GDPR ochrana osobních údajů

www.proenzym.cz, www.proenzymy.cz 

 
Obsah
I. Základní ustanovení .............................................................................................................. 3
1. Vymezení obsahu směrnice ................................................................................................... 3
2. Rozsah platnosti ..................................................................................................................... 3
II. Používané pojmy ................................................................................................................... 3
3. Definice pojmů ....................................................................................................................... 3
4. Základní zásady zpracování osobních údajů .......................................................................... 4
5. Právní důvody pro zpracování osobních údajů ...................................................................... 5
6. Práva a povinnosti všech stran .............................................................................................. 5
III. Pravidla a postupy zpracování osobních údajů ................................................................... 6
7. Zpracování osobních údajů .................................................................................................... 6
7.1 Bezpečné zpracování osobních údajů .......................................................................... 6
7.2 Rizika zpracování osobních údajů ................................................................................ 7
7.3 Analýza a posouzení kategorií subjektů údajů a kategorií osobních údajů (audit) ..... 7
7.4 Záznamy o činnostech zpracování................................................................................ 7
7.4.1 V roli Správce ...................................................................................................... 8
7.4.2 V roli Zpracovatele .............................................................................................. 8
7.5 Umístění osobních údajů .............................................................................................. 8
7.6 Rozsah osobních údajů a doba zpracování .................................................................. 8
7.7 Zajištění bezpečného zpracování osobních údajů ....................................................... 9
7.7.1 Fyzická bezpečnost ............................................................................................. 9
7.7.2 Administrativní bezpečnost ................................................................................ 9
7.7.3 IT bezpečnost ...................................................................................................... 9
7.8 Popis jednotlivých postupů při zpracování osobních údajů ....................................... 11
8. Změnové řízení a jiná ustanovení ........................................................................................ 12

I. Základní ustanovení
1. Vymezení obsahu směrnice
Tato směrnice popisuje implementaci předpisu s názvem Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále obecné nařízení o ochraně osobních údajů, GDPR z anglického názvu General Data Protection Regulation).
Obecné nařízení představuje aktualizovaný univerzální právní rámec ochrany osobních údajů v evropském prostoru stanovující pravidla pro zpracování osobních údajů, včetně práv subjektu údajů (fyzické osoby). V českém právním prostředí obecné nařízení nahrazuje počínaje datem 26. května 2018 původní zákon č. 101/2000 Sb., o ochraně osobních údajů, který určoval povinnosti a práva při zpracování osobních údajů.
Tato směrnice stanovuje obecné postupy a pravidla pro zpracování osobních údajů a jejich ochranu v rámci běžné činnosti (podnikatelského) subjektu.


2. Rozsah platnosti
Tato směrnice platí pro všechny pracovníky společnosti. Pracovníci zúčastněni v procesu všech dotčených činností jsou povinni dodržovat daná pravidla a zabezpečit veškeré aspekty týkající se ochrany a zpracování osobních údajů podle zásad daných touto směrnicí.
Obecné nařízení nemění převratně základní zásady zpracování osobních údajů oproti původní zákonné úpravě, avšak pro některé druhy zpracování, resp. subjekty, klade vyšší nároky při zpracování osobních údajů.
Pro menší a malé podnikatelské subjekty a společnosti (dále správce nebo i zpracovatel), které zpracovávají osobní údaje svých zákazníků pouze pro účely poskytnutí služby či výrobku, je nutné zajistit zejména dodržování základních zásad zpracování.


