Směrnice pro zpracování os.údajů
V souladu se zněním zákona č.110/2019 Sb o zpracování osobních údajů a NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) vydávám tuto Směrnici.
Falcon Cornea Center s.r.o.
Národní obrany 457/4, Bubeneč, 160 00 Praha 6
IČO: 04198832
Datová schránka: 2u55zzm
Email: falconinformace@gmail.com
Telefon: +420 222 931 136
Zastoupená: Nikola Gránská, jednatelka
(dále jen „Správce“)
I. Působnost
1.1 Tato směrnice upravuje postupy Správce, jeho zaměstnanců, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice rovněž upravuje některé povinnosti Správce, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji.
1.2 Tato směrnice je závazná pro všechny zaměstnance Správce. Směrnice je závazná i pro další osoby, které mají se Správcem jiný právní vztah (smlouva o dílo, nájemní smlouva) a které se zavázaly postupovat podle této směrnice.
II. Zásady nakládání s osobními údaji
Při nakládání s osobními údaji se Správce, jeho zaměstnanci a další osoby řídí těmito zásadami:
- Postupovat při nakládání s osobními údaji v souladu s právními předpisy,
- S osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat,
- Zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné,
- Zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (zejména děti požívají vyšší ochrany), při ochraně oprávněných zájmů Správce, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu,
- Respektovat práva člověka, který je subjektem údajů, zejména práva dát a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.,
- Poskytovat při zpracování osobních údajů zvláštní ochranu dětem,
- Poskytovat informace o zpracování osobních údajů, komunikovat,
- Při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím,
- Spolupracovat s pověřencem pro ochranu osobních údajů v případě, že jej Správce má.
III. Postupy Správce, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji
3.1 Správce všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom Správce především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň statutárnímu zástupci Správce známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením Správce nebo jím pověřené osoby.
3.2 Správce zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled alespoň statutární orgán nebo jím pověřená osoba a pověřenec pro ochranu osobních údajů. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou Správce uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o poskytování služeb).
3.3 Správce alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zhodnocení může být provedeno dle zvyklostí Správce, zpravidla se učiní stručný záznam např. v zápisu z porady. Zjistí-li se, že některé postupy Správce jsou zastaralé, zbytečné nebo se neosvědčily, učiní Správce bezodkladně nápravu.
3.4 Každý zaměstnanec Správce při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokážou právo s nimi nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na Správce nebo jím určenou osobu nebo na pověřence pro ochranu osobních údajů.
3.5 Správce při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů v případě, že jej má.
3.6 Správce ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to i v součinnosti s pověřencem pro ochranu osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního zaměstnance. Správce tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu Správce informuje Úřad pro ochranu osobních údajů.
3.7 Vzhledem k tomu, že Správce eviduje v podstatě údaje o zaměstnancích, které stanovují právní předpisy (zejména Zákoník práce a pracovněprávní předpisy), nemá oznamovací povinnost vůči Úřadu pro ochranu osobních údajů.
3.8 Organizační opatření k ochraně osobních údajů u Správce
3.8.1 Veškeré materiály, které obsahují osobní údaje zaměstnanců, jsou trvale uloženy v uzamykatelných skříních Správce.
3.8.2 Elektronická evidence je vedena v zabezpečeném informačním systému. Do tohoto systému mají přístup jednotliví zaměstnanci Správce a další osoby výslovně a písemně pověřené Správcem, a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Při práci s elektronickou evidencí oprávnění nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned (ve spolupráci se správcem sítě) změnit. Přístupy nastavuje pověřený zaměstnanec Správce – správce počítačové sítě, který nastavuje potřebné zabezpečení dat a počítačové sítě (Správce).
3.8.3 Osobní spisy zaměstnanců jsou uloženy v uzamykatelných skříních na místě určeném Správcem, přístup k nim má statutární orgán Správce nebo zaměstnanci pověření Správcem, kteří tyto materiály potřebují k výkonu své práce,
3.8.4 Zaměstnanci mají právo seznámit se s obsahem svého osobního spisu. O tomto právu jsou zaměstnanci poučeni, zpravidla na poradě.
3.8.5 Zaměstnanci Správce neposkytují bez právního důvodu žádnou formou osobní údaje zaměstnanců Správce a zaměstnanců cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání.
3.8.6 Písemná hodnocení a posudky, která se odesílají mimo organizaci, např. pro potřeby soudního řízení, přijímacího řízení, zpracovávají zaměstnanci určení Správcem. Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem Správce a mají povinnost zachovávat mlčenlivost o dané věci.
3.8.7 Seznamy zaměstnanců se nezveřejňují, neposkytují bez vědomého souhlasu zákonných zástupců zaměstnanců jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného Správci nebo nevyplývá-li to ze zákona.
3.8.8 V propagačních materiálech Správce, ve výroční zprávě či ročence Správce, na webu či na nástěnkách u Správce apod. lze s obecným souhlasem zaměstnanců uveřejňovat výhradně textové či obrazové informace o jejich úspěších (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně pracoviště). Při publikování v tisku se autor dotazuje na souhlas zmiňované osoby. Zaměstnanec má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkající se jeho osoby, který zveřejňovat nechce.
3.8.9 Psychologické, lékařské a jiné průzkumy, jejichž součástí by bylo uvedení osobních údajů, lze provádět jen se souhlasem zaměstnance. To se netýká anonymních průzkumů, které však musí souviset činností Správce jako zaměstnavatele a musí s ním předem písemně souhlasit statutární orgán či pověřená osoba.
3.8.10 Pokud jsou pro vedení dokumentace využívány formuláře a software, je nutné provést kontrolu, zda nepožadují či nenabízejí evidenci nadbytečných údajů a tyto údaje nezpracovávat.
