Směrnice o zpracování osobních údajů

1.1         Účel dokumentu

                   Účelem tohoto dokumentu je v návaznosti na novou legislativu v oblasti zpracování osobních údajů zajistit zavedení vhodných pravidel a procesů, které souvisí s ochranou osobních údajů, ve společnosti ABROSTA s.r.o. a dále stanovit závazné postupy k využívání osobních údajů pro marketingové účely.           

                   Dodržování této směrnice všemi zaměstnanci je vyžadováno mimo jiné ke snížení rizika spočívajícího v důsledcích:

  • Možného porušení povinností vyplívajících z výše uvedené legislativy
  • Vyzrazení neveřejných informací společnosti
  • Poškození dobrého jména firmy

Společnost ABROSTA s.r.o. je povinna řádně implementovat požadavky směrnice do svých vnitřních procesů a implementovat veškerá nezbytná opatření k dosažení souladu s nařízením.

1.2         Působnost

                   Tato směrnice firmy a její požadavky musejí být v nejširším možném rozsahu uplatněny i na spolupracující subjekty např. dodavatele služeb, kteří přicházejí na základě smluvních vztahů do styku s osobními údaji, jež má ve své správě společnost.

1.3         Vymezení pojmů

Pro účel této směrnice se rozumí:

  • „osobními údaji“ – veškeré informace o identifikované nebo identifikovatelné fyzické osobě
  • „subjektem údajů“ – fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, a to například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
  • „zákazníkem“ – stávající, potenciální neo bývalý zákazník společnosti
  • „zvláštní kategorie osobních údajů“ – údaje, které vypovídají o rasové či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, dále pak genetické nebo biometrické údaje, jsou-li zpracovány za účelem jedinečné identifikace fyzické osoby, a také údaje o zdravotním stavu, sexuálním životě nebo sexuální orientaci fyzické osoby.
  • „zpracováním“ – jakékoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných procesů. Jako jsou shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledávaní, nahlédnutí, použití, zpřístupnění přenosu, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo ničení.
  • „správce“ – osoba, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů např. zaměstnavatel ve vztahu k osobním údajům zaměstnanců.
  • „zpracovatel“ – osoba nebo jiná entita, která zpracovává osobní údaje pro správce např. poskytovatel služby mzdového účetnictví, v některých případech mohou být společnosti mezi sebou v postavení správce a zpracovatele.
  • „dotčeným dozorovým úřadem“ – nezávislý orgán veřejné moci, zřízený zejména k monitorování a uplatňování legislativy na ochranu osobních údajů s cílem chránit základní práva a svobody fyzických osob, a to v souvislosti se zpracováním jejich osobních údajů. V případě ČR se jedná o Úřad pro ochranu osobních údajů.
  • „zástupce správce“ – role, která je přidělena zaměstnanci dané společnosti. V rámci výkonu této role zaměstnanec zajistí vykonání základních povinností, které ukládá nařízení společnosti.
  • „pověřenou osobou správce“ – takový zaměstnanec společnosti, který je pověřen detailním dohledem nad operacemi zpracování osobních údajů v souvislosti s daným interním procesem, systémem či službou/produktem pro zákazníka.
  • „proces DPIA“ – znamená posouzení vlivu zpracování osobních údajů na subjekty osobních údajů, z nějž může vzejít požadavek na přijetí opatření ke zmírnění rizik zpracování je-li třeba
  • „příslušný výkonný manažer“ – odpovědný vedoucí pracovník v rámci společnosti, který vede oddělení, v němž dochází k zpracování osobních údajů.
  • „nařízení“ nebo „GDPR“ – nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)

 

  1. Základní pravidla pro nakládání s osobními údaji ve společnosti (GDPR v kostce z procesního a organizačního hlediska)

Tato kapitola stručně uvádí základní povinnosti plynoucí z nařízení a základní návrh jejich procesního řešení v jednotlivých společnostech.

 

2.1     Obecné principy

2.1.1   Společnost

             Je povinna postupovat při zpracování osobních údajů vždy v souladu s nařízením, účinnými právními předpisy a směrnicí. Dále je povinna být schopná kdykoli prokázat, že plní veškeré povinnosti plynoucí z nařízení a jiných právních předpisů relevantních pro zpracování osobních údajů.

             Dbá o to, aby žádný subjekt údajů neutrpěl újmu na svých právech, zejména právu na zachování lidské důstojnosti, a dále o to, aby byla zajištěna ochrana před neoprávněným zasahováním do soukromého a osobního života subjektu údajů

             Je povinná zavést vhodná technická a organizační opatření, jejichž účelem je účinným způsobem provádět zásady ochrany osobních údajů např. jejich pseudonymizaci a začlenit do zpracování osobních údajů nezbytné záruky tak, aby splnily požadavky nařízení a ochránily práva subjektů údajů

             Je povinna zpracovat osobní údaje pouze na základě řádného právního titulu například na základě souhlasu příslušného subjektu údajů, nebo bez souhlasu, pokud je takové zpracování nezbytné pro plnění smlouvy se subjektem údajů nebo zpracování ukládá společnosti právní předpisy

             Společnost je povinna zajistit informovanost a průběžné školení svých zaměstnanců za účelem jejich seznámení s požadavky nařízení, jiných právních předpisů relevantních pro zpracování osobních údajů a směrnice

             Zpracovávají pouze osobní údaje odpovídající stanovenému účelu, a to v rozsahu nezbytném pro naplnění tohoto účelu. Společnost shromažďuje a zpracovává osobní údaje výhradně ke stanovenému účelu, nikdy pod záminkou jiného účelu nebo jiné činnosti. O účel zpracování osobních údajů je subjekt údajů je vždy transparentně informován.