II. Používané pojmy


3. Definice pojmů
Obecné nařízení pracuje hlavně s následujícími základními pojmy.
Osobní údaj je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Do zvláštní kategorie patří takové citlivé osobní údaje, které by mohly být zneužívány k diskriminaci lidí, např. údaje o zdravotním stavu.
Subjekt údajů je (vždy) fyzická osoba, jíž se osobní údaje týkají. Právnická osoba není nositelem osobních údajů.
Zpracování je jakákoli operace nebo soubor operací, která je prováděna s osobními údaji nebo soubory osobních údajů pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Zpracováním není jakékoli nakládání s osobními údaji, ale až sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a činí tak systematicky.
Správce je subjekt, který určuje účely a prostředky zpracování osobních údajů a za zpracování primárně odpovídá. Správce osobní údaje zpracovává pro účely vyplývající z jeho činnosti (např. zákonem stanovené povinnosti, ze smluv), ale může je zpracovávat i pro vlastní určené účely.
V případě právnické osoby je správcem daná právnická osoba (nikoli spojená fyzická osoba).
Zpracovatel je subjekt, kterého si správce najímá, aby pro něj prováděl s osobními údaji zpracovatelské operace. V rámci činnosti může provádět pro správce jen takové zpracovatelské operace, kterými jej správce pověřil, nebo vyplývají z činnosti, pro kterou byl správcem pověřen. Zpracovatelem je ale pouze ve vztahu k osobním údajům poskytnutým správcem, nikoli osobních údajů zpracovávaných pro účely, které se jej dotýkají (pro ty je správcem).
Profilování je forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě. Není k němu vyžadován souhlas subjektu údajů, je však důležité, aby se dělo v předvídaných případech a na základě stanovených pravidel.
V případě použití jiných pojmů vyplývajících z obecného nařízení jsou tyto vysvětleny přímo v těle směrnice.

4. Základní zásady zpracování osobních údajů
Správce je odpovědný za dodržování základních zásad zpracování a zároveň má povinnost být schopen dodržování těchto zásad (povinností) doložit. K prokázání souladu se zásadami slouží záznamy o činnostech zpracování (nebo taky kodexy a osvědčení (certifikace)). Správce při své činnosti týkající se zpracování osobních údajů dbá na důsledné dodržování následujících principů. Princip legitimity – Zpracování údajů (nařízeno zákonem, prováděno z vůle správce, po dohodě či se souhlasem dotčených osob), musí být legitimní a nesmí být v rozporu s právními předpisy. Princip důvodnosti – Zpracování údajů je vždy založeno na některém ze základních důvodů (právních titulů pro zpracování), jejichž výčet je uveden v obecném nařízení. Princip transparentnosti – Zpracování musí být prováděno férově, korektně a transparentně. Informace o zpracování poskytované subjektu údajů musí být zřetelné, jednoznačné a srozumitelné, v rozsahu odpovídajícímu konkrétní situaci. Princip omezení účelu – Správce jasně vymezí (stanoví a je schopen vysvětlit) sledovaný záměr při shromažďování, zpracování a uchovávání osobních údajů, tj. účel zpracování údajů. Ten je legitimní a osobní údaje nesmějí být zpracovávány způsobem neslučitelným s těmito účely. Princip ochrany soukromí – Zpracování nesmí nadměrně zasahovat do soukromí. Správce může použít různé přiměřené prostředky zpracování, je však povinen vždy zvážit rizika i dopady do soukromí jednotlivců. (např. uvážit důvodnost a oprávněnost sdílení či zveřejnění negativních či jinak citlivých údajů).
Princip přesnosti údajů - Správce dbá na to, aby získávané údaje byly přesné, a jejich přesnost ověřuje. Možnost ověřit přesnost údajů z občanského průkazu dotyčné osoby není vyloučena, kopírování občanského průkazu i pasu je však nepřípustné (zákonem stanovené výjimky). Princip minimalizace – Všechny způsoby a formy, rozsah zpracování a doba uchovávání údajů jsou vždy přiměřené a relevantní ve vztahu k účelu zpracování. Princip dočasnosti – Osobní údaje jsou uloženy ve formě umožňující identifikaci subjektu údajů jen po nezbytnou dobu pro dané účely. Po naplnění účelu zpracování je dána povinnost osobní údaje zlikvidovat (pokud to není v rozporu s jinými zákonnými požadavky nebo např. skartačními lhůtami). Princip zabezpečení - Správce (i zpracovatel) patřičně zabezpečuje a ochraňuje osobní údaje organizačními a technickými opatřeními v míře odpovídající rizikovosti zpracování. Tím je zajištěna integrita, dostupnost a důvěrnost osobních údajů. Princip unifikované ochrany - Protože obecné nařízení je platné v rámci EU, předávat osobní údaje mimo Evropskou unii lze jen za splnění dodatečných pravidel nebo za určitých okolností, jako je např. plnění smlouvy se subjektem údajů.

