Ochrana osobních údajů

Ochrana osobních údajů ve společností FLEISHMAN-HILLARD, s.r.o.

Společnost FLEISHMAN-HILLARD a všichni její pracovníci jsou při nakládání s osobními údaji povinni dodržovat GDPR a zákon o zpracování osobních údajů. Především GDPR stanoví hlavní pravidla a zásady, kterými je potřeba se při zpracování osobních údajů řídit, a společnost FLEISHMAN-HILLARD tyto zásady přebírá. Pro tyto účely společnost vytvořila Interní směrnici o zpracování osobních údajů, se kterou jsou seznámení a řídí se jí všichni zaměstnanci a spolupracovníci společnosti. Pokud chcete získat více informací k zásadám ochrany osobních údajů ve FLEISHMAN-HILLARD, kontaktujte zástupce společnosti, se kterým obvykle spolupracujete, případně napište svůj dotaz na prague@fleishman.com.

1.         ZÁKLADNÍ USTANOVENÍ

1.1       Práva a povinnosti společnosti FLEISHMAN-HILLARD („FLEISHMAN-HILLARD“ nebo „Správce“) při shromažďování, uchovávání a zpracování osobních údajů jsou stanoveny především Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („Nařízení“ nebo „GDPR“) a zákonem č. 101/2000 Sb., o zpracování osobních údajů („Zákon“).

1.2       Tato Obecná směrnice o zpracování osobních údajů („Směrnice“) stanoví zejména:

  1. zásady zpracování osobních údajů;
  2. jmenování osoby odpovědné za ochranu osobních údajů ve společnosti FLEISHMAN-HILLARD, její postavení a pravomoci;
  • účel a rozsah shromažďování osobních údajů;
  1. prostředky a způsob zpracování osobních údajů;
  2. pravidla pro zapojení zpracovatele a náležitosti smlouvy o zpracování uzavírané mezi společností FLEISHMAN-HILLARD jako správcem a zpracovatelem osobních údajů;
  3. práva a povinnosti konkrétních osob ve vztahu k osobním údajům a zacházení s nimi;
  • pravidla zpracování zvláštních kategorií osobních údajů;
  • postup pro získání platného souhlasu a hlavní zásady vztahující se k jeho legitimitě;
  1. způsob plnění informační povinnosti;
  2. procesy reakce a vypořádání se s právy subjektu údajů; a
  3. postupy hlášení případů porušení zabezpečení osobních údajů.

1.3       Dále Směrnice stanoví organizačně-technická a další opatření směřující k zajištění dodržování Nařízení a Zákona, a to zejména čl. 32 Nařízení, při nakládání s osobními údaji ve společnosti FLEISHMAN-HILLARD. Směrnice mezi jinými určuje účel a rozsah shromažďování a zpracování osobních údajů, prostředky a způsob jejich zpracování, jakož i práva a povinnosti osob ve vztahu k těmto údajům a zacházení s nimi.

1.4       Směrnice je interním předpisem, který zavazuje všechny zaměstnance, další pracovníky a spolupracující osoby společnosti FLEISHMAN-HILLARD, jakož i další osoby, jež podléhají interním předpisům společnosti FLEISHMAN-HILLARD, stejně jako osoby, jež se k dodržování této Směrnice zavázaly v rámci smluvního vztahu se společností FLEISHMAN-HILLARD nebo se zpracovatelem.

1.5       Společnost FLEISHMAN-HILLARD je povinna zajistit, aby se osoby, které zpracovávají osobní údaje na základě smlouvy s FLEISHMAN-HILLARD, zavázaly dodržovat ustanovení této směrnice.

1.6       Pokud text v této Směrnici nebo jejích přílohách odkazuje na jiná ustanovení (články, položky), rozumí se tím příslušná ustanovení této Směrnice, není-li v daném případě výslovně uvedeno jinak.

2.      ZÁKLADNÍ POJMY

V souladu s Nařízením a Zákonem se pro účely této Směrnice rozumí:

Osoby nakládající s osobními údaji a subjekt údajů

  • správcemsubjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů nebo kterému povinnost zpracovávat osobní údaje ukládají platné a účinné právní předpisy; za správce se pro účely této Směrnice považuje společnost FLEISHMAN-HILLARD;
  • zpracovatelemfyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce; blíže jeho postavení vymezuje článek 6;
  • subjektem údajůidentifikovaná nebo identifikovatelná fyzická osoba (nikoliv osoba právnická – společnost nebo organizace). Subjekty údajů pro účely této Směrnice jsou osoby uvedené v položce E příslušného popisu databáze;
  • příjemcemfyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli (s výjimkou orgánů veřejné moci, které mohou získávat osobní údaje na základě platných a účinných právních předpisů); seznam těchto příjemců je uveden v položce L příslušného popisu databáze;