             V případě splnění podmínek nařízení je společnost povinna jmenovat pověřence pro ochranu osobních údajů (DPO) zejména, pokud její hlavní činnost vyžaduje rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo údajů týkajících se rozsudků ve věcech trestních.

 

2.1.2   Zaměstnanci společnosti

             Dodržují zásady povinnosti a bezpečnostní opatření stanovená směrnicí a dalšími interními předpisy a neprodleně oznamují nadřízenému zaměstnanci veškeré porušení těchto zásad, povinností a bezpečnostních opatření.

             Zaměstnanci oddělení, která provádějí shromažďování osobních údajů subjektů údajů, jsou odpovědni za získání souhlasů subjektů údajů se zpracováním osobních údajů v případech, že se jedná o takové zpracování, k němuž je souhlas subjektu údajů nutný. Zejména jsou tito zaměstnanci odpovědní za získání souhlasů subjektů údajů pro využívání údajů subjektů údajů v rámci skupiny pro marketingové účely.

             Odpovídají za správnost, úplnost a aktuálnost osobních údajů, které při své pracovní činnosti shromažďují a zpracovávají.

             Jsou povinni zachovat mlčenlivost o osobních údajích subjektů údajů a o bezpečnostních opatřeních přijatých skupinou. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.

 

2.1.3   Zástupce správce

Společnost si stanoví zástupce správce jednomu zaměstnanců. Povinnosti zástupce správce mohou být delegovány na více osob, avšak s ohledem na to, aby osoby, na něž jsou povinnosti delegovány, byly schopné tyto činnosti vykonávat. (Dále v textu této směrnice budou uváděn zástupce správce jako jedna osoba, přestože se může jednat o více různých osob)

Zástupce správce odpovídají zejména za následující:

             Zajistí poradenství v oblasti právních a bezpečnostních požadavků, ohledně nakládaní s osobními údaji

             Slouží jako kontaktní místo pro subjekt údajů a dozorový úřad ohledně záležitostí týkající se se zpracování osobních údajů.

             Pokud to nařízení vyžaduje, zajistí vedení záznamů o činnostech zpracování

             Zajistí přípravu dokumentace pro proces DPIA, poskytuje poradenství v rámci procesu DPIA a zajišťuje archivaci výstupů z procesu DPIA pokud je nutné DPIA.

             Zajišťuje, že v souladu s legislativou budou ohlašovány a evidovány případy porušení zabezpečení osobních údajů.

             Zajišťuje vyřízení žádostí subjektů údajů k uplatnění jejich práv.

 

2.1.4   Změny procesů, zahájení nového zpracování

             Již v rámci plánování zavedení nového či změny stávajícího interního procesu, zavedení nového systému nebo nové služby/produktu pro zákazníky, určí příslušný výkonný manažer navrhující dané zpracování, konkrétní osobou, která prověří, zda v rámci procesu, systému či služby/produktu nebude docházet ke zpracování osobních údajů. Tato osoba může požadovat součinnost zástupce správce při provádění uvedeného úkolu.

             Pokud pověřená osoba identifikuje, že bude docházet ke zpracování údajů, stává se tato osoba pověřenou osobou správce. Příslušný výkonný manažer osobních údajů, bude vždy existovat pověřená osoba správce.

 

Po konzultaci se zástupcem správce pověřená osoba:

  • Určí prostředky a způsob zpracování
  • Prověří existenci vhodného právního titulu pro zpracování osobních údajů
  • Určí dobu trvání zpracování

             Je-li dle zástupce správce nutný proces DPIA, zajistí jeho realizaci a součinnosti s pověřenou osobou správce. Zástupce správce archivuje dokumentaci provedeného procesu DPIA. Pověřená osoba informuje příslušného výkonného manažera o opatřeních, jejichž potřeba realizace vyplynula y procesu DPIA. Příslušný výkonný manažer zajistí, že tato opatření budou přijata a dodržována po celou dobu příslušného zpracování osobních údajů. Bude-li to nezbytné, obrátí se společnost s žádostí o konzultaci na dozorový úřad v souladu s článkem 36 nařízení.

             Zástupce správce každoročně identifikuje a v součinnosti s příslušnými výkonnými manažery prověří soulad stávajících zpracování s legislativními požadavky.

2.1.5 Souhlas se zapracováním osobních údajů

             Zástupce správce ověřuje, zda má společnost pro své zpracování osobních údajů založené na souhlasu účinné souhlasy s takovým zpracováním, které byly uděleny v souladu s nařízením. Souhlasem je míněn svobodný, konkrétní, informovaný a jednoznačný projev vůle, subjekt údajů dává, ať už prohlášením či jiným zjevným potvrzením, své svolení se zpracováním osobních údajů. Subjekt údajů musí být poučen o dobrovolnosti poskytnutí souhlasu se zpracováním osobních údajů.

             Souhlas se musí jasně odlišovat od jiných písemných prohlášení – nemůže být součástí smlouvy apod. Musí být srozumitelný a psaný jednoduchým jazykem – nemělo by se jednat o příliš komplikovaný a dlouhý text, kde se informace o tom, že subjekt s něčím souhlasí, v textu „ztratí“.

