte, je třeba takové údaje neprodleně opravit nebo vymazat.

 

Osobní údaje by měly být uchovávány na co nejméně místech, aby se předešlo riziku vzniku duplicitních kopií, které nebudou aktualizovány a nebudou v souladu s ostatními kopiemi. Neměli byste vytvářet dodatečné kopie osobních údajů, ale měli byste pokud možno pracovat s jedinou ústřední kopií a tu aktualizovat.

 

  1. Osobních údaje uchovávejte pouze po dobu nezbytně nutnou k identifikovaným účelům

 

Záznamy obsahující osobní údaje by měly být uchovávány pouze po dobu nezbytně nutnou pro identifikované účely. Společnost má zavedeny předpisy pro uchovávání, ukládání a výmaz údajů a vnitřní procesy / směrnice týkající se různých druhů firemních záznamů a informací, které obsahují osobní údaje.

 

Činíme náležité kroky k tomu, aby osobní údaje byly uchovávány pouze po nezbytně nutnou dobu, přičemž bereme v úvahu následující kritéria:

  • množství, povahu a citlivost osobních údajů;
  • riziko újmy z nepovoleného užití nebo poskytnutí údajů;
  • účely, pro které osobní údaje zpracováváme, a doba, po kterou tyto údaje potřebujeme k dosažení těchto účelů;
  • doba, po kterou osobní údaje pravděpodobně zůstanou přesné a aktuální;
  • doba, po kterou osobní údaje mohou být relevantní pro potenciální budoucí právní nároky; a
  • jakékoli právní, účetní, informační nebo regulační požadavky, které určují, po jak dlouhou dobu musí být určité záznamy uchovávány.

 

Seznamte se, prosím, s našimi předpisy, procesy, směrnicemi a pokyny pro uchovávání údajů, které jsou relevantní pro vaši práci. Zajistěte, že v rámci své odpovědnosti provedete zničení nebo výmaz veškerých informací, které již nadále v souladu s těmito předpisy nevyžadujete.

 

Nejste-li si jisti, zda se doporučení / pokyny pro uchovávání informací vztahují i na vás ve vaší pracovní pozici, nebo pokud si nejste jisti, jak je uplatnit na určitý druh nebo položku osobních údajů, obraťte se, prosím, na manažera pro ochranu údajů.

 

  1. Přijímejte náležitá opatření pro zajištění bezpečnosti osobních údajů

 

Zabezpečení osobních údajů a dodržování bezpečnostních postupů společnosti pro ochranu důvěrnosti, integrity, dostupnosti a resilience osobních údajů je klíčovou odpovědností společnosti a jejích pracovníků.

 

Společnost má zavedeny předpisy v oblasti IT a komunikačních systémů, které definují její organizační a technická bezpečnostní opatření k ochraně informací, což zahrnuje i osobní údaje.

 

Pro zajištění bezpečnosti údajů ve spolupráci se společností a ochranu důvěrnosti a integrity osobních údajů, s nimiž pracujete při svém zaměstnání, požadujeme, abyste jednali v souladu s těmito zásadami, s našimi předpisy v oblasti IT a komunikačních systémů a pokyny společnosti ohledně zpracování a bezpečnosti osobních údajů.

 

  • Osobní údaje ukládejte, uchovávejte a poskytujte výhradně v rámci autorizovaných informačních a komunikačních systémů společnosti a s jejich využitím. Vyhýbejte se uchovávání osobních údajů na osobních zařízeních nebo s využitím osobních komunikačních prostředků.
  • K přenosu a příjmu e-mailů používejte heslem chráněný a šifrovaný software.
  • Dokumenty pokud možno uzamykejte v zabezpečené skříňce.
  • Nikdy nenechávejte laptop či jiné zařízení ani fyzické kopie dokumentů obsahující osobní údaje na veřejném místě.
  • Při nahlížení do osobních údajů ve fyzické podobě nebo na obrazovce dbejte na to, aby takové informace neviděl nikdo, kdo na takové informace nemá právo, zejména pokud se tak děje na veřejném místě.
  • Při ukládání údajů na přenosných zařízeních, jako jsou notebooky, smartphony nebo USB disky zajistěte, že taková zařízení jsou šifrována a chráněna heslem.
  • Zajistěte, že informace obsahující osobní údaje jsou odstraněny bezpečně a trvale, v případě nutnosti s využitím prostředků pro likvidaci odpadu důvěrného charakteru a skartaci.
  • Okamžitě upozorněte manažera pro ochranu údajů na jakékoli porušení ochrany osobních údajů; pro další informace o porušení ochrany osobních údajů viz níže.
  • Zajistěte, že jakékoli sdílení nebo poskytování osobních údajů je povoleno z náležitých právních důvodů a že v případě nutnosti budou zavedena bezpečnostní opatření; pro další informace o těchto bezpečnostních opatřeních týkajících se přenosu dat do zahraničí nebo sdílení osobních údajů s třetími stranami, které jsou poskytovateli služeb viz níže.

