Směrnice o ochraně osobních údajů

Účely, způsob a prostředky Zpracování Osobních údajů určuje Pověřená osoba CLIQOR.

Zaměstnanci a Subdodavatelé jsou oprávněni zpracovávat Osobní údaje pouze způsobem a prostředky určenými touto Směrnicí či Pověřenou osobou.

Zaměstnanci a Subdodavatelé musí zpracovávat Osobní údaje jen pro účely, které byly stanoveny CLIQOR či které představují zákonnou povinnost vyplývající z příslušných právních předpisů České republiky či Evropské unie, a to v rozsahu, který je rozumně přiměřený, relevantní a nezbytný pro dosažení účelu Zpracování.

Zaměstnanci a Subdodavatelé při Zpracování kladou zřetel na přesnost, úplnost a aktuálnost Osobních údajů. V případě, že mají Zaměstnanci či Subdodavatelé podezření, že Osobní údaje jsou nepřesné, neúplné či nejsou aktuální, oznámí tuto skutečnost Pověřené osobě.

Dobu, po kterou mohou být Osobní údaje zpracovávány, určuje Pověřená osoba. V případě, že Subdodavatel či Zaměstnanec dojde k podezření, že doba, po kterou mohou být Osobní údaje uloženy, uplynula, bezodkladně tuto skutečnost oznámí Pověřené osobě.

Zaměstnanci a Subdodavatelé musí ve vztahu k Subjektům údajů zpracovávat Osobní údaje korektním, transparentním a zákonným způsobem.

Zaměstnanci a Subdodavatelé mají přístup pouze k těm Osobním údajům, které jsou nezbytně nutné ke kvalitnímu výkonu činnosti, kterou pro CLIQOR vykonávají.

Osobní údaje musí být vždy patřičně organizačně a technicky zabezpečeny před neoprávněným přístupem třetích osob a Zaměstnanci a Subdodavatelé jsou povinni Osobní údaje zabezpečit následujícím způsobem:

přístupovými hesly v jakémkoliv elektronickém zařízení, prostřednictvím něhož komunikují se Subjekty údajů nebo v němž se Osobní údaje Subjektů údajů nacházejí;

zabezpečení (hesla) komunikačních prostředků (email), prostřednictvím kterých jsou Osobní údaje zasílány;

v případě uchovávání dokumentů a listin, které se týkají Osobních údajů Subjektů údajů, v listinné podobě, jsou Zaměstnanci a Subdodavatelé povinni tyto dokumenty a listiny zabezpečit v uzamykatelné místnosti nebo uzamykatelném jiném prostoru (schráně, skříni) a zabezpečit je tak před přístupem a jakýmikoliv zásahy třetích osob.

Pokud se Osobní údaje týkající se Subjektu údajů získávají od Subjektu údajů, poskytne Zaměstnanec a Subdodavatel v okamžiku získání Osobních údajů Subjektu údajů informace o zpracování Osobních údajů dle čl. 13 Nařízení GDPR. Subjektu údajů lze tyto informace poskytnout v listinné či elektronické podobě. Dokument s názvem „Informace o zpracování osobních údajů“ tvoří Přílohu č. 1 této Směrnice.

Zaměstnanec či Subdodavatel, který obdržel v jakékoliv formě (písemně, telefonicky, osobně) jakoukoliv žádost či stížnost fyzické osoby, která se týká nebo by se mohla týkat ochrany Osobních údajů, zejména žádosti ve smyslu čl. 15 - 22 Nařízení GDPR o uplatnění práv z Nařízení GDPR (dále jen „Žádost“), oznámí tuto skutečnost a předá takovou Žádost Pověřené osobě.

Žádost Subjektu údajů musí být učiněna či zaznamenána v písemné formě, která umožňuje dostatečnou identifikaci Subjektu údajů, a to zejména prostřednictvím příslušného formuláře, který tvoří Přílohu č. 2 této Směrnice a který je dostupný v elektronické podobě na vyžádání u Pověřené osoby či v listinné podobě v sídle CLIQOR. Požádá-li Subjekt údajů o vzor Žádosti, Zaměstnanec či Subdodavatel je povinen mu tento vzor Žádosti bez zbytečného odkladu poskytnout.

Před vyřízením Žádosti Subjektu údajů si Pověřená osoba ověří identitu žadatele, když ověřování identity Subjektu údajů bude prováděno vždy přiměřeným způsobem, který zaručí dostatečnou identifikaci Subjektu údajů s ohledem na formu podání, využitý komunikační prostředek a obsah žádosti Subjektu údajů.

Pověřená osoba vyřizuje Žádosti Subjektů údajů vždy tak, aby Žádosti Subjektu údajů bylo vyhověno bez zbytečného odkladu a aby mu byly k vyřízení jeho Žádosti poskytnuty veškeré informace a v případě, že Žádosti nebylo vyhověno, aby mu byly sděleny důvody tohoto rozhodnutí. Vyřízení Žádosti je Pověřená osoba učinit bez zbytečného odkladu, nejpozději však do 1 měsíce od obdržení Žádosti.

Žádost či stížnost Subjektu údajů, včetně způsobu vyřízení, bude očíslována a uložena v archivu CLIQOR.