5. Právní důvody pro zpracování osobních údajů
Obecné nařízení rozlišuje několik právních důvodů pro zpracování osobních údajů.
 Subjekt údajů udělil souhlas pro jeden či více konkrétních účelů.
Provádět zpracování osobních údajů na základě souhlasu subjektu údajů lze jen pro účely, které nelze podřadit pod další právní důvody. Nadužívání souhlasu je nepřípustné.
 Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů.
Tento právní důvod umožňuje zpracovávat osobní údaje fyzické osoby na základě zprostředkování výrobku či služby podloženého smlouvou mezi správcem a fyzickou osobou.
 Zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje.
Splnění zákonem stanovené povinnosti je relevantním důvodem pro získání a zpracování osobních údajů subjektu údajů, ale pouze v zákonem stanoveném rozsahu.
 Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby – tento důvod obvykle není pro Správce relevantní.
 Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce – tento důvod obvykle není pro Správce relevantní.
 Zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany. Tento právní důvod lze aplikovat kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů. Ale i v takových musí být možné vyjádření nesouhlasu (tzv. opt-out, principy transparentnosti, omezení účelu, ochrany soukromí, minimalizace a dočasnosti). Použití právního důvodu oprávněných zájmů je možné v případě výslovně aktivního souhlasu subjektu údajů (tzv. opt-in), základní podmínkou je však existence obchodního vztahu se subjektem údajů. Nabízet lze ale i tak pouze takové výrobky či služby, které jsou svojí povahou podobné již poskytnutým či poskytovaným.

6. Práva a povinnosti všech stran
Obecné nařízení přiznává subjektům údajů práva. Jejich účelem je vybalancovat vztah mezi správcem a subjektem údajů.
Souhlas subjektu údajů je vždy aktivní a dobrovolný projev vůle, jednoznačný, nepodmíněný, konkrétní, informovaný, odvolatelný, oddělený (odlišitelný) a bez univerzální platnosti.
Subjekt údajů je vždy informován o rozsahu, účelu a způsobu zpracování osobních údajů. Správce mu musí na požádání kdykoli poskytnout bezplatně (v případě opakovaného uplatnění práva za přiměřený poplatek) kopie uchovávaných osobních údajů (pokud se to nedotkne práv jiných osob), a to bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení. Pokud jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce. Zneužitím nelze a priori rozumět výkon práv subjektu údajů.
Subjektu údajů náleží i právo na opravu nebo doplnění nepřesných údajů, právo na výmaz údajů (pouze pokud není jiný důvod pro jejich další uchovávání), právo vznést námitku (týká se zpracování osobních údajů na základě právních důvodů pro plnění úkolu prováděného ve veřejném zájmu nebo pro účely oprávněných zájmů), právo na omezení zpracování (např. profilování).
Obecné nařízení stanovuje pro správce a zpracovatele povinnosti a ti se jimi musí řídit. Správce odpovídá za dodržování zásad zpracování, což musí být schopen doložit. Správce může ke zpracování osobních údajů přibrat jiný subjekt, který pro něj bude osobní údaje zpracovávat.
Správce využije pouze takového zpracovatele, který s ohledem na povahu, kontext, kategorii osobních údajů a jejich možnosti, poskytuje dostatečné záruky vhodných technických a organizačních opatření, tak aby zpracování osobních údajů prostřednictvím zpracovatele splňovalo požadavky obecného nařízení a byla zajištěna ochrana práv subjektů údajů. Za tím účelem musí být mezi správcem a zpracovatelem uzavřena písemná smlouva, v níž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Smlouva musí zaručovat takové okolnosti zpracování, že zpracovatel:
a) zpracovává osobní údaje pouze na základě doložených pokynů správce
b) zajišťuje, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
c) přijme vhodná technická a organizační opatření k zajištění důvěrnosti a integrity údajů
d) dodrží stejné podmínky pro případné zapojení dalšího zpracovatele
e) zohledňuje povahu zpracování a/nebo poskytne správci součinnost při plnění jeho povinnosti
f) postupuje v souladu s rozhodnutím správce ohledně výmazu nebo vrácení osobních údajů po ukončení poskytování služeb spojených se zpracováním (včetně kopií)
g) poskytne správci veškeré informace potřebné k doložení splnění povinností, umožní audity, včetně inspekcí, prováděné správcem nebo jiným pověřeným auditorem.
K zapojení dalšího zpracovatele musí mít zpracovatel písemné svolení správce, musí však zajistit dodržení všech pravidel podle smlouvy mezi správcem a zpracovatelem.
Správce nese plnou odpovědnost za soulad zpracování se zásadami zpracování a schopnost tento soulad prokázat. Ke splnění odpovědnosti správce vyhotovuje záznamy o činnostech zpracování. Dalšími možnostmi k prokázání souladu jsou využití pověřence pro ochranu osobních údajů (zejména pro specifické operace zpracování) nebo aplikace kodexů (např. sektorový kodex chování) či získání osvědčení (od akreditované certifikační autority).
Pověřence pro ochranu osobních údajů musí jmenovat správce a zpracovatel pokud zpracování provádí orgán veřejné moci (či veřejný subjekt s výjimkou soudů), nebo hlavní činnosti spočívají v operacích zpracování, které kvůli své povaze, rozsahu nebo účelům vyžadují rozsáhlé pravidelné a systematické monitorování subjektů údajů, nebo hlavní činnosti spočívají v rozsáhlém zpracování zvláštních kategorií osobních údajů (a týkajících se trestních věcí). Úkolem pověřence je zejména poskytování informací a poradenství správci či zpracovateli, nebo monitorování souladu zpracování s obecným nařízením a dalšími předpisy.
Pokud dojde k porušení zabezpečení osobních údajů (náhodné či protiprávní zničení, ztráta, změna, neoprávněné poskytnutí nebo zpřístupnění zpracovávaných osobních údajů), správce je povinen bez zbytečného odkladu (do 72 hodin) ohlásit to dozorovému úřadu (ÚOOÚ). Ohlášení poléhají jen incidenty rizikové z hlediska práv a svobod fyzických osob. V takovém případě zároveň informuje o porušení i dotčené subjekty údajů. Riziko lze eliminovat používáním pseudonymizace nebo šifrování (a zprostit tak správce nutnosti případ ohlásit dozorovému úřadu), vždy je však nutné míru rizika posoudit.
Případné porušení zabezpečení u zpracovatele hlásí zpracovatel správci, pro kterého dotčené osobní údaje zpracovává. Zpracovatel je zavázán přijmout taková opatření, která umožní nahlásit Správci případné porušení zabezpečení osobních údajů nejpozději do 24 hodin od zjištění porušení.


