Směrnice o ochraně osobních údajů

Směrnice č. 1/2018
Společnost JN Interier Česká republika, s.r.o. vydává tímto:

Směrnici k ochraně osobních údajů a nakládání s citlivými údaji

Základní právní normou upravující ochranu osobních údajů v naší organizaci je Zák. č. 101/2000 Sb. o ochraně osobních údajů se všemi pozdějšími dodatky a úpravami. Dalšími právními normami upravujícími ve své příslušné části tuto oblast příp. vztahujícími se k ní je Zákoník práce a nařízení EU General Data Protection Regulation.

1) Účel úpravy

Účelem vydání této směrnice je aplikace Zák. o ochraně osobních údajů v naší společnosti , tak, aby bylo dosaženo požadované ochrany údajů při jejich zpracování u:

• - fyzických osob – zaměstnanců, osob ucházejících se o zaměstnání (i žáků - brigádníků)
• - fyzických osob- spolupracujících jako OSVČ, či jiných spolupracujících na základě smluv
• - fyzických osob- klientů získaných na základě nabídek či uzavřených smluv o dílo produktů
• - fyzických a právnických osob – současných či budoucích obchodních partnerů
• - dalších osob, za něž organizace při své činnosti získává jejich osobní údaje (např. účastníci výherních soutěží pořádaných společností).

Společnost tyto údaje zpracovává a proto je dle zákona správcem osobních údajů. Směrnice stanovuje práva a povinnosti zaměstnanců a ost. fyzických osob při veškerém zpracování (shromažďování, evidenci) osobních údajů a to jak při ručním, tak automatizovaném zpracování. Ke zpracování osobních údajů jí se týkajících je nutný souhlas jednotlivých fyzických osob výše uvedených. Tento souhlas není nutný, pokud jsou údaje zpracovávány na základě zvláštního zákona, nebo jsou nezbytně nutné pro vstoupení fyzické osoby do jednání o smluvním vztahu či plnění uzavřené smlouvy se správcem a dále rovněž v situaci jedná-li se o oprávněně zveřejňované údaje v souladu se zvláštním zákonem. Osobní údaje, které jsou výhradně nutné pro účely zprostředkování zaměstnání, jsou uvedeny v §23 a§5 a)1. Zák. o zaměstnanosti. Os. údaje se vyskytují v organizaci buď ve formě originálních písemností (či jejich kopií), v elektronické podobě ve formě počítačové databáze a na archivních médiích (CD, FD. ..).

2) Definice používaných pojmů

• - správce os. údajů – tím, je dle zákona subjekt určující účel a prostředky zpracování osobních údajů, zpracování provádí a odpovídá za něj
• - osobní údaj – jím je jakákoliv informace naplňující podmínku vztahu k fyzické osobě – subjektu údajů, jakýkoli údaj týkající se této osoby. Na základě tohoto údaje je subjekt přímo či nepřímo identifikován, určen (např. jméno, příjmení, číslo OP, adresa, telefon, mailová adresa). Osobní údaje jsou zpracovávány v podobě „evidence“ či „datového souboru“
• - zpracovatel os. údajů – na základě zmocnění či pověření správcem za něj provádí zpracování osobních údajů (případně na základě zvláštního zákona)
• - zpracování osobních údajů – jím je jakákoli operace správce či zpracovatele s osobními údaji, zejména shromažďování (získání za účelem jejich uložení pro další zpracování), ukládání na nosiče dat, uchovávání, úprava, vyhledávání, zveřejňování, likvidace
• - subjekt údajů – jím je osoba, ke které se osobní údaje vztahují. V případě, kdy je vyžadován souhlas subjektu údajů, jde vždy o jednostranný právní úkon tohoto subjektu, jehož obsahem je svolení se zpracováním svých osobních údajů
• - uchovávání, likvidace os. údajů – uchováváním údajů se rozumí jejich udržování v podobě umožňující další zpracování. Likvidace pak představuje jejich fyzické zničení (např. skartovačkou) či vymazání datových nosičů aj.
• - anonymní údaj – je takovým údajem, který prošel procesem anonymizace a u něhož nelze zjistit subjekt údajů. V podmínkách organizace jde zejména o uveřejňování neadresných údajů o sumě pohledávek po splatnosti, věková struktura klientů uváděná ve statistických výstupech bez uvedení jednotlivých jmen a podobné souhrnné statistické údaje, které neidentifikují konkrétní osobu aj.

3) Citlivé údaje

Citlivým údajem jsou údaje vypovídající o národnostním, rasovém, etnickém původu, politických postojích, členství v odborech, náboženství, filos. přesvědčení, odsouzení za trestný čin, údaje o zdravotním stavu, sex. životě, biometrické a genetické údaje. Citlivé údaje, kdy je vyžadován písemný souhlas zaměstnance, spolupracující osoby a  klienta a jsou zpracovávány v organizaci v těchto případech:

a) Údaje o trestní bezúhonnosti (vyžadovány u pokladní, dalších zaměstnanců a spolupracujících osob s hmotnou zodpovědností)

b) Podrobné údaje o zdravotním stavu, zdravotní testy, vše nad rámec běžné vstupní zdravotní prohlídky u klientů pojištěných ve všech případech pojištění osob.