Osoby nakládající s osobními údaji a subjekt údajů

  • osobním údajemveškeré informace o fyzické osobě (subjekt údajů), kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, datum narození, identifikační číslo, adresné a kontaktní údaje, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; za osobní údaje se považují i data, která se sama o sobě netýkají fyzické osoby, ale ve spojení s jinými informacemi by již bylo možné tato data přiřadit (i jen potenciálně) ke konkrétní fyzické osobě (např. barva a značka osobního vozidla, jako údaje týkající se věci, která sama o sobě nesouvisí s fyzickou osobou);
  • zvláštní kategorií osobních údajůosobní údaj vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby; zvláštní ochrany požívají údaje týkající se odsouzení za trestné činy;
  • biometrickými údajiosobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
  • anonymním údajemtakový údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů – nejedná se tedy o osobní údaj;

 Zpracování osobních údajů

  • zpracováním osobních údajůjakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, ale i výmaz nebo zničení;
  • shromažďováním osobních údajůsystematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování;
  • uchováváním osobních údajůudržování údajů v takové podobě, která je umožňuje dále zpracovávat;
  • likvidací osobních údajůfyzické zničení jejich nosiče, jejich fyzické vymazání nebo trvalé vyloučení z dalších zpracování; formou likvidace osobních údajů je i anonymizace;
  • anonymizací činnost, při které dojde k trvalému smazání či rozpojení identifikátorů, pomocí kterých je možné ztotožnit konkrétní fyzickou osobu;
  • pseudonymizací zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě; po opětovném přiřazení dodatečných informací je možné konkrétní fyzickou osobu opětovně identifikovat;
  • profilovánímjakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se např. jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu apod.;

Další

  • souhlasem subjektu údajůjakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů; vzorový text pro vyjádření souhlasu je uveden v položce N příslušného popisu databáze;
  • databází/evidencí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
  • popisem databáze vymezení jednotlivých databází v přílohách 1-1 až 1-n(kde „n“ značí pořadové číslo příslušné přílohy, provádí-li společnost FLEISHMAN-HILLARD více než jedno zpracování osobních údajů, dále jen „příloha 1-n“ nebo „příslušný popis databáze“);
  • porušením zabezpečení osobních údajů(tzv. „Data Breach“) porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

3.         ODPOVĚDNÁ OSOBA

3.1       Společnost FLEISHMAN-HILLARD nejmenovala pověřence pro ochranu osobních údajů, neboť neprovádí zpracování, jehož hlavní činnost spočívá v operacích, které kvůli své povaze, svému rozsahu nebo svým účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektu údajů anebo v operacích spočívajících v rozsáhlém zpracování zvláštní kategorie a osobních údajů týkajících se rozsudků v trestních věcech a trestných činů.

3.2       Osobou odpovědnou za dohled nad dodržováním ochrany osobních údajů dle platných a účinných právních předpisů a dle této Směrnice je finanční manažer společnosti (Odpovědná osoba“).

3.3       Odpovědná osoba je hlavním garantem dodržování Nařízení, Zákona a této Směrnice ze strany zaměstnanců společnosti FLEISHMAN-HILLARD, jakož i dalších osob uvedených v článku 1.4.

3.4       Odpovědná osoba musí být vedením Správce, jakož i zaměstnanci Správce konzultována ve všech zásadních otázkách týkajících se zpracování a/nebo ochrany osobních údajů.

3.5       Odpovědná osoba komunikuje a spolupracuje jménem společnosti FLEISHMAN-HILLARD s Úřadem pro ochranu osobních údajů („Úřad“) a zejména zajišťuje jménem společnosti FLEISHMAN-HILLARD veškerá příslušná podání k tomuto Úřadu. Především se jedná o předchozí konzultaci dle čl. 36 Nařízení a předávání osobních údajů do zahraničí podle čl. 44 a násl. Nařízení.

3.6       Odpovědná osoba je odpovědná za příslušné popisy databází, které připravuje vždy s ohledem na posouzení rizik souvisejících se zpracováním osobních údajů podle čl. 32 Nařízení a za jejich aktualizaci.

3.7       Osoby vázané touto Směrnicí jsou povinny Odpovědnou osobu informovat o veškerých skutečnostech, které mohou být významné pro ochranu osobních údajů ze strany společnosti FLEISHMAN-HILLARD.

3.8       Odpovědná osoba plní i další povinnosti stanovené jí touto Směrnicí.

4.         ÚČEL A ROZSAH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

4.1       Společnost FLEISHMAN-HILLARD shromažďuje a zpracovává osobní údaje za účelem stanoveným v položce A příslušného popisu databáze.