III. Pravidla a postupy zpracování osobních údajů

7. Zpracování osobních údajů
7.1 Bezpečné zpracování osobních údajů
Bezpečné zpracování osobních údajů je takové zpracování, při kterém je zaručena důvěrnost
osobních údajů, jejich integrita (neměnnost, stálost) a přiměřená dostupnost zajištěná vhodným zálohováním, archivací a určením přístupových pravomocí.
Důvěrnost a integrita zpracování
Správce je povinen pomocí vhodných technických a organizačních opatření zajistit, aby se všemi získanými osobními údaji bylo nakládáno takovým způsobem, který zajistí náležité zabezpečení a ochranu před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením, a to jak z vnějšího prostředí, tak samotným Správcem či jeho zaměstnancem.
Při zpracování osobních údajů je nejvhodnější použít způsob, který znemožní jakékoli postoupení dat k dalším neoprávněným osobám. Takovým způsobem je např. zajištění sdílení osobních údajů prostřednictvím výpočetní techniky s právem pouze k prohlížení a pouze pro oprávněné osoby, přičemž je žádoucí vyhnout se operacím jako je tisk, přeposílání, jakékoli vynášení (z databází), nahrávání (např. na jiná média) a další podobné aktivity vytvářející podmínky pro eventuální možný únik dat osobních údajů.