             Obecně platí, že mlčení nelze považovat za souhlas. Konkludentní právní jednání, tedy projev vůle učiněný jinak než slovy (například souhlasným přikývnutím), nelze stavět naroveň s mlčením. Společnost musí být schopna prokázat udělení souhlasu pro zpracování osobních údajů po celou dobu zpracování (např. mít podepsaný dokument, evidovanou akci na webu). Jedním z důsledků požadavku svobodnosti udělení souhlasu je, že společnost nesmí odmítnout uzavřít se subjektem údajů jen proto, že odmítl udělit souhlas se zpracováním údajů (např. pro marketingové účely), subjekt údajů jej musí dát svobodně. Pokud je pracování nezbytné pro plnění smlouvy uzavřené se subjektem údajů, pak společnost nemusí a ani nesmí souhlas se zpracováním pro účely plnění takové smlouvy vyžadovat.

             S ohledem na požadavek svobody souhlasu se zpracováním osobních údajů je nezbytné, aby každá společnost důkladně zhodnotila rozsah zpracování osobních údajů svých zaměstnanců a zda k takovému zpracování využívá souhlas se zpracováním osobních údajů zaměstnance. S ohledem na nerovné postavení zaměstnavatel-zaměstnanec je totiž většina souhlasů zaměstnanců shledána nesvobodnými a tudíž neplatnými. Souhlasy mohou být využívány pouze v případě, že i) společnosti nesvědčí jiný právní titul pro zpracování (například plnění zákonných povinností, plnění smlouvy, oprávněné zájmy) a ii) zaměstnanec má opravdu svobodnou volbu souhlas neudělit a neudělení souhlasu nepovede k nepříznivým důsledkům pro zaměstnance.

             Subjekt údajů je oprávněn souhlas neudělit, omezit jeho rozsah nebo již udělený souhlas odvolat. Subjekt údajů musí mít možnost souhlas odvolat stejně jednoduše, jako jej udělit – prakticky by mělo být možné stejným kanálem souhlas odvolat jako přijmout. Tedy pokud jej subjekt údajů poskytl přes internet, neměl by být nucen jej odvolávat osobně na pobočce či písemně. Nicméně, nelze „nevyřídit“ požadavek na odvolání souhlasu, který přijde jinou cestou než jeho udělení.

             Pro souhlas platí povinnost opt-in – při komunikaci přes internetové aplikace je nutno použít tzn. Princip „dvojího kliknutí“, tj. subjekt údajů musí mít možnost zaškrtnout/nezaškrtnout políčko umístěné bezprostředně pod formulářem, do něhož se vyplňují osobní údaje a (ne)vyjádřit takto souhlas s jejich zpracováním pro marketingové účely. Teprve následujícím úkonem – např. kliknutím na tlačítko Odeslat/Registrovat a podobně by mělo být provedeno odeslání veškerých údajů. Políčko pod formulářem nesmí být předvyplněno, musí být ponecháno na zákazníkovi, aby ho svým aktivním úkonem vyplnit. Pouze takto elektronicky učiněný souhlas lze považovat za svobodné rozhodnutí o poskytnutí osobních údajů pro marketingové účely. Pole sloužící jako příkaz k odeslání objednávky/smlouvy a podobně musí být vždy na konci veškerých informací.

             Informace, že odesláním formuláře zákazník zároveň uděluje souhlas se zpracováním osobních údajů (například pro marketingové účely), je nedostatečná a není možné ji pokládat za platně udělaný souhlas. Zároveň nelze souhlas se zpracováním osobních údajů umístit do všeobecných obchodních podmínek.

             Za děti do 13 let udělují v souvislosti s nabídkou služeb informační společnosti souhlas oprávněné osoby (zákonný zástupce) – je také nutné (pokud možno) ověřit, že se jedná o osobu, která má právo souhlas udělit.

             V případě omezení nebo odvolání souhlasu nebude společnost nadále zpracovávat osobní údaje daného subjektu údajů, a to v rozsahu dopovídajícím omezení nebo odvolání souhlasu.

Základní kostra souhlasu je následující:

  • informace o správci,
  • za jakým účelem je souhlas požadován – za jakým účelem bude docházet ke zpracování,
  • další příjemci, kterých se tento souhlas týká – pokud možno konkrétně,
  • datum, platnost, dobrovolnost, možnost odvolání,
  • informace o zpracování vyžadovaná nařízením (viz. kapitola: Transparentnost zpracování osobních údajů).

 

Společnost je povinna být vždy schopna prokázat, že jí byl souhlas udělen.

 

2.1.6 Oprávněný zájem na zpracování osobních údajů

             Dalším z právních titulů pro zpracování osobních údajů jsou takzvané oprávněné zájmy správce či třetí osoby. Jestliže bude společnost svědčit titul oprávněného zájmu pro zpracování osobních údajů, nebude společnost pro takové zpracování potřebovat souhlas subjektu osobních údajů. Nicméně, před zahájením takového zpracování na základě oprávněných zájmů je nezbytné, aby příslušná společnost vystupující v pozici správce osobních údajů provedla takzvaný balanční test. Nad oprávněným zájmem společnosti zpracovávat osobní údaje mohou totiž převážit zájmy a základní práva a svobody subjektu údajů, včetně práva na ochranu před neoprávněným zasahováním do soukromého a osobního života. Zejména tyto skutečnosti jsou posuzovány v rámci balančního testu.

             Subjekt údajů je oprávněn proti zpracování osobních údajů na základě oprávněného zájmu společnosti podat námitku. V takovém případě bude společnost postupovat podle nařízení, aby řádně vyhodnotila a vyřídila námitku proti zpracování osobních údajů.