4.2       Zpracování osobních údajů nesmí přesáhnout míru nezbytnou k dosažení účelu zpracování v konkrétním případě.

4.3       Zpracovávány mohou být v zásadě pouze osobní údaje stanovené v položce B příslušného popisu databáze.

4.4       Zpracování zvláštních kategorií osobních údajů je možné pouze v případě, že tak výslovně stanoví položka C příslušného popisu databáze. V opačném případě musí být jakýkoliv osobní údaj zvláštní kategorie anonymizován nebo zlikvidován.

4.5       Osobní údaje nemohou být předány dalším osobám bez souhlasu subjektu údajů, není-li stanoveno v položce L příslušného popisu databáze, že souhlas tam uvedeným příjemcům byl udělen.Toto omezení se nevztahuje na předání nebo zpřístupnění příslušným státním orgánům a dalším osobám, jež upravují zvláštní právní předpisy (např. Policie ČR), nebo dalším správcům, kteří zpracovávají předávané osobní údaje bez souhlasu subjektu údajů na základě zákonného důvodu, za předpokladu, že subjekt údajů byl o tomto předání společností FLEISHMAN-HILLARD informován; tím není dotčen článek13.2.

4.6       Osobní údaje mohou být uchovávány pouze po dobu nezbytnou k dosažení účelu zpracování, resp. po dobu uvedenou v položce H příslušného popisu databáze. Po uplynutí této doby je třeba provést likvidaci osobních údajů v souladu s článkem 15.

5.         PROSTŘEDKY A ZPŮSOB ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

5.1       Při zpracování osobních údajů je třeba volit prostředky, které jsou přiměřené z hlediska účelu zpracování. Je nutné postupovat tak, aby subjekt údajů neutrpěl újmu na svých právech, zejména na právu na zachování lidské důstojnosti, a také je třeba dbát na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů.

5.2       Ke zpracování osobních údajů je třeba souhlasu subjektu údajů, není-li v položce D příslušného popisu databázeuvedeno, že souhlasu není třeba; v takovém případě probíhá zpracování na základě jiného právního důvodu, a to pro:

  • splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  • splnění právní povinnosti, která se vztahuje na Správce;
  • ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  • splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je Správce pověřen;
  • účely oprávněných zájmů Správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

5.3       Osobní údaje lze zpracovávat v listinné podobě a/nebo elektronicky, a to v souladu se zásadami zabezpečení uvedenými zejména v článcích 1012.

6.         PRÁVA SUBJEKTŮ ÚDAJŮ

  • Podle Nařízení mají subjekty údajů možnost využít svého práva požadovat po společnosti FLEISHMAN-HILLARD
    • přístup ke svým osobním údajům;
    • opravu osobních údajů;
    • výmaz osobních údajů;
    • omezení zpracování údajů týkajících se subjektu údajů;
    • právo vznést námitku proti zpracování; a
    • právo na přenositelnost údajů.

6.2       Pokud kterákoliv osoba vázána touto Směrnicí obdrží jakoukoliv žádost související s uplatněním práva subjektů údajů, zavazuje se tato osoba dodržovat stanovené postupy pro vypořádání těchto žádosti subjektů údajů. Konkrétní postupy pro vypořádávání uplatněných práv subjektů údajů jsou popsány v samostatných vnitřních předpisech společnosti FLEISHMAN-HILLARD případně tyto postupy stanoví Odpovědná osoba nebo právní oddělení společnosti FLEISHMAN-HILLARD.

7.         ZAPOJENÍ ZPRACOVATELE A NÁLEŽITOSTI SMLOUVY O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

7.1       Společnost FLEISHMAN-HILLARD může zpracováním osobních údajů pověřit třetí osobu (zpracovatele). Pověření lze udělit pouze v rámci smlouvy o zpracování osobních údajů, která musí mít písemnou formu.

7.2       Smlouva o zpracování osobních údajů musí zavazovat zpracovatele k dodržování této Směrnice. V této smlouvě o zpracování osobních údajů musí být výslovně stanoven předmět a doba trvání zpracování, povaha a účel zpracování, kategorie osobních údajů a kategorie subjektů údajů, práva a povinnosti Správce a záruky zpracovatele o technickém a organizačním zabezpečení ochrany osobních údajů minimálně na úrovni vyžadované touto Směrnicí. Předchozí věta nevylučuje povinnost zpracovatele zajistit vyšší stupeň ochrany, stanoví-li tak položka G příslušného popisu databáze, a to zejména v případě, že zpracovatel bude pověřen zpracováním takových údajů, které Správce sám nezpracovává a jejichž zpracování vyžaduje vyšší bezpečnost.