7.2 Rizika zpracování osobních údajů
Při posuzování rizik pro zabezpečení osobních údajů bere správce v úvahu možná rizika pro práva a svobody fyzických osob, která zpracování představuje, jako jsou náhodné nebo protiprávní zničení, ztráta, pozměnění, neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným způsobem zpracovaných osobních údajů, které by mohly zejména vést k fyzické, hmotné nebo nehmotné újmě.
Správce (nebo zpracovatel) posuzuje tato rizika spojená se zpracováním a k jejich zmírnění přijímá vhodná a účinná opatření (například šifrování). Tato opatření mají za účel zajistit náležitou úroveň bezpečnosti, včetně důvěrnosti, s ohledem na stav techniky, náklady na provedení v souvislosti s rizikem a povahu osobních údajů, které mají být chráněny.
Přesnost zpracování
Správce dbá a vhodnými opatřeními zajišťuje, aby všechny zpracovávané osobní údaje byly vždy správné a aktualizované, neboť zpracování nepřesných osobních údajů může vést k nežádoucím důsledkům bez ohledu na účel či způsob zpracování.
Povinnost provádět posouzení vlivu na ochranu osobních údajů (DPIA) vzniká při takovém zpracování osobních údajů, které ze své povahy, rozsahu, kontextu a účelu představuje vysoké riziko pro práva a svobody dotčených osob. V takovém případě bude Správce postupovat dle příslušných ustanovení Nařízení.

7.3 Analýza a posouzení kategorií subjektů údajů a kategorií osobních údajů (audit)
Správce provede analýzu všech uchovávaných osobních údajů (audit) a pro každou kategorii informací identifikovanou jako osobní údaje určí základní atributy:
- Stanovení kategorie osobních údajů
- Identifikace dotčených subjektů údajů
- Určení účelu zpracování osobních údajů včetně lhůty pro výmaz
- Určení oprávnění přístupu k osobním údajům včetně osob zpracovatelů
- Určení místa nebo způsobu uložení osobních údajů
- Návrh vhodných technických a organizačních opatření k zajištění ochrany osobních údajů
Informace o osobních údajích získané auditem se po posouzení relevantnosti uchovávání osobních údajů zapíšou a zaktualizují v záznamech činnosti o zpracování. Správce dbá na přesnost a úplnost záznamů činnosti o zpracování a v případě závažných změn některého z výše uvedených atributů zváží opakované provedení auditu a následnou aktualizaci záznamů o činnosti.

7.4 Záznamy o činnostech zpracování
Záznamy o činnostech zpracování jsou vypracovány ze dvou úhlů pohledu – v roli Správce nebo
v roli Zpracovatele osobních údajů.

7.4.1 V roli Správce
Záznam obsahuje název a kontaktní údaje správce, popis kategorie subjektů a kategorie osobních údajů, účel zpracování, kategorie příjemců včetně příjemců ve třetích zemích nebo mezinárodních organizacích, lhůtu pro výmaz údajů (pokud lze) a popis technických a organizačních bezpečnostních opatření při zpracování údajů (pokud lze). Záznam lze vést elektronicky.

7.4.2 V roli Zpracovatele
Jméno a kontaktní údaje zpracovatele nebo zpracovatelů a každého správce, pro něhož zpracovatel jedná, a případného zástupce správce nebo zpracovatele a pověřence pro ochranu osobních údajů; kategorie zpracování prováděného pro každého ze správců; informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace (případně doložení vhodných záruk) a popis technických a organizačních bezpečnostních opatření při zpracování údajů (pokud lze). Záznam lze vést elektronicky.

7.5 Umístění osobních údajů
Osobní údaje se můžou nacházet na různých místech. Bez ohledu na místo zpracování Správce zajišťuje technické a organizační opatření pro ochranu osobních údajů.
- Primárním místem pro uchovávání osobních údajů je Informační systém společnosti (dále jen IS). Pokud je IS provozován na externím datovém úložišti (cloud), je jeho poskytovatel zpracovatelem osobních údajů. Stejně tak je zpracovatelem např. externí správce sítě. Se všemi Zpracovateli uzavře Správce smlouvu se všemi náležitostmi podle obecného nařízení.
- Umístěním osobních údajů mimo IS jsou zpravidla počítače a datové nosiče zpracovatelů. Všichni zpracovatelé jsou vázáni Smlouvou zajistit technické a organizační opatření k zabezpečení přiměřené ochrany sdílených osobních údajů.
- Osobní údaje mimo libovolné informační systémy (např. papírové doklady) je Správce a každý případný Zpracovatel povinen uchránit před jakýmkoli neoprávněným nakládáním.