             Oprávněný zájem v provádění různých forem přímého marketingu lze spatřovat v existujícím a relevantním vztahu mezi společností a konkrétním zákazníkem, na jehož základě může zákazník přiměřeně očekávat, že dojde ke zpracování jeho osobních údajů pro marketingové účely, a to například tím, že jej společnost osloví s nabídkou vlastního zboží nebo služeb. Nad oprávněným zájmem společnosti zpracovávat osobní údaje mohou převážit zájmy, základní práva a svobody zákazníka, včetně práva na ochranu před neoprávněným zasahováním do soukromého a osobního života. Tuto skutečnost je společnost povinna posoudit před zahájením zpracování osobních údajů na základě balančního testu.

2.1.7 Zapojení zpracovatele

             Pokud společnost v rámci zpracování osobních údajů využívá služeb zpracovatele, je úkolem zástupce správce zajistit, že společnost uzavře se zpracovatelem smlouvu o zpracování. Společnost je povinna využít pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky nařízení a aby byla zajištěna ochrana práv subjektu údajů.

             Smlouva o zpracování musí splňovat zvláštní náležitosti podle GDPR. Těmi jsou mimo jiné předmět a doba trvání zpracování osobních údajů, povinnosti a práva správce.

2.1.8 Záznamy o činnostech zpracování

Pokud společnost

  • Provádí významné zpracování, tedy takové, které pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné (probíhá systematicky), nebo zahrnuje zpracování zvláštních kategorií údajů nebo osobních údaje, které se vztahují k rozsudkům v trestních věcech a k trestným činům, nebo má více než 250 zaměstnanců
  • Pak vede (udržuje aktuální) záznamy o činnostech zpracování

Záznamy se vyhotovují písemně, přičemž tomuto požadavku vyhovuje i elektronická forma. Společnost je povinna poskytnout záznamy na požádání dozorovému úřadu.

2.1.9 Narušení bezpečnosti osobních údajů

             V případě, že dojde k události, která může mít za následek náhodné nebo protiprávní zničení, ztrátu, změnu nebo jinak zpracovaných osobních údajů ve společnosti, je povinností každého zaměstnance (především pak pověřených osob správce) neprodleně o této skutečnosti informovat zástupce správce.

             Zástupce správce zajistí v součinnosti s dotčenými útvary společnosti a příslušnou pověřenou osobou správce prověření situace a vyhodnocení závažnosti vzniklé situace (zda skutečně dochází k porušení zabezpečení osobních údajů). V závislosti na závažnosti situace zajistí realizaci následujících kroků:

  • Porušení zabezpečení musí být vždy zaznamenáno (provést záznam o vzniklém incidentu)
  • Pokud je společnost v rámci daného zpracování správcem a jeví se, že by incident mohl znamenat riziko pro práva a svobody subjektů, nahlásí incident bez zbytečného odkladu dozorovému úřadu, a to nejpozději do 72 hodin od doby, kdy bylo porušení zabezpečení identifikováno.
  • Pokud je společnost v rámci daného zpracování správcem a jeví se, že by incident mohl znamenat vysoké riziko pro práva a svobody subjektů údajů, provede společnost bez zbytečných dokladu také informování dotčených subjektů údajů
  • Pokud je společnost v rámci daného zpracování zpracovatelem, nahlásí incident bez zbytečných odkladů správci/správcům, pro které osobní údaje zpracovává (hlášení by mělo obsahovat minimálně informace, které obsahuje záznam).

2.1.10 Transparentnost zpracování osobních údajů

Subjekty údajů mají právo na informace o zpracování údajů, které s jejich údaji společnost provádí. Proto zástupce správce zajistí, aby docházelo k dodatečnému informování subjektů údajů dle GDPR.

Pokud jsou osobní údaje získávány od subjektů údajů přímo, je nutné subjekty údajů informovat již v době, kdy poskytují osobní údaje a to o:

  • Totožnosti a kontaktních údajích správce, jeho zástupce a pověřence pro ochranu osobních údajů.
  • Účelem zpracování, pro které jsou osobní údaje určeny, a právním základu pro zpracování (např. zpracovaní nezbytné pro plnění smlouvy).
  • Oprávněných zájmech správce nebo třetí strany v případě, že je zpracování založeno na oprávněných zájmech správce
  • Případných příjemcích nebo kategoriích příjemců osobních údajů
  • Případném úmyslu správce předat osobní údaje do třetí země nebo mezinárodní organizaci
  • Době, po kterou budou osobní údaje uloženy, nebo není-li možné určit, kritéria použitá pro stanovení této doby
  • Existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů
  • Existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založena na souhlasu uděleném před jeho odvoláním, pokud je zpracování založeno na souhlasu
  • Existenci práva podat stížnost u dozorového úřadu
  • Skutečnosti zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů
  • Skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, pokud k tomu dochází.

Pokud jsou osobní údaje získávány od subjektů údajů nepřímo, je nutné subjekty údajů informovat, navíc oproti získávání přímo, při prvním kontaktu, nejpozději však do jednoho měsíce od získání osobních údajů, a to o:

  • Kategoriích dotčených osobních údajů
  • Zdroji, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů

2.1.11 Práva subjektu údajů vyplívající z nařízení

2.1.11.1 Uplatňování práv

             Subjekty údajů musí mít možnost bezplatně uplatnit svá vybraná práva vyplívající z nařízení. Subjekty údajů tato práva uplatňují zejména prostřednictvím kanálů, kterými s nimi společnost komunikuje. Je úkolem zástupce správce zajistit, že všechny žádosti subjektů údajů budou zpracovány bez zbytečného odkladu, nejpozději však do jednoho měsíce.