3.8.11 U Správce se neprovozují kamerové systémy sledující prostory používané zaměstnanci Správce jinak než v souladu s článkem 6 odstavec 1 písmeno(f)-oprávněný zájem. Správce je povinen zpracovat pro každý takový případ Balanční test.
3.8.12 Uzavírá-li Správce jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, Správce vždy a bezpodmínečně bude trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:
- přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,
- nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu Správce,
- zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,
- zajistit, aby se osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
- zajistit, že dodavatel bude Správci bez zbytečného odkladu nápomocen při plnění povinností Správce, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzultace dle čl. 36 nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje Správce,
- po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí Správci a vymaže existující kopie apod.,
- poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené Správci právními předpisy,
- umožnit kontrolu, audit či inspekci prováděné Správcem nebo příslušným orgánem dle právních předpisů,
- poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví Správce, součinnost potřebnou pro plnění zákonných povinností Správce spojených s ochranou osobních údajů, jejich zpracováním,
- poskytnuté osobní údaje chránit v souladu s právními předpisy,
- přiměřeně postupovat podle této směrnice, která je přílohou smlouvy.
IV. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů.
4.1 Správce nakládá a zpracovává pouze osobní údaje, které
- souvisejí s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků, se sociálním, a zdravotním pojištěním (např. dosažené vzdělání, délka praxe, funkční zařazení apod.),
- souvisejí s jednoznačnou identifikací zaměstnanců v souladu se zákonem (jméno, příjmení, bydliště, kontakt, např. telefonní číslo pro případ nutného kontaktu Správce s jinou osobou v rámci ochrany zdraví, bezpečnosti a práv zaměstnance, další údaje nezbytné např. pro vydání správního rozhodnutí apod.),
- související s identifikací zaměstnance ze zákona (datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, nutný zdravotní údaj ),
- jsou nezbytné pro plnění právní povinnosti, ochranu oprávněných zájmů Správce nebo ve veřejném zájmu,
- k jejichž zpracování získala souhlas subjektu údajů.
4.2 Osobní údaje se uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich zpracování, včetně archivace.
4.3 K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě zákona.
Do jednotlivých dokumentů Správce, které obsahují osobní údaje, mohou nahlížet
- do osobního spisu zaměstnance vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní úřad a zpravodajské služby. Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele (§ 312 zákoníku práce),
- do spisu, vedeném ve správním řízení účastníci správního řízení, vedoucí pracovníci (statutární orgán), osoba, která je zmocněna s úředním spisem pracovat po dobu řízení.
V. Souhlas k zpracováním osobních údajů
5.1 Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (ze zákona vyplývá i oprávněný zájem, plnění právní povinnosti, plnění smlouvy, veřejný zájem) je nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být poučený, informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje (určené např. druhově), na konkrétní dobu a pro konkrétní účel.
5.2 Souhlas se získává pro zpracování osobních údajů jen tehdy, pokud je jejich zpracování nezbytně nutné a právní předpisy jiný důvod pro toto zpracování nestanoví.
VI. Některé povinnosti Správce, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji.
6.1 Každý zaměstnanec Správce je povinen počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných Správcem.
6.2 Dále je každý zaměstnanec Správce povinen
- zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců, zaměstnanců, zákonných zástupců a dalších osob, které Správce zpracovává,
- pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů, zneužití osobních nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost Správci.
6.3 Statutární orgán Správce je povinen
- informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji u Správce, a to bez zbytečného odkladu,
- zajistit, aby zaměstnanci Správce byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
- zajišťovat, aby zaměstnanci Správce byli podle možností a potřeb Správce vzděláváni nebo proškolováni o ochraně osobních údajů
- zajistit, aby Správce byl schopen řádně doložit plnění povinností Správce při ochraně osobních údajů, které vyplývají z právních předpisů.
VII. Pro účely nařízení GDPR se rozumí
1) „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
2) „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
3) „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
4) „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
5) „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
6) „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
7) „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
8) „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
9) „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
10) „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jenž je oprávněna ke zpracování osobních údajů;
11) „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
12) „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
13) „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
14) „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
15) „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
16) „hlavní provozovnou“:
- a) v případě správce s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, ledaže jsou rozhodnutí o účelech a prostředcích zpracování osobních údajů přijímána v jiné provozovně správce v Unii a tato jiná provozovna má pravomoc vymáhat provádění těchto rozhodnutí, přičemž v takovém případě je za hlavní provozovnu považována provozovna, která tato rozhodnutí přijala;
- b) v případě zpracovatele s provozovnami ve více než jednom členském státě místo, kde se nachází jeho ústřední správa v Unii, nebo pokud zpracovatel nemá v Unii žádnou ústřední správu, pak ta provozovna zpracovatele v Unii, kde probíhají hlavní činnosti zpracování v souvislosti s činnostmi provozovny zpracovatele, v rozsahu, v jakém se na zpracovatele vztahují specifické povinnosti podle tohoto nařízení;
17) „zástupcem“ jakákoli fyzická nebo právnická osoba usazená v Unii, která je správcem nebo zpracovatelem určena písemně podle článku 27 k tomu, aby správce nebo zpracovatele zastupovala, pokud jde o příslušné povinnosti správce nebo zpracovatele ve smyslu tohoto nařízení;
18) „podnikem“ jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu, včetně osobních společností nebo sdružení, která běžně vykonávají hospodářskou činnost;
V Praze dne 1.12.2021
Nikola Gránská, jednatelka
Tato směrnice vstupuje v platnost dne: 1.12.2021