Ochrana osobních údajů

Směrnice o ochraně osobních údajů

Datum poslední změny směrnice: čtvrtek 5. dubna 2018

I.

Úvodní ustanovení

Tato směrnice nastavuje principy ochrany získaných osobních údajů.

Provozovatel Lukáš Rupert (dále jen provozovatel) se touto směrnicí zavazuje dodržovat obecnou ochranu osobních údajů platnou od 25. 5. 2018, dle nařízení Evropské komise 679 / 2016, tzv. GDPR (dále jen GDPR) a vnitrostátních právních předpisů s ním souvisejících.

Dále se provozovatel zavazuje provádět takové kroky, aby byla stále v souladu s GDPR a vnitrostátními předpisy s ním souvisejícími.

 

II.

Definice pojmů

Subjekt údajů – je fyzická osoba, k níž se osobní údaje vztahují. tato osoba je identifikovaná nebo na základě údajů (např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby) identifikovatelná.

Osobní údaj – je jakýkoliv údaj sloužící k jednoznačné identifikaci konkrétní fyzické osoby.

Citlivý údaj – je zvláštní kategorie osobního údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických názorech, členství v odborech, náboženství a filozofickém přesvědčení, biometrických a genetických informacích, zdravotním stavu a sexuálním životě subjektu údajů.

Správce –  je subjekt (podnikající fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt), který určuje účely a prostředky zpracování osobních údajů, získává a dále zpracovává osobní údaje fyzických osob a odpovídá za zpracování. Zpracováním může pověřit Zpracovatele, pokud tak stanoví zákon.

Zpracovatel – je jiný subjekt odlišný od Správce, který zpracovává osobní údaje fyzických osob pro Správce na základě předem sjednaného účelu, činí tak na základě zákona nebo pověření Správcem.

Příjemce – je fyzická nebo právnická osoba nebo jiný subjekt, která přijímá poskytnuté osobní údaje pro předem sjednaný účel, tyto údaje dále nijak nezpracovává. Orgán veřejné moci, který získává osobní údaje v rámci svých vyšetřovacích pravomocí, není považován za příjemce, jeho postup při zpracování však musí být v souladu s platnými pravidly pro ochranu osobních údajů podle účelu zpracování.

Umístění – je fyzické úložiště, kde jsou uložena osobní data (např. šanon, skříň, rack)

Právní titul – je právní základ, vyjmenovaný v GDPR, na základě kterého fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt eviduje osobní údaje.

Účel zpracování – je zdůvodnění, proč jsou osobní údaje vyžadovány a že budou využívány jen a pouze k takto definovanému účelu.

Doba zpracování – je doba, po kterou evidujeme konkrétní osobní údaje, tato doba má být přiměřená, pokud není stanovena zákonem.

Minimalizace osobních údajů – je proces, který vede k tomu, aby správce požadoval pouze takové osobní údaje, které jsou nezbytné pro výkon jeho činnosti.

Omezení zpracování – je vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat.

Likvidace osobních údajů –je nenávratné zničení osobních údajů

 

III.

Práva a povinnosti

  1. 1.       Naše organizace nejmenovala pověřence na ochranu osobních údajů.
  1. 2.       Právo pracovat s osobními údaji mají pouze pověření pracovníci Lukáš Rupert
  1. 3.       Pověřenými pracovníky jsou: Lukáš Rupert
  1. 4.       Pověření pracovníci se zavazují, že budou dodržovat zásady ochrany osobních údajů a těmi jsou:
    1. Informovat subjekt údajů o jeho právech a povinnostech správce
    2. Informovat subjekt údajů o stanoveném právní titulu, účelu zpracování a době zpracování jeho osobních údajů
    3. Požadovat pouze takové osobní údaje, které jsou nutné pro výkon jejich činnosti
    4. Evidovat osobní údaje pouze na určených dokumentech a v určených systémech
    5. Nepředávat žádné osobní údaje neoprávněným osobám
  1. 5.       Společnost se zavazuje nakládat s osobními údaji pouze ve vhodně zabezpečených budovách a místnostech.