Se sdělením citlivých údajů dávají zaměstnanci správci svůj písemný souhlas v uzavřené pracovní smlouvě.

Se sdělením citlivých údajů dávají klienti svůj písemný souhlas v prováděné finanční analýze za účelem nabídky a sjednání pojistné či jiné smlouvy.

4) Informační povinnost

Zejména v § 11 zákona je organizaci dána povinnost informovat subjekt údajů (zaměstnance, obch. partnera-fyz. osobu) o tom, že jsou údaje o něm správcem shromažďovány, zpracovávány, v jakém rozsahu a pro jaký účel, kdo bude údaje zpracovávat a komu mohou být zpřístupněny.

Dále je subjekt informován o svém právu přístupu ke svým os. údajům a možnosti jejich opravy, příp. podání vysvětlení ze strany správce. V zákonem stanovených případech je subjekt údajů o výše uvedených skutečnostech informován při prvním kontaktu, při němž správce a subjekt údajů vstupují do právního vztahu (při nástupu zaměstnance do zaměstnání a při navázání vztahů s fyzickými osobami za účelem nabídky či uzavření pojistné či jiné smlouvy dle činnosti správce).

5) Oznamovací povinnost

Režim Zák. o ochraně osobních údajů se na organizaci vztahuje z toho titulu, že je zpracovatelem osobních údajů (správcem) za své zaměstnance a dále v dalších případech dle b. 1). Povinnost registrovat se na Úřadu pro ochranu os. údajů, ale z tohoto titulu nemá, neboť zpracování os. údajů provádí pouze ze své povinnosti vyplývající ze zvláštních zákonů. Pokud tedy organizace provádí zpracování osobních údajů na základě zvláštních zákonů (zejména Zák. práce, zák. o soc. zabezpečení, zák. o zdr. pojištění, zák. o zaměstnanosti, zák. o služebním poměru...) a pro plnění povinností stanovených těmito zvláštními zákony, pak oznamovací povinnost nevzniká. Pokud jsou nad rámec splnění výše uvedeného účelu shromažďovány některé nadbytečné údaje, jde o porušení zákona. Oznamovací povinnost (povinnost registrovat se) má organizace v případě, že zpracovává osobní údaje nad rámec daný těmito zákony. Smyslem oznamovací povinnosti je zajistit výkon dozoru ze strany ÚOOÚ.

6) Oblasti nakládání s osobními údaji v organizaci, způsob jejich zpracování

K zpracování os. údajů dochází v organizaci našimi vlastními zaměstnanci v těchto útvarech, odborech: prodejci, obchodní oddělení,oddělení reklamací, účetní, personální a právní útvar, fakturace, technologické oddělení. eK zpracování os.údajů dochází v organizaci dále spolupracujícími osobami na základě uzavřených smluv. Organizace zpracovává pouze přesné a pravdivé osobní údaje, které za tím účelem průběžně (v případě změn) ověřuje. Právo (a zároveň povinnost) přijít do styku a nakládat s osobními údaji je zde uvedeným zaměstnancům vybraných útvarů, stanoveno v prac. náplni, v rámci jejich pracovních úkolů určených vedoucím útvaru, případně přímo ředitelem. Osobní údaje jsou předávány pouze tam, kde je to nezbytné pro plnění pracovních povinností (tzn. např. vůči nadřízenému, oprávněným externím uživatelům – FÚ, VZP, OSSZ) či povinností předávání údajů příslušným subjektům pro něž a jejím jménem je příslušná smlouva zpracovávána.

a) Osobní údaje zaměstnanců

Účelem shromažďování a zpracování osobních údajů zaměstnanců tedy je plnění zákonných povinností organizace plynoucích z pracovněprávních, daňových, bezpečnostních, hygienických předpisů a dále povinností plynoucích ze vztahů vůči OSSZ a zdr. pojišťovnám, z předpisů o zaměstnanosti. Zpracování os. údajů se dále provádí z hlediska interních potřeb organizace, jimiž je zejména výběr, zvyšování kvalifikace zaměstnanců, přeřazování na jiné funkce.

