dnes je 17.6.2021

Input:

Vzor - Směrnice o ochraně osobních údajů (upraveno pro testování zaměstnanců ve firmách)

7.3.2021, , Zdroj: Verlag Dashöfer

1.180
Vzor - Směrnice o ochraně osobních údajů (upraveno pro testování zaměstnanců ve firmách)

Mgr. Mgr. Radana Burešová

Směrnice o ochraně osobních údajů
I.

1.1 Účel

Účelem této směrnice je aktualizace opatření v oblasti zpracování osobních údajů prováděného správcem v souvislosti se vstupem nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) v platnost.

1.2 Odpovědnosti

Osoby odpovědné za provádění jednotlivých činností vyplývajících z této směrnice jsou uvedeny v tabulce odpovědností, která tvoří přílohu této směrnice.

1.3 Osobní působnost

Všichni zaměstnanci správce a osoby v jiném obdobném smluvním vztahu ke správci.

1.4 Definice pojmů

1.4.1 Osobní údaje (dále jen „”) jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů”); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například zejména jméno, příjmení, identifikační číslo, datum narození, rodné číslo, e-mailová adresa, telefonní číslo, lokační údaje (např. adresa bydliště), síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Subjekty údajů jsou zejména zaměstnanci správce.

1.4.2 Zpracování osobních údajů je jakákoliv operace nebo soubor operací, které jsou prováděny s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

1.4.3 Citlivé osobní údaje jsou osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a genetické údaje, biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby a údaje o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

1.4.4 GDPR – nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

1.4.5 Pseudonymizace je zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

1.4.6 Úřad – Úřad pro ochranu osobních údajů.

1.4.7 Správce – společnost ……………………………. [doplnit název, popř. další údaje o subjektu vydávajícím směrnici]

II.
Základní zásady zpracování osobních údajů

2.1 Jakékoli zpracování OÚ provádějí jen osoby příslušné pro daný způsob a účel zpracování uvedené v záznamech o činnostech zpracování dle bodu 3.1.

2.2 Všechny osoby, které v rámci správce nebo pro něj zpracovávají OÚ, jsou povinny o těchto OÚ (i po ukončení jejich zpracování) a o bezpečnostních opatřeních přijatých v souvislosti s jejich ochranou zachovávat mlčenlivost, a to i po skončení pracovního nebo obdobného poměru.

2.3 Osoby provádějící zpracování OÚ jsou povinny dodržovat níže uvedené zásady a musí být schopny jejich dodržování kdykoli doložit:

2.3.1 Zákonnost, transparentnost a korektnost: K jakémukoli shromažďování OÚ smí docházet jen za určitými, výslovně vyjádřenými a legitimními účely, a to zákonným a transparentním způsobem. Shromážděné OÚ nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.

2.3.2 Přesnost a minimalizace OÚ: Veškeré zpracovávané OÚ musí být přesné a v případě potřeby aktualizované, přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

2.3.3 Omezení doby zpracování: OÚ musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány.

2.3.4 Integrita a důvěrnost: Veškeré OÚ musí být zpracovávány způsobem, který zajistí jejich náležité zabezpečení, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

III.
Zahájení zpracování osobních údajů

3.1 Záznamy o činnostech zpracování

3.1.1 Jakýkoli druh/účel zpracování OÚ musí být předem zaznamenán v záznamech o činnostech zpracování vedených dle čl. 30 GDPR. Bez provedení tohoto záznamu není možné zpracování OÚ zahájit.

3.1.2 Osoby provádějící zpracování OÚ jsou povinny pracovníkovi pověřenému vedením záznamů o činnostech zpracování neprodleně oznámit jakékoli změny údajů uváděných v záznamech o činnostech zpracování, zejména změny týkající se kategorií zpracovávaných OÚ, kategorií subjektů údajů, účelu, doby a rozsahu zpracování.

3.2 Informace o zpracování osobních údajů

3.2.1 Pokud jsou OÚ získávány přímo od subjektu údajů (např. přímým dotazem, vyplněním dotazníku, monitorováním prostřednictvím kamerového systému), musí mu být v okamžiku jejich získání bezplatně poskytnuty informace stanovené v článku 13 GDPR. [Je možno přiložit jako přílohu: Vzor těchto informací tvoří přílohu této směrnice.] V případě změn těchto informací je nutno subjektu údajů bez zbytečného prodlení poskytnout aktualizované informace.