7.3       Smlouva o zpracování osobních údajů stanoví zejména, že zpracovatel:

  • zpracovává osobní údaje pouze na základě doložených pokynů Správce, včetně v otázkách předání osobních údajů do třetí země, pokud mu toto zpracování již neukládá právo České republiky nebo Evropské unie;
  • zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
  • přijme opatření k zabezpečení osobních údajů dle čl. 32 Nařízení;
  • dodržuje podmínky pro zapojení dalšího zpracovatele, především nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce a dále dodržuje povinnost vyplývající z článku 4;
  • zohledňuje povahu zpracování, je Správci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění Správcovy povinnosti reagovat na žádosti o výkon práv subjektu údajů;
  • je Správci nápomocen při zajišťování souladu s povinnostmi při zabezpečení osobních údajů, ohlašování a oznamování případů porušení zabezpečení osobních údajů Úřadu a subjektu údajů, posouzení vlivu na ochranu osobních údajů a předchozí konzultace;
  • v souladu s rozhodnutím Správce všechny osobní údaje buď vymaže, nebo je vrátí Správci po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo České republiky nebo Evropské unie nepožaduje uložení daných osobních údajů;
  • poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené v tomto článku, a umožní audity, včetně inspekcí, prováděné Správcem nebo jiným auditorem, kterého Správce pověřil, a k těmto auditům přispěje.

7.4       Ze smlouvy o zpracování osobních údajů musí také vyplývat závazek zpracovatele, že nezapojí do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení Správce. V případě obecného písemného povolení musí být zpracovatel zavázán informovat Správce o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytnout tak Správci příležitost vyslovit vůči těmto změnám námitky.

7.5       Pokud zpracovatel využije ke zpracování osobních údajů třetích osob (dalších zpracovatelů), je povinen zajistit, aby dodržovaly obdobně ustanovení smlouvy o zpracování osobních údajů tak, aby nedošlo ke snížení úrovně ochrany osobních údajů zajištěné touto Směrnicí.

7.6       Pokud společnost FLEISHMAN-HILLARD zpracovává pro jiného správce osobní údaje v roli zpracovatele, uplatní se tato Směrnice obdobně, nestanoví-li smlouva mezi společností FLEISHMAN-HILLARD a tímto jiným správcem jinak.

8.         POUČOVACÍ A INFORMAČNÍ POVINNOST, PRÁVO NA PŘÍSTUP K ÚDAJŮM

8.1       V případě, kdy společnost FLEISHMAN-HILLARD získala osobní údaje od subjektu údajů, je povinen jej poučit ve smyslu čl. 13 Nařízení. Za tím účelem zajistí, aby se subjekt údajů řádně seznámil s textem poučení uvedeného v položce N příslušného popisu databáze, a aby subjekt údajů tuto skutečnost stvrdil svým podpisem či jiným prokazatelným projevem vůle, nestanoví‑li z objektivních důvodů položka N příslušného popisu databázejinak.

8.2       V případě, že osobní údaje nebyly získány od subjektu údajů, je společnost FLEISHMAN-HILLARD povinna jej poučit ve smyslu čl. 14 Nařízení. Za tímto účelem zajistí, aby se subjekt údajů řádně seznámil s textem poučení uvedeného v položce N příslušného popisu databáze, a aby subjekt údajů tuto skutečnost stvrdil svým podpisem či jiným prokazatelným projevem vůle, nestanoví‑li z objektivních důvodů položka N příslušného popisu databázejinak.

8.3       Informace uvedené v článku 8.1poskytne Správcesubjektu údajů nejpozději vokamžiku získání osobních údajů a informace uvedené v článku 8.2poskytne Správcesubjektu údajů v přiměřené lhůtě po získání osobních údajů, ale nejpozději do 30 dnů. V případech kdy mají být osobní údaje použity pro účely komunikace, poskytne tyto informace v okamžiku, kdy poprvé dojde k této komunikaci, anebo pokud mají být osobní údaje zpřístupněny jinému příjemci, poskytne Správce informace při prvním zpřístupnění osobních údajů.

8.4       Uplatní-li subjekt údajů právo na přístup ke svým osobním údajům dle čl. 15 Nařízení, je mu Správce povinen tuto informaci předat bez zbytečného odkladu, anebo nejpozději do 30 dnů ode dne doručení žádosti. Informace jsou poskytnuty ve formě, ve které subjekt údajů uplatňuje své právo.

8.5       Správce je povinen před sdělením informací o zpracování v rámci uplatněného práva na přístup ze strany subjektu údajů ověřit identitu dotazujícího se subjektu údajů. K ověření identity subjektu údajů, který žádá o přístup k osobním údajům, využije Správce všech vhodných opatření. Není-li Správce schopen dostatečně identifikovat subjekt údajů, informuje ho o této skutečnosti, pokud je to možné. Ověřování identity není Správcem zneužíváno k získávání dalších údajů a k jejich uchování za jinými účely než je reakce na konkrétní žádost subjektu údajů.