 

  1. Se zvýšenou opatrností postupujte při sdílení nebo poskytování údajů

 

Sdílení nebo poskytování osobních údajů představuje určitý druh zpracování, a proto je třeba i v tomto případě uplatňovat veškeré zásady popsané v tomto dokumentu.

 

Interní sdílení údajů

Společnost zajišťuje, že osobní údaje jsou interně sdíleny pouze tehdy, je-li to nezbytně nutné.

 

Externí sdílení údajů

Osobní údaje sdílíme s třetími osobami, což zahrnuje i skupinové subjekty, pouze v případech, kdy pro takové sdílení existuje legitimní účel a odpovídající právní důvody podle předpisů o ochraně údajů, které nám takové sdílení povolují. Běžně se jedná o situace, kdy nám povinnost poskytnout informace ukládá zákon, např. finanční úřad pro daňové účely, nebo kdy je to nezbytné pro plnění našich smluvních povinností vůči fyzickým osobám, např. poskytování informací našim poskytovatelům zaměstnanecké penze.

 

Jsme oprávněni určit třetí stranu, která pro nás bude v pozici zpracovatele provádět zpracování informací, například bude vyřizovat mzdovou agendu, zajišťovat ukládání údajů a poskytovat další technologické služby.

Společnost však i nadále odpovídá za to a je povinna zajistit, že její zpracovatelé budou při práci s osobními údaji jednat v souladu s předpisy o ochraně údajů a těmito našimi zásadami. Před jmenováním zpracovatele musíme vyhodnotit a zavést opatření k ochraně údajů a informační bezpečnosti. Rozsah těchto opatření se bude lišit v závislosti na povaze činností, nicméně jejich součástí vždy bude náležité vyhodnocení rizika a kontroly a plnění smluvních povinností.

 

Osobní údaje, které máme v držení, jste oprávněni interně sdílet pouze se zaměstnancem, zástupcem nebo představitelem společnosti, pro něhož je přístup k takovým informacím nezbytný v souvislosti s výkonem jeho zaměstnání.

 

Osobní údaje, které máme v držení, jste oprávněni sdělovat poskytovatelům služeb nebo třetím stranám, což zahrnuje i skupinové subjekty, pouze v těchto případech:

  • pro sdílení existuje legitimní účel a přiměřený právní důvod, např. sdílení je pro tyto osoby nezbytné, aby mohli osobní údaje zpracovávat v rámci služeb, které nám poskytují, např. mzdových služeb, nebo v případech, kdy tak musíme činit podle zákona;
  • fyzické osoby, jejichž osobní údaje jsou sdíleny, byly o této skutečnosti řádně informovány, např. řádným prohlášeními o ochraně soukromí;
  • jsou-li údaje sdíleny s poskytovatelem služeb, společnost ověřila, že jsou zavedena příslušná bezpečnostní opatření a opatření k ochraně údajů, která zajistí ochranu dotčených osobních údajů;
  • poskytovatel služeb nebo třetí strana podepsali písemnou dohodu obsahující ustanovení vyžadovaná předpisy o ochraně údajů, pakliže manažer pro ochranu údajů nerozhodl, že v daném kontextu takových ustanovení není třeba;

 

Běžné poskytování osobních údajů zavedeným příjemcům, např. poskytovatelům mzdových služeb nebo skupinovým subjektům, s nimiž při výkonu svého zaměstnání a plnění svých pracovních povinností pravidelně jednáte, výše uvedeným požadavkům obvykle vyhovuje. Vždy byste však měli dbát na to, abyste dodržovali konkrétní pokyny, které jsou vám uděleny ze strany společnosti. Máte-li však jakékoli pochybnosti, zda smíte sdílet osobní údaje s další osobou, obraťte se nejprve na manažera pro ochranu údajů.

