(dále jen „Směrnice“) vypracovaná níže uvedeného dne, měsíce a roku v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „Nařízení“) a v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „ZoOU“)
SPOLEČNOST:
REC Group s.r.o.
IČ: 255 48 034
se sídlem Brněnská 1372, Staré Město, PSČ 686 03
společnost zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, oddíl C, vložka 32267
(dále jen „Společnost“)
- ÚVODNÍ USTANOVENÍ
- Tato Směrnice stanoví základní vnitřní pravidla pro ochranu osobních údajů a jejich zpracování ve Společnosti. Tato Směrnice představuje jedno z organizačních opatření Společnosti přijaté v souladu s ust. čl. 32 Nařízení.
- Směrnice dále upravuje rovněž způsob, jakým je Společností nakládáno se žádosti subjektů údajů při výkonu práv subjektů údajů ve smyslu příslušných článků Nařízení a také proces ohlašování případů porušení zabezpečení ochrany osobních údajů ve vztahu k Úřadu pro ochranu osobních údajů a dotčeným subjektů daných osobních údajů.
- Směrnice upravuje rovněž proces vypracování zprávy o posouzení vlivu na ochranu osobních údajů ve smyslu ust. čl. 35 Nařízení.
- PŮSOBNOST SMĚRNICE, DEFINICE A ZKRATKY
- Tato Směrnice se vztahuje na všechny zaměstnance Společnosti při zpracování osobních údajů nebo plnění obdobné činnosti spadající pod úpravu zakotvenou v Nařízení nebo ZoOU.
- Společnost určí zvláštním vnitřním předpisem osoby odpovědné za jednotlivé operace zpracování osobních údajů a další pověřené osoby.
- Pro účely této Směrnice se zavádí následující zkratky:
- Úřad = Úřad pro ochranu osobních údajů (ve smyslu textu Nařízení „Dozorový úřad“).
- Nařízení = nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
- ZoOU = zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
- osobní údaj = veškeré informace o identifikované nebo identifikované fyzické osobě.
- subjekt údajů = veškeré žijící fyzické osoby včetně počatých, ale dosud nenarozených dětí (nasciturus).
- zaměstnanec = všechny fyzické osoby v pracovním poměru ke Společnosti, bez ohledu na právní titul vzniku pracovního poměru (pracovní smlouva, dohoda o pracovní činnosti, dohoda o provedení práce); ustanovení této Směrnice se přiměřeně aplikují také na všechny zaměstnance agentury práce přidělené k výkonu práce ve Společnosti na základě dohody o dočasném přidělení zaměstnance agentury práce a také na zaměstnance jiného zaměstnavatele dočasně přidělené k výkonu práce ve Společnosti na základě dohody o dočasném přidělení zaměstnance.
- zpracování osobních údajů = jakákoliv operace (soubor operací) s osobními údaji (soubory osobních údajů), která je prováděna pomocí nebo bez pomoci automatizovaných postupů.
- ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
- Účely a prostředky použité při zpracování osobních údajů stanoví statutární orgán Společnosti nebo jím pověřená osoba, a to pro každou operaci zpracování osobních údajů zvlášť.
- Zpracování osobních údajů provádí Společnost vždy na základě a v souladu s požadavky Nařízení a ZoOU a vždy na základě konkrétně specifikovaného právního titulu dané operace zpracování. Pakliže je právním titulem zpracování osobních údajů udělený souhlas subjektu údajů, je Společnost povinna zajistit, aby takový souhlas byl ze strany subjektu údajů udělen se všemi náležitostmi stanovenými Nařízením.
- Společnost přijala nezbytná opatření technologické, administrativní a další povahy k zabezpečení ochrany osobních údajů, konkrétní povinnosti v těchto oblastech jsou upraveny vnitřními předpisy Společnosti.
- U jednotlivých operací zpracování osobních údajů jsou posléze určeny konkrétní doby uchování těchto osobních údajů, forma jejich vedení (fyzická, elektronická, příp. kombinovaná); doba uchování osobních údajů se stanoví přednostně dle zákonných lhůt, nejsou-li dány, stanoví je sama Společnost v přiměřené délce vždy s ohledem na účel a operaci zpracování osobních údajů a se zřetelem k oprávněným zájmům Společnosti (např. běh promlčecích lhůt dle příslušných právních předpisů). Doba uchování osobních údajů nesmí být nepřiměřeně dlouhá (posuzováno vždy v konkrétním případě), jednotlivé doby uchování osobních údajů jsou uvedeny ve vnitřním předpisu Společnosti (skartačním řádu).