Údaje jsou získávány přímo od dotčených zaměstnanců, a to písemně (obč. průkazy – kontrola a opis dat, potvrzení o zaměstnání od předchozího zaměstnavatele, prac. posudky, dotazníky, žádosti, životopisy, žádosti o přijetí, zdravotní prohlídky, doklady o dosaženém vzdělání a praxi, písemná potvrzení o absolvování spec. školení, osvědčení o odborné způsobilosti), nebo ústně (nahlašování změn, doplnění údajů při rozšíření požadavků plynoucích ze zvláštních zákonů). Ústní údaje jsou pověřeným zaměstnancem podchyceny a převedeny do písemné podoby. Na webových stránkách zaměstnavatele jsou se souhlasem zaměstnanců uvedeny informace o prodejcích (fotografie, tel. čísla) Veškeré osobní údaje zaměstnanců v papírové podobě jsou shromažďovány v osobním spisu zaměstnanců v personálním útvaru (uložené v uzamčené skříni). Údaje v elektronické podobě se nacházejí na počítači u mzdové účetní a v personálním útvaru. Zálohy dat jsou prováděny a jsou archivovány v kanceláři v uzavřené skříni (po uplynutí 12 měsíců jsou nosiče správcem sítě fyzicky zničeny). Fyzicky jsou elektronická data umístěna na samostatném serveru (v samostatném adresáři), přístup k nim je možný pouze pro oprávněné osoby za pomoci přístupového hesla. Oprávněnou osobou za údaje zaměstnanců je účetní, fakturantka, jednatel a personální útvar.

b) Osobní údaje fyzických osob v rámci smluvních vztahů

Účelem shromažďování údajů v této oblasti jsou uzavřené smlouvy o výkonu činnosti. Údaje jsou získávány formou písemných smluv. Samotnými doklady obsahujícími os. údaje pak jsou živnostenské listy, nabídky, návrhy smluv, obchodní smlouvy, výpisy z rejstříku a dalších evidencí.

Obdobně jako u zaměstnanců jsou os. údaje chráněny v oblasti vztahů s klienty, kdy k údajům v elektronické podobě je přístup prostřednictvím hesla oprávněné osoby, údaje v papírové podobě (smlouvy s obch. partnery – fyzickými osobami) jsou v uzavřených skříních s omezeným přístupem.

Veškeré elektronické údaje jsou před napadením zvenčí chráněny firewallem, antivirovou ochranou a jsou vytvářeny bezpečnostní kopie.

Ke styku s osobními údaji dochází rovněž v recepci při rozdělování došlé pošty, u zaměstnanců v jednotlivých odborech organizace, které nakládají s osobními údaji a rovněž při nakládání s os. údaji v elektronické podobě správcem poč. sítě. Všechny tyto osoby jsou rovněž vázány mlčenlivostí a jsou povinny při plnění svých povinností zabránit jakémukoli úniku os. údajů, s kterými přicházejí do styku.

7) Povinnosti dotčených zaměstnanců a dalších osob

Touto směrnicí jsou povinni se řídit v rámci svých pracovních povinností všichni zaměstnanci organizace a rovněž tak další osoby, které jsou k organizaci v obdobném právním vztahu (zaměstnanci na dohodu, vedoucí zaměstnanci podnikatelských subjektů na mandátní smlouvy a pod.)

V případě, že je nakládání s osobními údaji přeneseno na základě písemné smlouvy ke zpracovateli mimo organizaci (např. zpracování mezd, účetnictví, postoupení smlouvy subjektu jejímž jménem a na jejíž účet je smlouva vyhotovena), je tato organizace - zpracovatel rovněž povinna se řídit uvedeným zákonem a touto směrnicí. Ve smlouvě je definován rozsah, účel, doba platnosti smlouvy, zodpovědné osoby, technické a organizační zabezpečení ochrany os. údajů a to jak při vzájemném předávání těchto údajů, tak při jejich zpracování u dodavatele této služby – zpracovatele.

8) Ochrana osobních údajů a její ukončení

Dle výše uvedených ustanovení je ochrana os. údajů zabezpečena: u os. údajů ve fyzické podobě formou jejich uzamčení oprávněnou osobou (uzamykání kanceláří a skříní obsahujících data) a obdobně u archivovaných nosičů dat, u údajů v elektronické podobě formou přístupových hesel k jednotlivým datovým skladům. U údajů předávaných ústně formou jasně vymezených kompetencí a prac. povinností určených v prac. Náplni.

Organizace - zaměstnavatel je povinna provést likvidaci os. údajů, jakmile pomine účel, pro který byly os. údaje shromažďovány, anebo pokud o tuto likvidaci požádá zaměstnanec. Výjimkou jsou ale údaje, které organizace zpracovává na základě zvláštního zákona. Zde jsou údaje archivovány v souladu se Směrnicí k archivaci, a to odděleně od ostatních archivovaných písemností a pod samostatným uzavřením. Za likvidaci archivovaných údajů v oblasti personální zodpovídá personálního útvar, za likvidaci v oblasti mzdové zodpovídá účetní. Klient či jiná spolupracující osoba – možnost kdykoliv písemně souhlas se zpracováním odvolat.

9) Součinnost s kontrolními orgány

Pro ochranu svých zákonných práv se zaměstnanci mohou obracet přímo na ÚOOÚ s žádostí o zajištění nápravy, pokud organizace sdělila neoprávněně jinému jeho osobní údaje.

10) Předání os. údajů do jiných států

V těchto výjimečných případech je předávání prováděno dle § 27 zákona (např. v případě zaměstnávání cizích státních příslušníků při ukončení jejich prac. poměru). Dne 20.5.2018

Jaroslav Nevrkla
jednatel společnosti