 

  1. Osobní údaje nepředávejte do jiné země, nejsou-li zavedena náležitá bezpečnostní opatření

 

K přenosu osobních údajů do zahraničí dochází, když jsou údaje přenášeny nebo posílány do jiné země nebo z takové země probíhá prohlížení či přístup k osobním údajům, či jsou v ní jinak zpracovávány. Předpisy Evropské unie o ochraně údajů omezují přenos údajů zejména do zemí mimo Evropský hospodářský prostor (EHP – tj. Evropská unie plus Norsko, Lichtenštejnsko a Island), aby bylo zajištěno, že nebude docházet ke snížení úrovně ochrany údajů dostupné fyzickým osobám v důsledku skutečnosti, že takové zemně neposkytují stejnou míru ochrany osobních údajů jako EHP.

 

Aby ochrana údajů byla zajištěna i při přenosu osobních údajů do jiné zemně, vyhodnocuje společnost rizika přenosu osobních údajů mimo Spojené království s přihlédnutím k zásadám obsaženým v tomto dokumentu i omezením vztahujícím se na přenos údajů mimo EHP a v případě potřeby zavádí další vhodná bezpečnostní opatření.

 

Jste-li v rámci pracovních povinností žádáni, abyste poskytli osobní údaje mimo Spojené království nebo EHP, musí být zavedena přiměřená bezpečnostní opatření. Je-li přenos údajů do zahraničí běžnou součástí vašeho zaměstnání a pracovních povinností, je pravděpodobné, že požadovanou úroveň ochrany údajů poskytují aktuální bezpečnostní opatření společnosti.

 

Nicméně, pokud k přenosu údajů do zahraničí dochází za alternativních okolností, např. pro účely nových zpracovatelských činností, které dosud nebyly součástí vaší náplně práce nebo vaší činnosti, nebo do zemí, s nimiž jste dosud nespolupracovali, měli byste se před zahájením přenosu obrátit na manažera pro ochranu údajů, jenž vám udělí další pokyny.

 

  1. Jakékoli porušení ochrany údajů hlaste neprodleně

 

Společnost bere porušení ochrany osobních údajů velmi vážně. Za případy porušení se považuje například ztracené nebo chybně uložené vybavení či údaje, užívání nepřesných údajů nebo nepřiměřeného množství údajů, zanedbání práv fyzické osoby, náhodné odeslání údajů nesprávné osobě, neoprávněný přístup k údajům či jejich neoprávněné užívání nebo poskytnutí, úmyslné útoky na systémy společnosti nebo krádeže záznamů a jakékoli ekvivalentní případy porušení ze strany poskytovatelů služeb společnosti.

V případě, že došlo k narušení bezpečnosti, které vedlo k náhodnému nebo nezákonnému zničení, ztrátě, neoprávněnému poskytnutí nebo zpřístupnění osobních údajů fyzických osob, společnost učiní okamžitě kroky k identifikaci, vyhodnocení a vyřešení takové situace, což zahrnuje i omezení rizik, nápravu incidentu a jeho ohlášení příslušným osobám (viz níže).

 

Jestliže společnost zjistí, že došlo k narušení bezpečnosti osobních údajů, které představuje riziko pro práva a svobody fyzických osob, je povinna takovou událost oznámit Úřadu pro kontrolu osobních údajů do 72 hodin od zjištění takové skutečnosti.

 

Zároveň vedeme interní evidenci všech případů narušení bezpečnosti osobních údajů nehledě na jejich dopad ani na skutečnost, zda takové případy oznamujeme Úřadu pro kontrolu osobních údajů, či nikoli.

 

Je-li pravděpodobné, že narušením ochrany osobních údajů dojde k vážnému ohrožení práv a svobod fyzických osob, uvědomíme dotčenou osobu, že k takovému narušení došlo, poskytneme jí informace o možných následcích a zmírňujících opatřeních, která jsme přijali.

 

Jestliže zjistíte nebo budete mít podezření na jakékoli porušení těchto zásad, a to zejména narušení bezpečnosti, jste povinni takovou událost okamžitě nahlásit manažerovi pro ochranu údajů a učinit jakékoli další požadované odpovídající kroky.

 

  1. Neprovádějte profilování nebo automatické rozhodování, nejste-li k tomu oprávněni

 

K profilování a automatickému rozhodování dochází tam, kde jsou osobní údaje fyzické osoby zpracovávány a vyhodnocovány automatickými prostředky a následně je učiněno významné rozhodnutí týkající se takové fyzické osoby. To představuje zvláštní riziko pro fyzické osoby v situacích, kdy je rozhodnutí založeno výhradně na takovém profilování nebo jiném automatickém zpracování.