Zástupce správce v rámci zpracování žádostí zajistí především:

  • Ověření identity subjektu údajů
  • Vedení evidence o žádostech subjektů údajů
  • Splnění požadavků uvedených v žádosti, případně její zamítnutí
  • Včasné informování subjektu údajů o výsledku žádosti.

2.1.11.2 Právo na přístup k osobním údajům

             Subjekt údajů má právo získat od společnosti potvrzení, zda zpracovává osobní údaje, které se týkají jeho osoby. Pakliže společnost takové údaje zpracovává, může subjekt údajů od ní požadovat přístup k těmto údajům, kontaktní údaje na příslušnou společnost a pověřence pro ochranu osobních údajů, a dále například informace o účelu zpracování osobních údajů, příjemci nebo kategorii příjemců, kterým byly nebo budou osobní údaje zpřístupněny, nebo plánované době uložení osobních údajů. Společnost poskytne subjektu osobních údajů kopii zpracovávaných osobních údajů.

2.1.11.3 Právo na opravu nebo doplnění osobních údajů

             Subjekt údajů má právo na to, aby společnost bez zbytečného odkladu opravila nepřesné osobní údaje nebo doplnila neúplné osobní údaje, které se týkají subjektu údajů.

2.1.11.4 Právo na výmaz

             Subjekt údajů má v určitých případech právo na to, aby společnost bez zbytečného odkladu vymazala jeho osobní údaje, zejména pokud osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny, došlo k odvolání souhlasu ke zpracování osobních údajů a neexistuje žádný další právní titul pro zpracování, nebo byla vynesena námitka proti zpracování osobních údajů. Pokud však společnost musí zpracovávat osobní údaje pro splnění své povinnosti vyplývající ze smlouvy se subjektem údajů, nebo ji ukládá zpracování údajů účinný právní přepis, tak údaje v nezbytném rozsahu zpracovává nadále.

2.1.11.5 Právo na omezení zpracování osobních údajů

             Subjekt údajů má v některých právo na to, aby společnost omezila zpracování po dobu potřebnou k ověření zpracovávaných osobních údajů – zejména jestliže subjekt údajů popírá jejich přesnost nebo zpracování osobních údajů je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich používaní. Při omezení společnost zajistí, že osobní údaje nebudou zpracovávány a to s výjimkou jejich uložení či dalších operací výslovně povolených nařízením.

2.1.11.6 Právo na přenositelnost osobních údajů

             Subjekt údajů má právo získat od společnosti své osobní údaje, které dříve poskytl, a právo předat je jinému správci osobních údajů, a to v případech, kdy bylo zpracování osobních údajů založeno na souhlasu nebo smlouvě a zpracování bylo prováděno automatizovaně.

             Subjekt údajů má právo, aby osobní údaje byly předány přímo společností jinému správci, bude-li to technicky proveditelné.

2.1.11.7 Právo vynést námitku proti zpracování osobních údajů

             Subjekt údajů má právo kdykoli vznést námitku proti zpracování osobních údajů založeném na oprávněném zájmu společnosti, Společnost v takovém případě přezkoumá námitku, a pokud bude uplatněná oprávněně, společnost již nebude zpracovávat osobní údaje tohoto subjektu údajů pro dané účely. Pokud subjekt údajů využije námitku proti přímému marketingu, vyhoví námitce společnost vždy. Společnost uvědomí o vznesené námitce ostatní společnosti, jejichž činnost může být námitkou dotčena.

             Upozornění na právo vznést námitku musí být uvedeno zřetelně a odděleně do jakýchkoli jiných informací.

2.1.12 Likvidace a anonymizace osobních údajů

             Osobní údaje smějí být zpracovávány pouze po dobu nezbytnou pro doložení trvání účelu, pro nějž jsou zpracovávány. Po uplynutí této doby (pro všechny účely, k nimž jsou dané osobní údaje zpracovávány), musí být údaje zlikvidovány. Osobní údaje mohou být také likvidovány (předčasně) na pokyn pověřené osoby správce – v reakci na plnění práv subjektů údajů (týká se především likvidace osobních údajů patřících danému subjektu). Likvidace musí být provedena tak, aby dané osobní údaje již nemohly být zpracovávány, respektive subjekt údajů nemohl být dále jakkoliv identifikován (tedy anonymizace).

2.1.13 Předávání osobních údajů do cizích zemí mimo EU

             Pověřená osoba správce si vyžádá závazné stanovisko zástupce vždy, pokud má dojít k předání osobních údajů mimo některou ze zemí EU (a to i pokud by se jednalo o předávání v rámci skupiny).

 

2.1.14 Spolupráce s dozorovým úřadem

             Pokud je společnost kontaktována, nebo potřebuje kontaktovat dozorový úřad, je úkolem zástupce správce tento kontakt zajistit.

2.1.15 Monitorování legislativy

             Legislativa v oblasti osobních údajů se stále formuje, a proto je třeba sledovat také její vývoj s ohledem na zpracování, které ve společnostech probíhají. Je úkolem zástupce správce toto legislativu sledovat, případně komunikovat novinky/změny v této oblasti tak, aby byl udržen soulad zpracovávání osobních údajů v jednotlivých společnostech se současnou legislativou v této oblasti.

2.1.16 Prokazování souladu

             Společnost musí být schopna vždy prokázat, že zpracovává osobní údaje v souladu s nařízením.