7.6 Rozsah osobních údajů a doba zpracování
Správce zpracovává pouze osobní údaje, které jsou potřebné, přiměřené a relevantní vzhledem k účelu, pro který jsou zpracovávány, a pouze po dobu trvání tohoto účelu. Po naplnění všech účelů, pro které jsou příslušné osobní údaje zpracovávány, zajišťuje Správce výmaz těchto údajů ve stanovených lhůtách.
Osobní údaje potřebné pro splnění právní povinnosti zpracovává Správce po dobu určenou příslušnými právními předpisy (obvykle do 10 let, ale zejména u mezd i déle).
Zpracování osobních údajů pro marketingové aktivity provádí Správce po dobu trvání smluvního vztahu a následně po přiměřenou dobu od jeho ukončení. Přiměřená doba má odpovídat době, po kterou klient může důvodně očekávat, že ho Správce bude oslovovat s nabídkami.
S ohledem na možné uplatnění ochrany právních nároků Správce i v pozdější době, vede Správce pro tento účel evidenci získaných osobních údajů i po ukončení smluvních vztahů, vždy však pouze:
- po přiměřenou dobu, ta je odvislá od uvážení Správce a dalších faktorů (např. promlčecí lhůty, lhůta na uplatnění nároku náhrady škody, apod.), až 10 let
- v přiměřeném rozsahu, přičemž tyto osobní údaje pro účel ochrany právních nároků Správce nesmí použít k žádnému jinému účelu
Obdobnou evidenci osobních údajů pro účel ochrany možných právních nároků vede společnost i v roli Zpracovatele, vždy však pouze po dohodě a se souhlasem Správce dotčených osobních údajů.

7.7 Zajištění bezpečného zpracování osobních údajů
Správce zajišťuje (s ohledem na zajištění důvěrnosti, integrity a dostupnosti osobních údajů) bezpečnost zpracování osobních údajů v každém okamžiku zpracování a v každém místě zpracování prostřednictvím zajištění fyzické bezpečnosti, administrativní bezpečnosti a IT bezpečnosti. Správce přijal a dbá na dodržování sady opatření, která mají zamezit neoprávněnému přístupu k osobním údajům a zároveň znemožnit jejich neoprávněné zpracování. Jedná se o následující technická a organizační opatření, které jsou povinné dodržet všechny osoby s oprávněným přístupem k osobním údajům.

7.7.1 Fyzická bezpečnost
Pro zajištění fyzické bezpečnosti osobních údajů organizace provádí
- Provedení „úklidu“ dat osobních údajů v rámci auditu, zjištění a revize rozsahu
- Zajištění omezení přístupu v prostorech společnosti, zejména definování oprávnění vstupu do jednotlivých kanceláří/ordinace (v případě volného vstupu pro návštěvy a cizí osoby), případně klíčový režim, používání EZS, uzamykatelné (a uzamykané) skříně v případě byť i krátké nepřítomnosti oprávněných osob, zavedení pravidla „čistého stolu“ apod., nezanechávat služební zařízení a dokumenty obsahující osobní údaje bez dozoru, pokud nejsou řádně uzamčeny a chráněny (heslem, zámkem, šifrováním, apod.);
- Uložení osobních údajů, zvlášť personálních dokumentů, evidenčních listů na bezpečném a uzamčeném místě s přiměřenou úrovní zabezpečení

7.7.2 Administrativní bezpečnost
Pro zajištění administrativní bezpečnosti organizace provádí:
- Revize a úprava smluv s dodavateli (doplnění zodpovědnosti a povinností, zásada mlčenlivosti)
- Zavedení bezpečnostní politiky, tj. zdokumentování základních pravidel v této směrnici
- Stanovení postupů a pravidel pro zpracování osobních údajů (zacházení, likvidace) v souladu s vnitřními předpisy Správce
- přistupovat k osobním údajům a využívat je pouze v případě, pokud je to nezbytné k výkonu práce
- nesdělovat a nezpřístupňovat osobní údaje, ke kterým získají přístup při výkonu práce, a informace o přijatých bezpečnostních opatřeních neoprávněným osobám nebo osobám, pro které údaje nejsou nezbytné pro výkon práce, příp. ostatním osobám jinak než v souladu s vnitřními předpisy
- Stanovení postupů pro vyřízení žádostí subjektů údajů (právo na informace, právo na odvolání souhlasu, právo být „zapomenut“)
- Stanovení postupu při bezpečnostním incidentu, včetně hlášení incidentu
- Úprava smluv se zpracovateli osobních údajů
- Školení dotčených pracovníků o zásadách ochrany osobních údajů
- Zajištění, že osobní údaje budou zpracovávat a mít k nim přístup pouze prověřené osoby; zpracování osobních údajů bude probíhat pouze ve stanoveném rozsahu a všechny dotčené osoby jsou zavázány mlčenlivostí, a to i po skončení zpracování (nebo ukončení smluvního vztahu).