- Údaj o době uchování osobních údajů pro danou operaci zpracování je uveden také v záznamech o činnostech zpracování, které Společnost vede v souladu s ust. čl. 30 Nařízení.
- Zpracování osobních údajů je vždy prováděno zákonným způsobem za použití základních zásad stanovených v ust. čl. 5 Nařízení.
- Zaměstnanci jsou povinni provádět operace zpracování osobních údajů vždy pouze za účelem určeným Společností a prostřednictvím prostředků k tomu Společností určených. Zpracování osobních údajů ze strany zaměstnance prováděné v rozporu s tímto bodem Směrnice bude Společností považováno za porušení povinností vyplývajících z právních předpisů vztahujících se k zaměstnancem vykonávané práci (pracovní kázně) se všemi právními důsledky z toho vyplývajícími.
- Při zpracování osobních údajů jsou zaměstnanci vázáni pokyny Společnosti vyjádřenými k tomu oprávněnou/pověřeno osobou nebo statutárním orgánem Společnosti. Zaměstnanci zpracovávají pouze ty osobní údaje, které jsou nutné pro výkon jejich povinností vyplývajících z uzavřeného pracovního poměru ke Společnosti. Společnost omezuje přístup ke zpracovávaným osobním údajům pouze pro ty zaměstnance, kteří operace zpracování v rámci svého pracovního poměru pro Společnost provádějí.
- Dozví-li se zaměstnanec Společnosti o zpracování osobních údajů, které jsou nepřesné, neúplné nebo zastaralé nebo má za to, že jsou osobní údaje uchovávány po dobu delší, než byla Společností závazně stanovena, je tento zaměstnanec tuto skutečnost povinen ohlásit svému nadřízenému zaměstnanci, osobě pověřené příslušnou agendou zpracování osobních údajů nebo přímo statutárnímu orgánu Společnosti.
- V případě, kdy pro Společnost provádí některou operaci zpracování osobních údajů třetí osoba v rámci plnění smluvních povinností, je Společnost povinna zajistit, aby byla s touto třetí osobou uzavřena smlouva o zpracování osobních údajů se všemi náležitostmi stanovenými Nařízením a ZoOU.
- ZPRÁVA O POSOUZENÍ VLIVŮ NA OCHRANU OSOBNÍCH ÚDAJŮ, POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ, PŘEDCHOZÍ KONZULTACE S ÚŘADEM
- Společnost v současné době nezpracovává zprávu o posouzení vlivů na ochranu osobních údajů ve smyslu ust. čl. 35 a násl. Nařízení; v případě, že v budoucnu pojme Společnost záměr provádět takové zpracování osobních údajů, které by mohlo naplňovat požadavky Nařízení pro vypracování zprávy o posouzení vlivů na ochranu osobních údajů, zavazuje se Společnost s dostatečným předstihem před zahájením takového zpracování osobních údajů vypracovat příslušnou zprávu o posouzení vlivů na ochranu osobních údajů se všemi náležitostmi stanovenými Nařízením.
- V případě, kdy by takové zamýšlené zpracování osobních údajů vyžadující vypracování zprávy o posouzení vlivů na ochranu osobních údajů mohlo představovat vysoké riziko pro práva a svobody dotčených subjektů údajů se Společnost zavazuje podat Úřadu žádost o předchozí konzultaci v této věci v souladu s ust. čl. 36 Nařízení. S ohledem na zajištění nejvyšší možné ochrany práv subjektů údajů se v pochybnostech má za to, že zamýšlená operace zpracování představuje vysoké riziko a Společnost proto takovou žádost i za existence těchto pochybností Úřadu podá.
- V průběhu řízení o předchozí konzultaci s Úřadem se Společnost zavazuje poskytnout Úřadu plnou součinnost a respektovat eventuální rozhodnutí Úřadu v dané věci.
- S ohledem na předmět činnosti Společnosti a operace zpracování osobních údajů ve Společnosti prováděné, nejmenuje Společnost osobu pověřence pro ochranu osobních údajů. Společnost nicméně určí zaměstnance odpovědné za jednotlivé operace zpracování, jakož i osobu odpovědnou za vedení generální agendy ochrany osobních údajů ve Společnosti. Společnost bude zároveň v nutných případech využívat služeb externích spolupracovníků pro zajištění dostatečné ochrany osobních údajů ve Společnosti.
- V případě, že Společnost dospěje k závěru, že se na ni povinnost jmenovat osobu pověřence pro ochranu osobních údajů vztahuje nebo bude vzhledem k nově zamýšleným operacím zpracování osobních údajů nebo změně v předmětu podnikatelské činnosti Společnosti vztahovat, neprodleně zajistí jmenování osoby pověřence pro ochranu osobních údajů.