 

  1. Základní pravidla pro ochranu osobních údajů

             Kromě zajištění procesní a právní stránky s ohledem na zpracování osobních informací, je třeba také samotné informace zabezpečit na dostatečné úrovni tak, aby nedošlo k jejich vyhrazení, ztrátě, zničení či nepovolené změně. Následující odstavce uvádějí základní pravidla pro zjištění informační bezpečnosti, především pak s ohledem na osobní údaje.

3.1 Mobilní zařízení

             Při práci s mobilním zařízením (notebook, mobilní telefon, tablet apod.), z nichž je možné přistupovat k osobním údajům, je třeba dbát zvýšené pozornosti pro případ krádeže/ztráty. Jsou-li mobilní zařízení ponechána např. v automobilech a jiných dopravních prostředcích, hotelových pokojích, konferenčních centrech apod., je třeba zařízení zabezpečit proti krádeži nejlépe speciálními zámky – kensington-lock a jiné

             Taková zařízení musí být opatřena autentizací pro přístup do systému (heslem, PIN kódem, biometrikou) s autentickým uzamčením po definované době. Uložiště těchto zařízení musí být šifrováno tak, aby se případný útočník nedostal k informacím z off-line zařízení.

             Při používání takových zařízení na veřejných místech je třeba dbát zvýšené pozornosti tak, aby nebyl sledován obsah zpracovávaných informací neoprávněnými osobami (nahlédnutí přes rameno).

3.2 Manipulace s médii

             Pokud je nutné ukládat (a to včetně zálohování) citlivé informace včetně osobních údajů na přenosná média, musí být tato média šifrována a klíč uložen na odděleném místě tak, aby citlivé informace nebyly přístupné v případě, že se k médiím dostane útočník.

3.3 Řízení přístupu k systémům společnosti

             Každý zaměstnanec musí mít svůj jedinečný účet (login) k systému společnosti, kterým přistupuje k informačním prostředkům společnosti (včetně osobních údajů)

             Přístup k informacím bez ohledu na jejich citlivost musí být řízen na základě principu „need-to-know“. Tedy jednotliví uživatelé mají přístup pouze k informacím, jež nezbytně potřebují pro svou práci (a k žádným jiným). Přístup k informacím musí být přezkoumáván vždy, když zaměstnanec mění pozici ve společnosti, a také periodicky, např. jednou ročně.

             Výše uvedené se týká nejen systémů, ale také informací uložených v kartotékách. Klíče ke kancelářím či skříním, v niž jsou kartotéky uložené, smějí být vydány pouze těm, kteří mají mít k těmto dokumentům přístup.

             Zaměstnanec dostává základní údaje pro přihlášení k systému společnosti při nástupu a při opuštění pracovní pozice jsou mu všechny tyto přístupy zrušeny (zrušení účtu, pozastavení platnosti účtu).

3.4 Hesla

             Uživatelům informačních systémů jsou přidělené přístupové a autentizační údaje spolu s vytvořením účtu. Pokud jsou autentizační údaje automaticky generovány a předány uživateli, je nutné, aby uživatel takové údaje co nejdříve změnil na tajné (pouze jemu známé údaje). To lze řešit např. omezenou platností vygenerovaných přihlašovacích údajů, nebo povinností údaje co nejdříve změnit (např. ve směrnici).

             Hesla, která si uživatelé systémů zvolí, musí mít stanovaná pravidla pro minimální délku a složitost. Pro hesla také platí základní pravidla: musí mít dostatečnou minimální délku s ohledem na použití a nesmějí obsahovat pouze čísla či pouze abecední hesla.

             Současný „best practice“ v tomto ohledu je generování (náhodných) víceslovných hesel. Např. tři slova. Doporučuje se i využití více faktorových způsobů přihlašování anebo použití správců hesel, kteří generují náhodná a poměrně složitá hesla.

             Uživatelé se při tvorbě hesel vyhnou jakýkoliv heslům, která obsahují snadno zjistitelné osobní údaje (nebo jejich kombinaci), jako je třeba datum narození (ať už své či blízkých), telefonní čísla, jméno blízkých, či adresy.

3.5 Zařízení zpracovávající informace

             Zařízení zpracovávající citlivé informace, jako jsou servery, síťové disky/pole, síťové prvky a podpůrná zařízení musí být umístěna tak, aby k nim nebyl možný nahodilý přístup neoprávněných osob. Je tedy nutné taková zařízení uzamknout v místnostech či skříňkách, které omezí přístup k takovým zařízením.

             Pokud má být takové zařízení vyřazeno, je nutné důkladně vymazat všechna zpracovávaná data z datových nosičů zařízení.

3.6 Bezpečnost pracovního místa

             Kancelář musí být uzamykány vždy, když na pracovišti není přítomna osoba, která má tít přístup k osobním údajům, a to i v případě krátkodobého opuštění pracoviště.

             Dokumenty, které obsahují citlivé informace (včetně osobních údajů), musejí být vždy, pokud je kancelář opuštěna, uzamčené v uzamykatelných kontejnerech (skříňkách), a to především v případech, kdy se v nepřítomnosti osoby oprávněné mohou v kanceláři vyskytovati jiné (neoprávněné) osoby.

             Obdobný přístup se týká dokumentů tištěných - pokud jsou tištěny citlivé dokumenty (obsahující např. osobní údaje) na sdílených tiskárnách, musí odpovědný (oprávněný) pracovník sledovat zařízení a výtisk co nejdříve vyzvednout.

3.7 Provoz počítačů

             Počítače a terminály by neměly být ponechávány s přihlášenými uživateli (povinnost odhlásit se) a musí být chráněny mechanismem zamykajícím obrazovku nebo klávesnici.