7.7.3 IT bezpečnost
Pro zajištění IT bezpečnosti organizace provádí
- Technická IT opatření (firewall, antivir, zálohování, sdílení dat, řízení vzdálených přístupů, případně taktéž vypracování plánu postupu v případě poruchy)
- postupovat tak, aby používaná zařízení nebyla napadena škodlivým softwarem, který může způsobit únik osobních údajů (pokud to není nastaveno dle platného IT řádu)
- Řízení uživatelských přístupových práv jednotlivých pracovníků
- Zajištění vhodné bezpečnostní politiky pro přístupová hesla. Každé heslo opravňující uživatele k přístupu k aplikacím zpracovávajícím osobní údaje musí obsahovat malá i velká písmena, číslice, případně další znaky. Změna hesla musí proběhnout nejméně jednou za čtvrtletí. Stejná pravidla ohledně přístupových hesel jsou závazná i pro zpracovatele.
- používat bezpečná hesla (např. nepoužívat v heslech osobní jména, jména dětí, data narození, apod.);
- nepoužívat stejná hesla do různých systémů se samostatným přístupem; tato hesla nesdělovat třetím osobám ani si je nepoznamenávat na nevhodná místa (zápisník u počítače, apod.);
- osobní údaje ukládat na přenosná zařízení (např. USB disky) v šifrované podobě nebo alespoň zajištěné heslem
- zajistit mobilní telefonní přístroje proti neoprávněnému přístupu (heslem, PIN-em, otiskem prstu)
- Bezpečné zpracování osobních údajů – dodržení pravidel důvěrnosti, integrity a dostupnosti osobních údajů
- Dodržování principu sdílení dat s jedním zdrojem a minimalizací dalších technik zpracování podle bodu 7.1
- Opatření, jak postupovat obezřetně při zasílání e-mailů obsahujících osobní údaje
- pokud je to možné, při jejich zasílání emailem údaje zabezpečit,
- důsledně ověřovat oprávněnost požadavků na zaslání údajů a totožnost adresáta a kontrolovat správnost adresátů správy, aby nedošlo k nezamýšlenému zaslání údajů nesprávnému adresátu;
- Opatření pro vytváření neoprávněných kopií osobních údajů a ukládání osobních údajů pomocí nástrojů či systémů
- nevytvářet exporty a jiné kopie osobních údajů zpracovávaných v informačních systémech (dále jen IS) a neukládat je do vlastních zařízení či na sdílená úložiště, pokud lze pro daný účel využít údaje v IS
- jestliže je pro výkon práce nutné vytvořit kopii či export údajů z IS a uložit ji do zařízení uživatele, tuto kopii či export smazat bezprostředně poté, co pro výkon dané práce přestane být nezbytná,
- neukládat osobní údaje na cloudová úložiště, pokud použití daného úložiště není schváleno a chráněno proti zneužití
- neukládat osobní údaje na soukromá zařízení pracovníka, pokud použití daného zařízení není dovoleno jiným vnitřním předpisem nebo nebylo schváleno vedoucím pracovníkem