8.6       Obsahem informace uvedené v článku 8.4je sdělení o:

  • účelu zpracování osobních údajů dle položky A příslušného popisu databáze,
  • osobních údajích, případně kategoriích osobních údajů, které jsou předmětem zpracování dle položky B příslušného popisu databáze,
  • příjemci, případně kategoriích příjemců dle položky L příslušného popisu databáze,
  • době, po kterou budou osobní údaje uloženydle položky H příslušného popisu databáze,
  • existenci práva požadovat od Správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování,
  • právu podat stížnost u Úřadu pro ochranu osobních údajů,
  • veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů, a
  • skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování a v těchto případech smysluplné informace týkající se použitého postupu, jakož i sdělení o významu a předpokládaných důsledcích takového zpracování pro subjekt údajů.

8.7       Informace dle článku 8.6je poskytována v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

9.         PŘEDÁVÁNÍ A ZÍSKÁVÁNÍ OSOBNÍCH ÚDAJŮ

9.1       Předávání osobních údajů třetím osobám je zakázáno, nestanoví-li položka L příslušného popisu databázejinak. Předání nebude umožněno bez souhlasu subjektu údajů, jehož vzorový text je uveden v položce L příslušného popisu databáze, není-li takové předávání možné uskutečnit na základě zákonné výjimky i bez souhlasu subjektu údajů. Seznam osob, kterým mohou tyto údaje být předány (příjemci) je uveden tamtéž. Při předávání osobních údajů musí Správce přijmout taková opatření, aby byla zajištěna jejich bezpečnost na úrovni požadované zejména články1012. Správce uzavírá za účelem předá(vá)ní osobních údajů s příjemcem písemnou smlouvu, v níž se příjemce především zaručí za zajištění bezpečnosti předaných osobních údajů, zejména (nikoliv však výlučně) pak zastavit zpracování osobních údajů v případě, že subjekt údajů svůj souhlas odvolá a toto oznámí Správci. Povinnost podle předchozí věty se nevztahuje na předání nebo zpřístupnění příslušným státním orgánům a dalším osobám, jež upravují zvláštní právní předpisy (např. Policie ČR).

9.2      Získávání osobních údajů od jiných správců je možné pouze na základě písemné smlouvy s takovým jiným správcem. Smlouva o přijímání osobních údajů od jiného správce bude obsahovat zejména záruky ve vztahu k oprávněnosti předchozího zpracování osobních údajů a zejména (nikoliv však výlučně) záruky, že subjekty údajů poskytly souhlas s předáním jejich osobních údajů dalším správcům, aniž by vyloučily Správce.

9.3       Článek 9.2se nepoužije v případě, že osobní údaje subjektů údajů nebo třetích osob jsou získávány v souvislosti s plněním smlouvy se subjekty údajů či na základě jiného právního důvodu, pro který je možné zpracovávat osobní údaje bez souhlasu subjektu údajů; konkrétně se jedná o důvody uvedené v čl. 6 odst. 1 písm. b) až f) Nařízení, příp. čl. 9 odst. 1 písm. b) až j) jedná-li se o zvláštní kategorii osobních údajů. V tomto případě stejně jako v předchozím případě dle předchozího článku 9.2, je Správce povinen zajistit poučení a informaci podle článku 8.2před dalším zpracováním.

10.       ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ: OPRÁVNĚNÉ OSOBY A ROZSAH OPRÁVNĚNÍ

10.1     Seznam osob, které jsou oprávněny nakládat s osobními údaji, je uveden v položce J příslušného popisu databáze („Seznam“). V Seznamu může být v poli poznámka upraven také rozsah osobních údajů, ke kterým může mít daná osoba/role přístup.

10.2     Osoby uvedené na Seznamu je třeba řádně vyškolit ohledně správného nakládání s osobními údaji, a to před tím, než je jim nakládání s osobními údaji umožněno. Za poskytnutí řádného školení odpovídá Odpovědná osoba, kteráza tímto účelem stanovíharmonogram pravidelného školení, aby osoby na Seznamu absolvovaly příslušné školení alespoň jednou ročně.

10.3     Seznam a jeho změny schvaluje ředitel společnosti, přičemž tento seznam je pravidelně aktualizován postupem dle článku 14. Seznam musí být uložen u odpovědné osoby a je přístupný na vyžádání oprávněným osobám.

10.4     Nikdo nesmí nakládat s osobními údaji nad rámec svého oprávnění, jak je vymezeno v Seznamu. Osoby neuvedené na Seznamu nesmí osobní údaje zpracovávat ani k nim přistupovat.

10.5     Individuální výjimky ze zákazu podle článku 10.4může výslovně udělit odpovědná osobaanebo jednatel společnosti FLEISHMAN-HILLARD. V takovém případě je povinen specifikovat pro jaký úkon a na jakou dobu se výjimka uděluje; vždy by se mělo jednat o postup výjimečný, odůvodněný objektivními důvody a vyžaduje-li to povaha zpracování, např. z důvodu citlivé povahy kategorií zpracovávaných osobních údajů anebo většího rozsahu údajů, měla by být výjimka ze zákazu písemná.