 

Jedním příkladem výhradně automatického rozhodování je využití onlinového psychometrického testu k automatickému odmítnutí žadatele o zaměstnání, jenž nesplňuje minimální požadavky, bez jakékoli kontroly člověkem, např. kontrola výsledků testu náborovým pracovníkem.

 

Předpisy o ochraně údajů zakazují rozhodování založené výhradně na profilování nebo jiném automatizovaném zpracování s výjimkou velmi omezeného okruhu okolností.  Kromě toho v případech, kdy je povoleno profilování nebo automatické rozhodování, musí být zavedena bezpečnostní opatření a naše společnost je povinna poskytnout fyzickým osobám příležitost vyjádřit k takovému rozhodnutí své stanovisko a případně je napadnout.  V případě profilování nebo automatického rozhodování prováděného naší společností ve vztahu k potenciálním nebo stávajícím osobním údajům zaměstnanců se vyhodnocuje soulad s těmito požadavky, přičemž odpovídající bezpečnostní opatření se zavádějí případ od případu.

 

 

  1. Integrujte ochranu údajů do pracovních úkonů

 

Přepisy o ochraně údajů požadují, aby společnost opatření pro ochranu údajů a bezpečnostní opatření řešila jako součást všech našich operací, při nichž dochází ke zpracování osobních údajů, a to zejména na začátku nového projektu nebo činnosti, která může mít dopad na soukromí fyzických osob. V této souvislosti je třeba vzít v úvahu mimo jiné i následující faktory:

 

  • rizika pro práva a svobody fyzických osob plynoucí ze zpracování a pravděpodobnost naplnění a míra závažnosti takových rizik;
  • technologické schopnosti;
  • realizační náklady; a
  • povaha, rozsah, kontext a účely zpracování osobních údajů.

 

Také se snažíme pravidelně vyhodnocovat rizika pro ochranu údajů v průběhu životního cyklu jakéhokoli projektu nebo činnosti, při níž dochází k užívání osobních údajů.

 

 

Pokud se podílíte na přípravě nebo realizaci nového projektu nebo činnosti, při níž dochází ke zpracování osobních údajů, musíte náležitě zvážit veškeré zásady ochrany údajů stanovené v tomto dokumentu.

 

Měli byste pomáhat manažerovi pro ochranu údajů při pravidelných kontrolách projektů nebo činností, aby se předešlo rizikům pro ochranu údajů.

 

Užitečným nástrojem k posouzení opatření k ochraně dat a soukromí je Posouzení vlivu na ochranu osobních údajů. Součástí tohoto procesu je posouzení nezbytnosti a přiměřenosti operací zpracování a posouzení rizik pro fyzické osoby a opatření, jejichž zavedení by tato rizika zmírnilo. Toto posouzení se musí provést v případech, kdy je pravděpodobné, že určitá operace zpracování údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

 

Jestliže se podílíte na přípravě nebo realizaci nového projektu, v rámci něhož se provádí zpracování osobních údajů, musíte si ověřit u manažera pro ochranu údajů, zda není třeba provést posouzení vlivu nebo podobné posouzení rizik nebo souladu. Zde vám také budou poskytnuty informace o tom, jaká máme očekávání, co se týče vašeho chování, případně jak jinak můžete přispět k posouzení vlivu nebo jinému posouzení rizik.

 

Práva a žádosti fyzických osob

 

Na základě předpisů o ochraně údajů mají fyzické osoby určitá práva ve vztahu k nakládání s jejich osobními údaji. Fyzická osoba má například následující práva:

 