- PŘÍPADY PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ, KOMUNIKACE SE SUBJEKTY OSOBNÍCH ÚDAJŮ
- V případě porušení zabezpečení ochrany osobních údajů je Společnost povinna do 72 hodin od zjištění takového porušení ohlásit toto porušení Úřadu. Oznamovací povinnost Společnosti není dána pouze tehdy, není-li pravděpodobné, že by dané porušení mohlo mít za následek riziko pro práva a svobody subjektů údajů.
- Ohlášení porušení se provádí na formuláři předepsaném Úřadem (je-li v době zjištění porušení k dispozici), v opačném případě vlastním podáním Společnosti adresovaným Úřadu s náležitostmi dle příslušných ust. Nařízení.
- Společnost vede evidenci zjištěných porušení prokazatelným způsobem včetně veškerých podrobností předávaných v rámci daného oznámení Úřadu.
- Je-li zjevné, že zjištěné porušení má za následek vznik rizika pro práva a svobody subjektů údajů nebo takový následek nelze při vynaložení řádné péče na straně Společnosti jednoznačně vyloučit, oznámí Společnost zjištěné porušení také všem dotčeným subjektům údajů.
- Komunikaci se subjekty údajů zajišťují zaměstnanci Společnosti k tomuto účelu Společností určení. Pakliže subjekt údajů adresuje některou svou žádost ve smyslu ust. čl. 15 až 22 Nařízení jinému zaměstnanci Společnosti, je takový zaměstnanec povinen zajistit předání této žádosti odpovědné osobě.
- Není-li u konkrétní operace zpracování stanoven zvláštní postup pro komunikaci se subjektem údajů, platí, že subjekt údajů může vždy svou žádost učinit prostřednictvím kontaktních údajů Společnosti (e-mailové adresy a telefonní čísla, které jsou uvedeny na webových stránkách Společnosti), včetně zaslání písemné žádosti na adresu sídla Společnosti zapsanou v obchodním rejstříku.
- Pokud není pro konkrétní operaci zpracování nebo žádost subjektu údajů stanovena zvláštní lhůta pro vyřízení žádosti subjektu údajů, pak tato lhůta činí vždy jeden (1) měsíc ode dne doručení příslušné žádosti subjektu údajů. Zaslal-li subjekt údajů totožnou žádost vícero způsoby, pak pro běh této lhůty platí doručení prvního vyhotovení takové žádosti.
- Společnost vede evidenci veškerých žádostí subjektů údajů včetně data přijetí žádosti a data vyřízení žádosti.
- Pakliže je zřejmé, že s ohledem na technickou, časovou nebo obdobnou náročnost podané žádosti, nebude tato žádost moci být vyřízena ve stanovené lhůtě, se Společnost zavazuje o této skutečnosti podatele žádosti neprodleně informovat včetně odůvodnění nemožnosti vyřízení žádosti ve stanovené lhůtě.
- Není-li stanoveno jinak, platí, že vyřízení žádosti je prováděno stejnou formou, v jaké byla učiněna žádost. U žádostí učiněných v jiné, než písemné formě pak platí, že tyto žádosti lze vždy vyřídit v písemné formě. Pokud je žádost vyřízena pouze ústní formou, poznamená tuto skutečnost Společnost v rámci vedené evidence žádostí subjektů údajů.
- V případě opakovaných žádostí subjektu údajů v téže věci je Společnost oprávněna další vyřizování téže žádosti subjektu údajů přiměřeným způsobem zpoplatnit, na tuto skutečnost bude subjekt údajů vždy předem upozorněn.
- ZÁVĚREČNÁ USTANOVENÍ
- Společnost se zavazuje v případě potřeby zajistit pro své zaměstnance školení v oblasti ochrany osobních údajů a jejich zpracování.
- Kontrolu dodržování této Směrnice provádí statutární orgán Společnosti, příp. osoba k tomu statutárním orgánem Společnosti pověřená.
- V případě pochybností o osobě, které má být porušení této Směrnice nebo zásad a povinností touto Směrnicí stanovených oznámeno, platí, že lze takové oznámení učinit vždy přímo statutárnímu orgánu Společnosti.
- Společnost se zavazuje reagovat na vývoj právní úpravy, jakož i rozhodovací praxe Úřadu a soudů a v případě potřeby tuto Směrnici odpovídajícím způsobem aktualizovat.
- Aktualizaci lze provést dodatkem k této Směrnici nebo vydáním nové směrnice.
- Tato Směrnice nabývá účinnosti dne 25.5.2018.