3.2.2 Informace jsou subjektům údajů poskytovány některou z níže uvedených forem:

  • osobním předáním písemného vyhotovení těchto informací, pokud možno oproti podpisu, a není-li to možné nebo vhodné

  • zasláním písemného vyhotovení těchto informací e-mailem, a není-li to možné nebo vhodné,

  • odkazem na webové stránky správce: [doplnit:] ……………;

  • prostřednictvím informačních tabulí v případě monitorování kamerovým systémem.

3.2.3 Pokud OÚ nejsou získávány přímo od subjektu údajů, nýbrž od jiných správců nebo subjektů údajů (např. od rodinných příslušníků nebo zprostředkovatelských agentur), musí mu být bezplatně poskytnuty informace stanovené v článku 14 GDPR, a to v přiměřené době, nejpozději však do jednoho měsíce, resp. nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci (čl. 14 odst. 3 GDPR). Tyto informace jsou poskytovány postupem dle bodu 3.3. [Je možno přiložit jako přílohu: Vzor těchto informací tvoří přílohu této směrnice.] V případě změn těchto informací je nutno subjektu údajů bez zbytečného prodlení poskytnout aktualizované informace.

3.3 Externí poskytovatelé služeb

Jestliže je zpracováním OÚ pro správce pověřena jiná osoba – tzv. zpracovatel, nepředají se jí jakékoli OÚ, dokud s touto osobou nebude uzavřena smlouva o zpracování ve smyslu čl. 28 odst. 3 a 4 GDPR. Taková smlouva musí být uzavřena zejména s osobami poskytujícími externí daňové a účetní služby, s externími provozovateli (části) informačního systému, s externím správcem sítě, externím poskytovatelem bezpečnostních (security) služeb, poskytovatelem datového úložiště (cloudu), s externími lektory a školiteli, koordinátory BOZP apod., pokud přicházejí do styku s OÚ.

IV.
Právní důvody zpracování osobních údajů

4.1 Jakékoli OÚ mohou být zpracovávány jen v nezbytném rozsahu a po nezbytně nutnou dobu, a to výlučně z právních důvodů uvedených v čl. 6 odst. 1 GDPR, zejména pokud:

4.1.1 je zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů (např. pokud je zpracování nezbytné pro plnění pracovní smlouvy);

4.1.2 je zpracování nezbytné pro splnění právní povinnosti správce (např. plnění povinností plynoucích z daňových a účetních předpisů, předpisů z oblasti sociálního zabezpečení a všeobecného zdravotního pojištění, z předpisů o zaměstnávání cizinců a o veřejných rejstřících právnických a fyzických osob);

4.1.3 je zpracování nezbytné pro účely oprávněných zájmů správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě (např. ostraha majetku, též prostřednictvím kamerových systémů, evidence docházky);

4.1.4 je zpracování nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, tj. zejména v případech, kdy je bezprostředně ohrožen život dotčené osoby a tato osoba není schopna sama sdělit potřebné OÚ nebo udělit souhlas s jejich zpracováním, např. proto, že je v bezvědomí;

4.1.5 subjekt údajů udělil souhlas se zpracováním svých OÚ pro jeden či více konkrétních účelů.

  • Souhlas musí splňovat náležitosti stanovené v článku 7 GDPR, zejména musí být udělen dobrovolně.

  • Případné odmítnutí udělit souhlas nebo odvolání souhlasu je v každém jednotlivém případě třeba respektovat.

  • Souhlas se zpracováním OÚ nemá být vyžadován v případech, kdy se na daný případ zpracování OÚ vztahuje jiný právní důvod zpracování.

  • I v případě zpracování OÚ na základě souhlasu subjektu údajů musí být subjektu údajů poskytnuty informace dle bodu .

  • S ohledem na skutečnost, že souhlas se zpracováním OÚ musí být doložen po celou dobu jejich zpracování, musí být souhlas vždy doložen v písemné formě; přípustná je též elektronická forma, pokud není pochyb o tom, kdo souhlas poskytl.

  • Za nezletilé mladší 15 let souhlas se zpracováním jejich OÚ poskytují jejich zákonní zástupci (většinou rodiče). V případě, že má být souhlas ke zpracování OÚ udělen nezletilou osobou starší 15 let, je vhodné, aby ho udělila jak tato osoba, tak její zákonný zástupce. Pokud jsou OÚ na základě souhlasu zpracovávány i poté, co dotčená osoba nabyla zletilosti, je třeba obstarat nový souhlas s příslušným zpracováním OÚ. Je-li to možné, je nutno hodnověrně ověřit, že osoba, která za nezletilého uděluje souhlas, je skutečně jeho zákonným zástupcem.

  • [Je možno přiložit jako přílohu: Vzor souhlasu se zpracováním OÚ tvoří přílohu této směrnice.]