Informace podle tohoto článku poskytuje CLIQOR prostřednictvím Pověřené osoby Subjektu údajů ve stejné formě, v jaké Subjekt údajů o informace požádal, neuvedl-li Subjekt údajů ve své Žádosti výslovně jinak.

Bezpečnostním incidentem se rozumí nejen přímý útok na Osobní údaje, ale i na první pohled méně závažné porušení či ohrožení zabezpečení Osobních údajů (např. smazání části Osobních údajů, ztráta mobilního telefonu apod.).

V případě, že Zaměstnanec či Subdodavatel zjistí, že došlo k porušení či že hrozí ohrožení zabezpečení Osobních údajů, bezodkladně o tom informuje Pověřenou osobu.

Jakékoli porušení zabezpečení Osobních údajů dle ustanovení čl. 4 odst. 12 Nařízení GDPR CLIQOR bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, ohlásí Dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení Dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

Ohlášení Dozorovému úřadu se děje prostřednictvím aplikace datové schránky.

Ohlášení Dozorovému úřadu podle tohoto článku musí přinejmenším obsahovat:

popis povahy daného případu porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených Subjektů údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;

jméno a kontaktní údaje zástupce CLIQOR, které může poskytnout bližší informace;

popis pravděpodobných důsledků porušení zabezpečení Osobních údajů;

popis opatření, která CLIQOR přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

Pokud je pravděpodobné, že určitý případ porušení zabezpečení Osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí CLIQOR toto porušení bez zbytečného odkladu Subjektu údajů.

Záznamy o bezpečnostních incidentech, které obsahují zejména popis bezpečnostního incidentu a jeho řešení, budou vzestupně očíslovány a budou uloženy do příslušného spisu „GDPR – Bezpečnostní incidenty“ v archivu CLIQOR.

Pokud je pravděpodobné, že určitý druh Zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům Zpracování bude mít za následek vysoké riziko pro práva a svobody Subjektů údajů, provede CLIQOR před Zpracováním posouzení vlivu zamýšlených operací Zpracování na ochranu Osobních údajů, a to dle čl. 35 a násl. Nařízení GDPR. Pro soubor podobných operací Zpracování, které představují podobné riziko, může stačit jedno posouzení.

Posouzení vlivu se zpracuje vždy pro:

systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;

rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 10 Nařízení GDPR; nebo

rozsáhlé systematické monitorování veřejně přístupných prostorů.

Posouzení obsahuje alespoň:

systematický popis zamýšlených operací Zpracování a účely Zpracování, případně včetně oprávněných zájmů CLIQOR;

posouzení nezbytnosti a přiměřenosti operací Zpracování z hlediska účelů;

posouzení rizik pro práva a svobody Subjektů údajů; a

plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany Osobních údajů a k doložení souladu.

Pokud ze zprávy o posouzení vlivů vyplývá, že by předmětné Zpracování Osobních údajů mělo za následek vysoké riziko pro práva a svobody Subjektů údajů v případě, že by Správce nepřijal opatření ke zmírnění tohoto rizika, konzultuje CLIQOR zprávu o posouzení vlivů s Dozorovým úřadem. Podrobnosti určí Pověřená osoba.

Příslušné zprávy o posouzení vlivu budou vzestupně očíslovány a uloženy v archivu CLIQOR.

Pověřená osoba bude tuto Směrnici pravidelně aktualizovat, a to především s ohledem na nové právní předpisy či stanoviska příslušných orgánů České republiky či Evropské unie. O jakékoliv aktualizaci této Směrnice Pověřená osoba informuje Zaměstnance a Subdodavatele, a to zasláním tohoto sdělení na jejich emailové adresy, přičemž přílohou takové emailové zprávy bude aktualizovaná verze této Směrnice.

CLIQOR zajistí pravidelné proškolování Subdodavatelů na téma ochrany Osobních údajů a nakládání s nimi, zejména v případech významných změn této Směrnice.

Oznámení dle této Směrnice se provádí primárně v listinné či elektronické podobě, nestanoví-li tato Směrnice výslovně jinak. Je-li to možné, oznámení se vedle listinné či elektronické podoby provede i ústně.

CLIQOR prostřednictvím Pověřené osoby pravidelně, minimálně však 1x za 6 měsíců, kontroluje plnění závazků na ochranu Osobních údajů dle Nařízení GDPR ze strany Zaměstnanců a Subdodavatelů jakožto zpracovatelů Osobních údajů, kteří pro CLIQOR provádí Zpracování Osobních údajů.

v případě, že subjekt údajů poskytne cliqor souhlas se zpracováním osobních údajů, které cliqor nezpracovává na základě jiného právního důvodu dle nařízení gdpr (např. na základě smlouvy), učiní tak na základě vzorového souhlasu se zpracováním osobních údajů, který tvoří přílohu č. 3 této směrnice (dále též jako „souhlas“). poskytnutý souhlas předá subdodavatel pověřené osobě, která souhlas zanese do příslušné evidence.

Přílohy této Směrnice:

Příloha č. 1 – Informace o zpracování osobních údajů

Příloha č. 2 – Vzor Žádosti Subjektů údajů

Příloha č. 3 – Vzor Souhlasu se zpracováním osobních údajů

Příloha č. 4 – Potvrzení o seznámení se s touto Směrnicí

Dohled nad dodržováním této Směrnice vykonává Pověřená osoba.