  • Právo subjektu údajů podat „žádost o přístup“. Fyzická osoba má právo obdržet kopii osobních údajů, které o ní uchováváme, a informaci o způsobu a důvodu zpracování, jakož i další níže popsaná práva. Díky tomu mají možnost si například ověřit, zda jejich osobní údaje zpracováváme zákonným způsobem, a opravovat jakékoli nepřesnosti.
  • Právo požadovat opravu neúplných nebo nepřesných osobních údajů, které o ní uchováváme.
  • Právo odvolat udělený souhlas.
  • Právo požadovat výmaz nebo odstranění osobních údajů, které o ní uchováváme, jestliže neexistuje dobrý důvod pro jejich další zpracování. Fyzická osoba má také právo požadovat, abychom její osobní údaje vymazali nebo odstranili v případech, kdy uplatňuje právo vznést námitku proti zpracování, viz níže.
  • Právo vznést námitku proti zpracování osobních údajů pro účely přímého marketingu nebo v případech, kdy se odvoláváme na náš legitimní zájem nebo zájem třetí strany a nejsme schopni prokázat oprávněný důvod k dalšímu zpracování.
  • Právo na omezení zpracování osobních údajů. Fyzické osoby mají právo nás požádat, abychom zastavili zpracování osobních údajů, které se jich týkají, například pokud požadují, abychom zajistili přesnost údajů nebo sdělili důvod jejich zpracování.
  • Právo získat osobní údaje, která nám fyzická osoba poskytla, ve strukturovaném formátu pro sebe nebo jinou osobu, označováno také jako „přenositelnost údajů“. Uplatnitelnost tohoto práva závisí na právním důvodu, pro který jsou data zpracovávána.
  • Právo napadnout rozhodnutí založené výhradně na profilování / automatickém zpracování, právo na lidský zásah a právo na vyjádření svého názoru.

 

Naše společnost je povinna těmto právům vyhovět bez zbytečného prodlení a v případě některých práv do jednoho měsíce.

 

Fyzické osoby mají také právo podat stížnost k Úřadu pro kontrolu osobních údajů ohledně jakéhokoli porušení a soudní cestou uplatňovat svá práva a domáhat se náhrady škody z takového porušení.

 

Obdržení žádosti zaměstnance.

 

Obdržíte-li žádost fyzické osoby, která uplatňuje své právo ve vztahu ke svým osobním údajům nebo předkládá dotaz či stížnost ohledně způsobu, jakým její osobní údaje využíváme, jste povinni takovou žádost, dotaz nebo stížnost neprodleně předat manažerovi pro ochranu údajů, aby mohla být náležitě vyřešena v příslušné časové lhůtě. Řešení takové žádosti, dotazu nebo stížnosti a odpověď na ně si může vyžadovat součinnost z vaší strany.

 

Vedení evidence

 

Podle požadavků předpisů o ochraně údajů a pro účely prokazování souladu s těmito předpisy vede společnost různé evidence o svých činnostech spojených se zpracováním údajů. Jednou z nich je Evidence činností při zpracování osobních údajů, která musí obsahovat minimálně informace o: účelu zpracování; kategoriích datových subjektů a osobních údajů; kategoriích příjemců údajů; informace o mezinárodním přenosu údajů; předpokládaná doba uchovávání; obecný popis uplatňovaných bezpečnostních opatření; a určité další podrobnosti u zvláštních kategorií údajů.

 

Dále jste povinni dodržovat naše příslušné procesy / doporučení a plnit jakékoli konkrétní pokyny ohledně vedení evidence o námi prováděném zpracování osobních údajů, které vám budou uděleny.

 

Jestliže zpracováváte osobní údaje fyzických osob v rámci svého zaměstnání a shromažďujete nový druh osobních údajů nebo vykonáváte nový druh činností v souvislosti se zpracováním, a to buď zavedením nových systémů nebo technologií, nebo úpravou stávajících, informujte o tom, prosím, manažera pro ochranu údajů, aby naše evidence byla aktuální.

 

Školení

 

Požadujeme, aby všichni zaměstnanci prošli základním školením v oblasti dodržování předpisů o ochraně údajů a těchto zásad. Pro některé funkce a činnosti, při nichž dochází k využívání osobních údajů, může být vyžadováno další školení.

 

Za tímto účelem poskytujeme školení v rámci úvodního zaškolení nových zaměstnanců společnosti a také nabízíme průběžný vzdělávací program, aby zaměstnanci měli aktuální znalosti a povědomí o tom, co je nezbytné pro zajištění souladu v kontextu funkce, kterou zastávají. Účast na takových školeních je povinná a eviduje se.

 

 

 

Svým partnerům po celém světě poskytujeme služby jakosti od roku 1994.

Dodavatelé Výrobci původního zařízení

Kontaktujte nás

  • This field is for validation purposes and should be left unchanged.

G&P Quality Management s.r.o. U Katovny 775, CZ-47001 Česká Lípa
Czech Republic

    +420 487 520 786          +420 487 521 411