11.      ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ: TECHNICKÉ ZABEZPEČENÍ PÍSEMNOSTÍ A JINÝCH FYZICKÝCH NOSIČŮ

11.1     Veškeré písemnosti a jiné fyzické nosiče informací, kterými Správce disponuje a které obsahují osobní údaje chráněné Nařízením či Zákonem, musí být chráněny před volným přístupem neoprávněných osob, především skladováním v uzamykatelných skříňkách a zamykatelných místnostech chráněných proti požáru.

11.2     Bezprostřední přístup k těmto materiálům mají pouze osoby uvedené na Seznamu, a to pouze v rozsahu tam uvedeného oprávnění či v rozsahu individuální výjimky udělené v souladu s článkem 10.5.

12.      ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ: TECHNICKÉ ZABEZPEČENÍ ELEKTRONICKÝCH DAT

12.1     Osobní údaje obsažené v elektronické formě na datovém nosiči informací musí být uloženy buď na samostatných datových nosičích umístěných v uzamykatelných skříních, a/nebo místnostech přístupných pouze osobám uvedených v Seznamu anebo na serveru, k němuž mají fyzický přístup pouze osoby k tomu oprávněné dle Seznamu. Tento server musí být umístěn v uzamykatelné skříni a zamykatelné místnosti.

Pokud jsou osobní údaje uloženy na serverech poskytovatelů cloudových služeb (např. OneDrive, Disk Google apod.), považuje se takový poskytovatel cloudových služeb za zpracovatele osobních údajů a měl by být uvedený v položce K příslušného popisu databáze.

12.2     Server, na kterém jsou data obsahující osobní údaje uložena, musí být chráněn proti útoku z internetu firewallem a antivirovým systémem či obdobnými zabezpečovacími prostředky. Datové soubory musí být šifrovány, pokud tak stanoví položka G příslušného popisu databáze.

12.3     K přístupu k datovým souborům jsou oprávněny pouze osoby uvedené na Seznamu, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby, a to v rozsahu jejich oprávnění tam specifikovaných.

12.4     Systém musí pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány.

12.5     Datové soubory obsahující osobní údaje, jejichž ztráta nebo změna by mohly mít negativní důsledky pro subjekty údajů, musejí být pravidelně, alespoň jednou za dva týdny, zálohovány a tyto zálohy se v pravidelných intervalech musejí následně přepisovat.Položka F příslušného popisu databázemůže stanovit častější frekvenci zálohování v případech, kdy by ztráta nebo změna osobních údajů mohla přinášet potenciální riziko.

12.6     Za účelem zajištění ochrany ve smyslu článků 12.212.5musí informační systém zajišťovat alespoň tyto bezpečnostní funkce:

  • zaznamenávání událostí, které mohou ovlivnit bezpečnost informačního systému do auditních záznamů a zabezpečení auditních záznamů před neautorizovaným přístupem, zejména modifikací nebo zničením;
  • možnost zkoumání auditních záznamů a stanovení odpovědnosti jednotlivého uživatele, bezpečnostního správce nebo správce informačního systému;
  • ochranu důvěrnosti dat během přenosu mezi zdrojem a cílem a jejich integritu;

12.7     Za elektronickou ochranu osobních údajů odpovídá systémový administrátor, jehož pověřuje Správce („Systémový administrátor“).

12.8     V případě opravy informačního systému je třeba zajistit, že osoby, které budou tuto opravu provádět, jsou důvěryhodné a budou vázány povinností mlčenlivosti ve smyslu článku 13, a to pod hrozbou smluvní pokuty.

13.      POVINNOST MLČENLIVOSTI

13.1     Všechny osoby, které zpracovávají osobní údaje pro Správce, jakož i další osoby, které přijdou do styku s osobními údaji u Správce nebo zpracovatele, jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních přijatých podle této Směrnice. Povinnost mlčenlivosti trvá i po skončení příslušných prací.

13.2     Výjimky z povinnosti mlčenlivosti se řídí platnými a účinnými právními předpisy. Vždy nicméně platí, že pokud osobě vázané touto Směrnicí vznikne podle příslušných právních předpisů informační povinnost, která je vyňata z povinnosti mlčenlivosti, uvědomí o tom tato osoba neprodleně odpovědnou osobu a zajistí, že osoba, jíž bude informace v rámci výjimky z povinnosti mlčenlivosti sdělena, si bude vědoma jejího důvěrného charakteru.