             Na počítačích koncových uživatelů s operačním systémem Windows budou nasazena základní opatření pro detekci a prevenci malware (antivirus).

             Jestliže počítače obsahují jedinou kopii citlivých informací, a to včetně osobních údajů, společnost zajistí zálohování těchto dat vhodným způsobem (na přenosný disk, do cloudu apod.)

3.8 Zaznamenávání událostí

             Události v systémech případně v evidencích (kartotéky apod.) musí být zaznamenávány a zachovány pro případné vyšetřování bezpečnostních událostí v systémech a prokazování řádného provozu systému společnosti při kontrolách ze strany orgánů státní správy. Záznam událostí musí být, pokud možno, veden odděleně od samotných záznamů, kterých se týká (oddělený server, oddělená zásuvka) tak aby v případě, že se útočník dostane k údajům, nemohl manipulovat se záznamy.

             Je třeba zaznamenávat především přístupy do systému, přístupy (čtení) informací, změny (vytváření nových) informací a odhlášení uživatele.

3.9 Správa technických zranitelností

             Systémy (a používání software) musí mít funkční systém pro sledování dostupných bezpečnostních aktualizací, které se budou, pokud možno, co nejdříve instalovat (nejlépe automaticky). Alternativně může společnost pro větší informační systémy nasadit software pro monitorování softwarových zranitelností s tím, že nalezené zranitelnosti budou co nejdříve řešeny.

3.10 Bezpečnost komunikace

             Všechna připojení k systému přes komunikační síť musí být omezena a pokud možno šifrovaná. Na požadavek šifrování je třeba myslet především při připojení k systémům přes veřejnou síť internet, zvláště pak při využívání veřejných WIFI apod. To lze řešit například připojením k systémům přes protokoly SSL (HTTPS), SSH, VPN a další. Nešifrovaná připojení přes síť je možné využívat pouze v omezeném měřítku především pro komunikaci, kdy nejsou přenášeny osobní údaje, nebo připojení k dané komunikační síti je dostatečně zabezpečeno (omezeno).

3.11 Elektronické předávání zpráv a e-maily

             Standardní e-mailová komunikace neposkytuje mnoho bezpečnostních záruk, není garantováno doručení zprávy, není garantovaný odesilatel, není garantováno, že zpráva dorazí nezměněná od odesílatele příjemci a není ani garantováno, že zprávu po cestě nebude číst někdo jiný. S ohledem na tyto skutečnosti je nutné s e-maily pracovat se zvýšenou ostražitostí a především neposílat v e-mailech osobní údaje. Jestliže je nutné takové informace e-mailem odeslat, musejí být zabezpečené před vyzrazením neoprávněné osobě (např. šifrováním). Dobrým způsobem, jak takové informace zabezpečit, je např. zaheslovaný archiv (zip, rar) a odeslání hesla příjemci přes SMS. Alternativně lze využívat šifrování a podepisování zpráv pomocí certifikátů PKI nebo PGP.

 

 

  1. Využívání osobních údajů zákazníků společnosti pro marketingové účely

4.1 Účel strategie

Společnost zpracovává v souvislosti se svou obchodní činností množství osobních údajů zákazníků a potenciálních zákazníků a vystupuje jako správce osobních údajů. Společnost má zájem na maximalizaci využití takových osobních údajů zákazníků za účelem nabízení produktů a služeb zákazníkům.

4.2 Marketingové využití osobních údajů a jejich předávání

4.2.1 Úrovně marketingového využití osobních údajů

Zpracování osobních údajů zákazníků v režimu správce–zpracovatel.

4.2.2 Využití osobních údajů ve vztahu mezi správcem a zpracovatelem

V rámci společnosti může jiná společnost zpracovávat osobní údaje zákazníků v postavení zpracovatele osobních údajů. Zejména se jedná o případy, kdy společnosti poskytuje jiná společnost služby zpracovávání osobních údajů zákazníků – například externí účetnictví, apod. V takovém případě musí být splněny podmínky uvedené v článku „Zapojení zpracovatele“, včetně uzavření smlouvy o zpracování.

4.3 Formy marketingového využití osobních údajů

4.3.1 Klasický marketing (písemný kontakt)

Jak již bylo uvedeno výše, využití osobních údajů pro marketingové účely společnosti (tnz. Nabízení obchodu nebo služeb a další marketingové aktivity) je možné zásadně pouze se souhlasem zákazníka.

Bez souhlasu lze zpracovávat osobní údaje pro účely klasického marketingu pouze při splnění podmínek využití osobních údajů zákazníka z důvodu oprávněného zájmu společnosti.

4.3.2 Elektronický marketing

Společnost je při šíření obchodních sdělení elektronickými prostředky povinna postupovat výhradně v souladu se zákonem o některých službách informační společnosti, který upravuje možnost použití elektronických prostředků (například elektronické pošty) k šíření obchodního sdělení. Elektronický kontakt (například e-mailová adresa) lze za účelem šíření obchodních sdělení elektronickými prostředky využít pouze ve vztahu k zákazníkům, kteří k tomu dali předchozí souhlas.