V.
Zpracování citlivých osobních údajů

5.1 Citlivé osobní údaje vyžadují zvláštní ochranu, proto je při jejich zpracování třeba obzvláště dbát na dodržování veškerých pravidel pro zpracování osobních údajů stanovených v příslušných právních předpisech a této směrnici.

5.2 Citlivé osobní údaje lze zpracovávat výlučně z důvodů uvedených v čl. 9 odst. 2 GDPR, zejména pokud:

5.2.1 subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo české republiky stanoví, že zákaz zpracování citlivých osobních údajů, zakotvený v čl. 9 odst. 1 GDPR, nemůže být subjektem údajů zrušen; ohledně souhlasu subjektu údajů se použije bod 4.1.5 obdobně;

5.2.2 zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo České republiky nebo kolektivní dohodou;

5.2.3 zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;

5.2.4 zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů;

5.2.5 zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků;

5.2.6 zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění přísných norem kvality a bezpečnosti zdravotní péče a léčivých přípravků nebo zdravotnických prostředků, na základě práva Unie nebo České republiky, které stanoví odpovídající a zvláštní opatření pro zajištění práv a svobod subjektu údajů, zejména služebního tajemství.

5.3 Zpracováním citlivých osobních údajů je rovněž zpracování osobních údajů o zdravotním stavu subjektu údajů v souvislosti s testováním na přítomnost (antigenu) viru SARS-CoV-2 nebo očkováním proti onemocnění COVID-19, jakož i důvodů upuštění od tohoto testování nebo očkování.

VI.
Ochrana osobních údajů

6.1 Přístup k OÚ mají jen osoby, které příslušné OÚ nezbytně potřebují k výkonu své práce/jiné smluvní činnosti.

6.2 Jiným osobám mohou být předmětné OÚ zpřístupněny jen v nezbytných a legitimních případech. O každém zpřístupnění OÚ jiné osobě se provede stručný písemný záznam (též v elektronické podobě), v němž bude mimo jiné uveden i účel, ke kterému jsou OÚ vyžadovány.

6.3 OÚ a jejich fyzické nosiče (např. písemnosti, externí disky, notebooky, smartphony) musí být uchovávány tak, aby nedošlo k jejich náhodnému zpřístupnění třetím osobám. Zejména je třeba zabezpečit je při každém opuštění pracovního místa.

6.4 Pohyb cizích osob v prostorách, kde jsou přístupné OÚ, je možný jen v doprovodu příslušného pracovníka.

6.5 OÚ a jejich fyzické nosiče je možno odnést z pracoviště jen v nezbytně nutných a legitimních případech (např. v rámci kontroly prováděné daňovými a jinými orgány). O pořízení kopií OÚ a jejich předání třetí osobě je třeba provést stručný záznam. Tato povinnost se nevztahuje na pravidelné předávání OÚ v rámci hlášení orgánům finanční správy, zdravotního pojištění a sociálního zabezpečení.

6.6 Osoby, které v rámci své pracovní činnosti zpracovávají OÚ, jsou povinny dodržovat veškerá pravidla bezpečnosti, stanovená správcem, zejména:

  • heslování počítače a bezpečné uložení hesla,

  • důsledné respektování omezení přístupových práv,

  • šifrování, je-li to možné a vhodné,

  • pseudonymizace OÚ, je-li to možné a vhodné,

  • zamykání skříní, v nichž jsou uloženy nosiče OÚ a bezpečné ukládání příslušných klíčů,

  • zamykání místností, v nichž jsou uloženy a zpracovávány OÚ a jejich kódování,

  • jiná bezpečnostní opatření, jež si vyžádá vývoj techniky.

6.7 Pokud je příslušná osoba oprávněna i mimo prostory správce/pracovní dobu používat výpočetní techniku a telefony přidělené správcem, je povinna zajistit, aby tyto přístroje neobsahovaly žádné OÚ, a pokud to není možné, v co největší míře dbát na jejich zabezpečení před odcizením, ztrátou, poškozením, které může vést ke ztrátě OÚ, nebo zničením. Dojde-li však i přes to k jejich odcizení, ztrátě, poškození, které může vést ke ztrátě OÚ, nebo zničení, je tato osoba povinna tuto skutečnost co nejdříve, nejpozději však do 24 hodin oznámit odpovědné osobě uvedené v bodě 1.2, a to včetně vylíčení veškerých okolností daného incidentu.

VII.
Ohlašování případů porušení zabezpečení osobních údajů

7.1 Porušením zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

7.2 Jakékoli porušení zabezpečení OÚ musí být bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy bylo zjištěno, ohlášeno

Nahrávám...
Nahrávám...