14.      ZAJIŠTĚNÍ AKTUÁLNOSTI ÚDAJŮ A OPRÁVNĚNÝCH OSOB

14.1     Odpovědná osobavede Seznam oprávněných osob podle článku 10.1a odpovídá za jeho pravidelnou aktualizaci. K aktualizaci musí dojít pokaždé, kdy dojde ke změně v okruhu oprávněných osob či rozsahu jejich oprávnění. Zvláště to platí v případech, kdy dosavadní zaměstnanec Správce přestal být u Správce zaměstnán. Osoba odpovědna za vedení Seznamu je povinna zajistit reflexi těchto změn při nastavení zabezpečení písemností a jiných fyzických nosičů osobních údajů dle článku 11.

14.2     Osoby vázané touto Směrnicí jsou povinny hlásit odpovědné osobě veškeré změny týkající se oprávněných osob a rozsahu jejich oprávnění.

14.3     Odpovědná osoba informuje Systémového administrátora o změnách v Seznamu oprávněných osob a rozsahu jejich oprávnění. Systémový administrátor je povinen zajistit reflexi těchto změn při nastavení obsahu a zabezpečení elektronických datových souborů dle článku 12.

14.4     Osoby s oprávněním „M“ odpovídají za aktuálnost uchovávaných osobních údajů v příslušné databázi.

14.5     Osoby vázané touto Směrnicí jsou v souladu s jejich pracovní náplní povinny hlásit příslušným osobám s oprávněním „M“ veškeré změny týkající se aktuálnosti uchovávaných osobních údajů.

15.      LIKVIDACE

15.1     Správce nebo na základě jeho pokynu zpracovatel je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány; postupuje se zejména podle harmonogramu stanoveného v položce H příslušného popisu databáze.

15.2     Likvidaci je třeba provést také v případě, kdy subjekt údajů požádá o ukončení zpracování osobních údajů nebo vezme zpět svůj souhlas se zpracováním osobních údajů, je-li tento nezbytný pro další zpracování, nesvědčí-li Správci jiný právní titul pro zpracování osobních údajů.

15.3     Obvyklým způsobem likvidace je

  • skartování či jiné zničení neumožňující zpětnou rekonstrukci písemných dokumentů,
  • anonymizace identifikačních údajů v počítačových databázích (za předpokladu, že s tímto subjekt údajů vyslovil souhlas), nebo
  • jejich vymazání, a to bez možnosti jejich opětovného obnovení (pomocí příslušných softwarových nástrojů, viz článek 6(c)).

15.4     O likvidaci se provede zápis, který bude uložen u odpovědné osoby; tento zápis bude obsahovat identifikaci příslušné databáze a kategorie zlikvidovaných osobních údajů a dále důvod, pro který byla likvidace provedena.

16.      POVINNOST VYPRACOVAT DOKUMENT POSOUZENÍ VLIVU NA OCHRANU OSOBNÍCH ÚDAJŮ A POVINNOST PŘEDCHOZÍ KONZULTACES ÚŘADEM

16.1     Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob, provede Správce před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů („Posouzení“ nebo „DPIA“). Pro soubor podobných operací zpracování, které představují podobné riziko, může být zpracováno pouze jedno Posouzení.

16.2     Při provádění DPIA si Správce vyžádá posudek odpovědné osoby.

16.3     Posouzení vlivu na ochranu osobních údajů podle článku 16.1Správce povinně vypracovává v případech, pokud se v rámci zpracování jedná o:

  • systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
  • rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 Nařízení nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 10 Nařízení;
  • rozsáhlé systematické monitorování veřejně přístupných prostorů; nebo
  • zpracování, které podléhá požadavku na posouzení vlivu na ochranu osobních údajů dle seznamu sestaveného Úřadem (pozitivní seznam).

16.4     Správce není povinen DPIA vyhotovovat v případech, kdy daná činnost zpracování spadá pod činnosti dle seznamu druhů operací zpracování, u nichž není posouzení vlivu na ochranu osobních údajů nutné sestaveného Úřadem (negativní seznam).

16.5     Posouzení má formu dokumentu, který obsahuje alespoň:

  • systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů Správce;
  • posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
  • posouzení rizik pro práva a svobody subjektů údajů uvedených v článku 1; a
  • plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s Nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

16.6     Správce ve vhodných případech získá k zamýšlenému zpracování stanovisko subjektů údajů nebo jejich zástupců, aniž by byla dotčena ochrana obchodních či veřejných zájmů nebo bezpečnost operací zpracování.

16.7     Správce případně provede přezkum s cílem posoudit, zda je zpracování prováděno v souladu s provedeným DPIA alespoň v případech, kdy dojde ke změně rizika, jež představují operace zpracování.

17.      KONTINGENČNÍ PLÁN A OHLAŠOVÁNÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

17.1     Jakékoliv porušení zabezpečení osobních údajů („Porušení“), zejména ztrátu, odcizení, poškození či zničení osobních údajů je každá osoba, která se o takové skutečnosti dozví, povinna neprodleně oznámit svému nadřízenému a současně i odpovědné osobě.

  • OHLAŠOVÁNÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ ÚŘADU PRO OCHRANU OSOBNÍCH ÚDAJŮ

17.2    Odpovědná osoba, ohlásí v souladu s článkem 17.1případ Porušení Úřadu bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy bylo toto Porušení reportováno, ledaže je nepravděpodobné, že by toto Porušení mělo za následek riziko pro práva a svobody fyzických osob.

17.3    Ohlášení podle článku 17.2obsahuje zejména tyto informace:

  • popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
  • jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
  • popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

17.4     Osoba plnící ohlašovací povinnost ověří na webových stránkách Úřadu (www.uoou.cz)dostupnost případného vzorového formuláře k plnění povinnosti dle článku 17.3(a) až (d)a je-li formulář dostupný, vyplní údaje v požadovaném (předepsaném) rozsahu.

17.5     O dalších opatřeních v souvislosti s porušením bezpečnosti dle článku 17.1rozhodne odpovědná osoba bez zbytečného odkladu poté, co se dozvěděl o skutečnostech uvedených v článku 17.1.

  • OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ SUBJEKTU ÚDAJŮ

17.6    Odpovědná osoba oznámí případ Porušení v souladu s článkem17.1subjektům údajů, pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob.

17.7     Oznámení dle článku 17.6je subjektu údajů poskytováno za použití jasných a jednoduchých jazykových prostředků a obsahuje zejména tyto informace:

  • popis povahy porušení zabezpečení osobních údajů
  • jméno a kontaktní údaje kontaktního místa Správce, které může poskytnout bližší informace;
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
  • popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

17.8     Oznamovací povinnost dle článku17.6není Správce povinen plnit v případě, že:

  • Správce zajistí, že zasažené údaje jsou nesrozumitelné pro kohokoli, kdo není oprávněn k nim mít přístup (např. v případě, kdy zasažené údaje jsou nečitelné nebo nejsou přiřaditelné konkrétním osobám, např. fyzické osoby nejsou identifikovatelné díky provedení pseudonymizace nebo osobní údaje nejsou srozumitelné díky použitému šifrování apod.);
  • Správce přijal následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví (např. osobní údaje nejsou v držení třetí osoby); a/nebo
  • by oznámení vyžadovalo nepřiměřené úsilí; v takovém případě Správce informuje subjekty údajů pomocí veřejného oznámení nebo podobného opatření.

18.      PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO ZAHRANIČÍ

18.1     Předávání osobních údajů do zahraničí je možno pouze v případě, jsou-li splněny podmínky stanovené Nařízením a Zákonem a je-li tak stanoveno v položce M příslušného popisu databáze.

18.2     Odpovědná osobaodpovídá za to, že podmínky stanovené Zákonem či Nařízením jsou splněny. Bez souhlasu odpovědné osobynelze osobní údaje do zahraničí předat.

19.      SOUČINNOST

19.1     V případě, že bude nutné za účelem zajištění souladu s GDPR upravit některé stávající procesy či v současnosti prováděné operace a činnosti zahrnující shromažďování a zpracovávání osobních údajů nebo za účelem vypracování posouzení vlivu na ochranu osobních údajů, jsou osoby, na které se vztahuje tato Směrnice povinny poskytnout nezbytnou součinnost a spolupracovat s odpovědnou osobou na těchto úpravách dle pokynů odpovědné osoby.

20.      PŘECHODNÁ USTANOVENÍ

Dosud prováděné operace a činnosti obsahující shromažďování a zpracovávání osobních údajů používané do účinnosti této Směrnice musí být upraveny tak, aby byly v souladu s touto Směrnicí, nejpozději do 24. 5. 2018. Do doby zajištění souladu podle předchozí věty se použijí dosavadní vnitřní předpisy upravující ochranu osobních údajů.

21.      ÚČINNOST

Tato Směrnice nabývá platnosti a účinnosti dnem jejího vydání. Dosavadní vnitřní předpisy upravující ochranu osobních údajů, není-li stanoveno jinak, se k témuž dni zrušují.

 

Příloha 1 – Základní struktura databáze

A.     Účel

B.     Zpracovávané osobní údaje

C.    Zpracovávané „citlivé osobní údaje“, resp. zvláštní kategorie osobních údajů

D.    Souhlas subjektů údajů se zpracováním

E.     Kategorie subjektů údajů

F.     Zdroj osobních údajů

G.    Způsob zpracování (zvláštní technické podmínky nad rámec stanovený Směrnicí)

H.    Doba zpracování

I.      Místo zpracování

J.     Seznam oprávněných osob

K.     Zpracovatelé

L.     Příjemci osobních údajů

M.    Předávání do zahraničí