Vhodně zabezpečenými budovami a místnostmi jsou:

 • vKosiku.cz sklad

  1. 6.       Při opuštění místnosti, kde se nachází osobní údaje, je pověřený pracovník povinen zabezpečit jednotlivá umístění a místnost proti vniknutí neoprávněných osob.
  1. 7.       Tištěné dokumenty a IT zařízení, které obsahují osobní údaje a s nimiž se aktuálně nepracuje musí pověření pracovníci ukládat do k tomu určených úložišť. 
    Těmito úložišti jsou: Archiv
  1. 8.       Každé IT zařízení, na kterém se pracuje s osobními údaji musí být vhodně zabezpečeno, a to minimálně dostatečně zabezpečeno nebo fyzicky i elektronicky zabezpečeno, aby nedocházelo k úniku dat.


Vhodně zabezpečenými IT zařízeními jsou:Server SERVER-POHODA, Datové úložiště Coolhosting, Datové úložiště MailChimp, Datové úložiště Kamerový systém s HDD.

 

  1. 9.       Při opuštění pracoviště je pověřený pracovník povinen zabezpečit IT zařízení, a to uzamčením obrazovky s následným vyžadováním hesla, případně též vypnutím daného zařízení.
  1. 10.    Data s osobními údaji se provozovatel zavazuje pravidelně zálohovat. Provozovatel zálohuje data pravidelně na následující zálohovací zařízení: Externí disk, Coolhosting
  1. 11.    Provozovatel  provozuje webové stránky vKosiku.cz na které se zavazuje vložit informaci o zpracování cookies, zásady zpracování osobních údajů na webových stránkách a právech subjektu údajů, případně opatřit ta místa, kde dochází ke sběru osobních údajů informativní povinností.
  1. 12.    Provozovatel se zavazuje opatřit každý dokument a formulář, na kterém zahajuje zpracování osobních údajů fyzické osoby doplnit informativním dodatkem o zpracování osobních údajů s odkazem na plné znění Zásad zpracování osobních údajů.
  1. 13.    Provozovatel provozuje následující informační systémy, ve kterých eviduje osobní údaje. Stormware Pohoda, MailChimp. Všechny tyto informační systémy musí být zabezpečeny přístupovými právy a vhodně zabezpečeny proti neoprávněnému zneužití a přístupu.
  1. 14.    Veškeré informační systémy musí být zálohovány a zálohy musí být uloženy na zabezpečených místech.
  1. 15.    Každý dokument obsahující osobní údaje musí mít určen právní titul, účel zpracování a dobu zpracování. Provozovatel eviduje osobní údaje na základě následujících právních titulů: Plnění smlouvy, Zákonná povinnost, Oprávněný zájem, Z titulu úřední moci, Životně důležitý zájem, Souhlas, Výslovný souhlas.
  1. 16.    Provozovatel pracuje pro svou činnost s následujícími osobními údaji: Jméno, Adresa, Příjmení, Rodné číslo, Telefon, DIČ fyzické osoby, Číslo bankovního účtu, Číslo zaměstnance, Dodací adresa, Email, Datum narození, Záznam kamerového systému - audio, video, fotografie.
  1. 17.    Provozovatel může předávat osobní údaje svým smluvním partnerům (zpracovatelům). Takto předávané osobní údaje jsou definované v rozsahu záznamů o zpracování osobních údajů.
  1. 18.    Organizace je povinna sjednat s těmito zpracovateli dodatek ke smlouvě, případně smlouvu o nakládání s předávanými osobními údaji ve smyslu ochrany osobních údajů a provádět případnou kontrolu dodržování zásad ochrany osobních údajů u těchto zpracovatelů.
  1. 19.    Provozovatel může předávat osobní údaje také příjemcům. Těmito příjemci jsou: PPL CZ s.r.o., odštěpný závod západní Čechy, ČESKÁ POŠTA s.p., Zásilkovna s.r.o.. Takto předávané osobní údaje jsou definované v rozsahu záznamů o zpracování osobních údajů.