Bez souhlasu zákazníka lze šířit obchodní sdělení pouze v případě, že daná společnost:

  • získá v souladu s legislativou od svého zákazníka (v tom případě výhradně osoby, které poskytuje společnost produkty nebo služby na základě smluvního vztahu, to znamená, že nejde o tak zvaného nezákazníka, například žadatel o produkt) podrobnosti jeho elektronického kontaktu pro elektronickou poštu v souvislosti s prodejem svých výrobků nebo služeb, a současně
  • ten to zákazník má jasnou a zřetelnou možnost jednoduchým způsobem, zdarma nebo na účet společnosti odmítnout souhlas s takovýmto využitím svého elektronického kontaktu i při zasílání každé jednotlivé zprávy, pokud původně toto využití neodmítl.

 

Náležitosti obchodního sdělení šířeného elektronickou poštou jsou následující:

  • Zpráva musí být zřetelně a jasně označena jako obchodní sdělení (například v předmětu zprávy)
  • Nesmí skrývat nebo utajovat totožnost odesílatele (tzn. společnosti)
  • Musí obsahovat adresu, na kterou může zákazník přímo, účinně a zdarma zaslat informaci o tom, že si nepřeje, aby mu byly obchodní informace/sdělení společnosti nadále zasílány.

Výše uvedená pravidla se uplatní i v případě, že bude k odeslání obchodního sdělení použít jiný druh elektronického prostředku než elektronická pošta (například SMS zpráva zaslaná na mobilní telefon).

V případě oslovování potencionálních zákazníků za účelem šíření obchodního sdělení elektronickými prostředky (tj. všemi formami sdělení včetně reklamy, vybízení k návštěvě internetových stránek a dalších) je nutný předchozí souhlas. Již žádost o souhlas se zasíláním obchodních sdělení je posuzována jako nevyžádané obchodní sdělení.

Za nevyžádané obchodní sdělení (spam) se považuje: nevyžádaný e-mail, SMS zprávy, ale i telefonický hovor nahraný v hlasové schránce.

 

 

 

PŘÍLOHA č. 1 – souhlas listinná podoba

SOUHLASY SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ PRO MARKETINGOVÉ ÚČELY

Já, níže podepsaný/podepsaná

Jméno a příjmení, titul:

Bytem:

E-mail:

Telefon:

Tímto v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (GDPR) uděluji společnosti ABROSTA s.r.o. IČ: 04161521, sídlem: Ke Koble 1100, 289 11 Pečky („Správce“) tento souhlas se zpracováním mých osobních údajů, které ode mne Správce získal, a to v rozsahu identifikační údaje (jméno, příjmení, datum narození), kontaktní údaje (adresa, telefon, e-mail), Správci („Osobní údaje“). Účelem zpracování je přímý marketing- zasílání nabídek výrobků a služeb Správce, včetně zasílání e-mailovým a jiným elektronických obchodních sdělení. V rámci zpracování osobních údajů bude docházet k profilování, jehož předmětem bude cílení marketingových sdělení – nabídek výrobků a služeb. Souhlas udělují na dobu trvání smluvního vztahu mezi mnou a Správcem a na dalších 10 let po jeho ukončení. Pokud takový smluvní vztah mezi mnou a Správcem v době udělení tohoto souhlasu neexistuje, pak souhlas uděluji na dobu 10 let od jeho udělení.

Beru na vědomí, že v souvislosti se zpracováním mých údajů podle tohoto souhlasu mám práva podle článku 15 až 22 GDPR, zejména:

  • Právo požadovat od správce potvrzení, zda zpracovává mé osobní údaje, dále mohu požadovat bližší informace o takovém zpracování. Pokud bude mít Správce nepřesné údaje, mohu požadovat jejich opravu.
  • Jestliže budou splněny podmínky článku 17 GDPR, mohu požadovat výmaz mých osobních údajů. Toto právo mohu využít zejména pokud odvolám tento souhlas se zpracováním a Správce nebude mít žádný další právní důvod pro zpracování
  • V případě stanovených v článku 18 GDPR mám právo na to, aby Správce omezil zpracování mých osobních údajů. Po dobu omezení budou mé údaje, s výjimkou jejich uložení, zpracovány pouze s mým souhlasem, nebo k určení, výkonu nebo obhajobě právních nároků, k ochraně práv jiné osoby nebo z důvodu důležitého veřejného zájmu
  • Za podmínek článku 20 GDPR mám právo obdržet od Správce veškeré osobní údaje, které o mne získal, a to v běžně používaném a strojně čitelném formátu. V takovém případě mohu požadovat, aby správce předal mé osobní údaje jinému správci, bude-li to technicky proveditelné
  • Mám právo na námitky proti zpracování. Uplatním-li toto právo, nebude Správce dále mé osobní údaje pro účely přímého marketingu nadále zpracovávat.

Pokud se budu domnívat, že zpracováním mých osobních údajů došlo k porušení GDPR, mohu se obrátit se stížností k některému z dozorových úřadů, zejména v členském státě mého obvyklého bydliště, místa výkonu mého povolání, nebo místa, kde k údajnému porušení došlo. V případě České republiky je takovým dozorovým úřadem Úřad pro ochranu osobní údajů, se sídlem Pplk. Sochora 27, 170 00 Praha 7, tel.: +420 234 665 111, www.uoou.cz.

Tento souhlas poskytuji zcela dobrovolně a mohu jej kdykoliv odvolat. Případné odvolání souhlasu však nemá vliv na zákonnost dosavadního zpracování osobních údajů.

V případě nejasností kontaktujte vedení společnosti na e-mail: Tato e-mailová adresa je chráněna před spamboty. Pro její zobrazení musíte mít povolen Javascript.

Vaše dotazy a objednávky

Kde nás najdete

Hradec Králové

Telefon: +420 603 843 805

Pondělí - Pátek od 8:30 do 16:30

Abrosta © 2019