7.8 Popis jednotlivých postupů při zpracování osobních údajů
Informační dokument
Správce poskytne subjektu údajů informace o charakteru získaných osobních údajů a právech subjektu údajů prostřednictvím informačního dokumentu v příloze č. 1 - Informace podávaná subjektu údajů.
Správce poskytne všem zaměstnancům informaci o zpracovávaných osobních údajích vzhledem k naplňování platného pracovněprávního vztahu mezi zaměstnancem jako Subjektem údajů a zaměstnavatelem jako Správcem.
Práva subjektu údajů a jejich naplnění
Správce umožní subjektu údajů přístup k údajům, které jako správce zpracovává, za účelem:
- Poskytnutí informace na základě žádosti subjektu údajů o přístup založené na právu být informován, pokud je součástí žádosti i žádost o kopii, musí být tato poskytnuta
- Možnosti kontroly, případně následné žádosti o opravu nebo výmaz, nebo podání námitky
V případě žádosti poskytne správce subjektu údajů kopii zpracovávaných osobních údajů a informuje ho o účelech zpracování, kategorii dotčených osobních údajů, příjemcích (kategoriích příjemců), plánované době uložení a dalších právech subjektu údajů. Výkon práva na přístup k údajům musí správce umožnit za všech okolností. Poskytnutím osobních údajů Správce nesmí ohrozit jejich bezpečnost.
V případě žádosti o opravu osobních údajů podané subjektem údajů, ověří Správce přesnost zpracovávaných osobních údajů a nepřesné či neúplné údaje opraví nebo vymaže. Během vyřizování žádosti o opravu je doporučeno zajistit omezení zpracování osobních údajů.
V případě žádosti o výmaz osobních údajů (taky „právo být zapomenut“) podané subjektem údajů, posoudí Správce existenci právního důvodu pro zpracování těchto osobních údajů, a v případě jeho neexistence údaje vymaže. Správce výmaz provede bez zbytečného odkladu, zejména pokud již nejsou aktuální účely zpracování nebo neexistuje právní titul pro další zpracování osobních údajů nebo subjekt údajů odvolá souhlas (týká se zejména oprávněného zájmu nebo poskytnutého souhlasu), právo ale nelze uplatnit v případě zákonných požadavků na správce či výkonu nebo obhajoby právních nároků.
V případě uplatnění práva na omezení zpracování subjektem údajů Správce neprovádí další zpracování příslušných osobních údajů kromě jejich uložení. Omezení zpracování se nevztahuje na použití údajů pro obhajoby právních nároků Správce nebo subjektu údajů.
V případě žádosti o přenos osobních údajů podané subjektem údajů, poskytne Správce osobní údaje subjektu údajů v obvyklém, strukturovaném a strojově čitelném formátu jinému správci osobních údajů určeným subjektem údajů. Přenositelnost se týká takových osobních údajů, u kterých se zpracování provádí automatizovaně. Poskytnutím osobních údajů Správce nesmí ohrozit jejich bezpečnost.
Pokud Správce obdrží námitku subjektu údajů proti zpracování osobních údajů, např. na základě oprávněného zájmu, posoudí, zda pro příslušné zpracování existují závažné oprávněné důvody převažující nad zájmy a základními právy a svobodami subjektu údajů (např. pro plnění právních povinností nebo pro ochranu právních nároků). Během vyřízení námitky se Správce zdrží zpracování osobních údajů subjektu údajů.
Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu (např. nabízení služeb), Správce bez dalšího posouzení ukončí další zpracování osobních údajů pro tento účel.
Subjekt údajů má právo nebýt předmětem rozhodnutí založeného na automatizovaném zpracování včetně profilování (pokud to není nezbytné pro uzavření nebo plnění smlouvy mezi subjektem údajů a správcem).
Opravu, výmaz a omezení zpracování oznámí správce všem jednotlivým příjemcům osobních údajů, tj. dalším Správcům či Zpracovatelům.
Jestliže subjekt údajů uplatní některé ze svých práv, správce zajistí naplnění příslušné žádosti. Správce zajistí vhodným a přiměřeným způsobem ověření totožnosti žadatele, aby bylo předcházeno předání osobních údajů nesprávné nebo neoprávněné osobě. Vyřizování žádostí subjektů údajů provádí Správce podle formuláře z přílohy č. 7.
Bezpečnostní incident
V případě bezpečnostního incidentu vážného charakteru a v případě, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, správce informuje o tomto dozorový úřad prostřednictvím formuláře z přílohy č. 6 - Ohlášení porušení ochrany osobních údajů. Pokud je pravděpodobné, že porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce případ porušení zabezpečení osobních údajů i všem dotčeným subjektům údajů, to lze použitím stejného formuláře.
Proces získání a zpracování osobních údajů
Ke zpracování osobních údajů dochází v rámci činnosti Správce ve více oblastech. Veškeré aspekty příslušných procesů a činností jsou popsané v záznamech o činnosti zpracování osobních údajů.

8. Změnové řízení a jiná ustanovení
Za aktualizaci této směrnice odpovídá pověřený pracovník Správce.
Kontrolou provádění pravidel podle této směrnice je pověřen představitel vedení společnosti.