  1. 20.    Jako bezpečnou formu předávání osobních údajů Provozovatel zvolil následující možnosti: Předaní probíhá v místě organizace, Soukromý e-mail, Pracovní e-mail, Datová schránka, Dopis, Doporučený dopis, Cloud, webové úložiště.
  1. 21.    Provozovatel se zavazuje po uplynutí doby zpracování osobních údajů provést likvidaci osobních údajů.
  1. 22.    Provozovatel se zavazuje provádět pravidelná školení pověřených pracovníků, alespoň 1x ročně.
  1. 23.    Provozovatel se zavazuje provádět kontrolu dodržování pravidel ochrany osobních údajů, alespoň 1x ročně, reagovat na zjištění a hrozby, provádět optimalizaci procesu zpracování, uchování a zabezpečení osobních údajů a zaznamenávat změny.
  1. 24.    Provozovatel se zavazuje vést evidenci o požadavcích na výmaz, opravu a o námitkách proti zpracování. Dále se zavazuje vést evidenci písemností týkajících se reakcí a odpovědí na zpracování osobních údajů fyzických osob.
  1. 25.    Provozovatel se zavazuje vést evidenci bezpečnostních incidentů a nápravných opatření. V případě, že by mělo dojít, případně dojde k vážnému bezpečnostnímu incidentu, uvědomí každý zaměstnanec, který zjistí takovou skutečnost odpovědnou osobu organizace, která má na starosti ochranu osobních údajů v organizaci.
  1. 26.    Organizace je v případě zjištění závažného bezpečnostního incidentu povinna hlásit každý takový bezpečnostní incident dozorovému orgánu nejpozději do 72 hodin od takového zjištění.
  1. 27.    Každý subjekt údajů, fyzická osoba, má právo na informaci o evidovaných osobních údajích k jeho osobě. Pokud taková osoba využije svého práva, postoupí se tato žádost odpovědné osobě, která zajistí informativní povinnost nejpozději do 30 dnů. Provozovatel bude přihlížet k přiměřenosti a četnosti takových žádostí od stejného žadatele. O této skutečnosti se provede záznam, s udáním data žádosti, jména žadatele, popisu řešení a s uchováním následné přílohy kopie odpovědního dopisu žadateli pro další průkaznost.
  1. 28.    Subjekt údajů má právo na opravu evidovaných osobních údajů ke své osobě. Pokud dojde k požadavku na opravu, bude taková oprava provedena s přihlédnutím k dalším okolnostem a možnostem. O této skutečnosti se provede průkazný záznam.
  1. 29.    Subjekt údajů má právo na výmaz evidovaných osobních údajů, které byly uděleny souhlasem nebo výslovným souhlasem, případně těm, kterým vypršela doba pro zpracování, případně, pokud organizace uzná, že je již není třeba dále zpracovávat. O této žádosti a případném výmazu osobního údaje se provede průkazný záznam, s udáním data žádosti, jména žadatele, popisu řešení a zajištěním, že požadovaný údaj bude skutečně vymazán pro budoucí zpracování ze všech aktivních systémů.
  1. 30.    Subjekt údajů má právo na námitku ke zpracování osobních údajů. Pokud námitku podá, je Provozovatel povinen provést úkony nebo zavést opatření k omezení zpracování takových osobních údajů. O této skutečnosti bude proveden průkazný záznam s datumem žádosti, jménem žadatele a popisem řešení pro případnou kontrolu.

 

IV.

Sankce

  1. 1.       Každému smluvnímu partnerovi nebo subjektu v obdobném právním vztahu, který poruší tuto směrnici, bude jednorázově uložena sankce do výše 10 000,- Kč. 
  2. 2.       Každému smluvnímu partnerovi nebo subjektu v obdobném právním vztahu, který opakovaně, či zvlášť významným způsobem poruší tuto směrnici bude uložena pokuta do výše až 50 000,- Kč.
  3. 3.       Vůči každému zaměstnanci, který poruší tuto směrnici, bude zaměstnavatelem vymáhána náhrada škody, kterou tím zaměstnavateli způsobil, a to za každý jednotlivý případ a to až do výše 4,5 násobku průměrného platu.