INCBAC

GENERAL DATA PROTECTION REGULATION – GDPR

INCBAC s.r.o.

Institute of Czech-Brazilian Academic Cooperation

VNITŘNÍ PŘEDPIS O OCHRANĚ OSOBNÍCH ÚDAJŮ

Společnost: INCBAC s. r. o
IČO: 04342909
se sídlem: Jagellonská 1700/3, Vinohrady, 130 00 Praha 3

Článek I. – Účel vydání vnitřního předpisu

  1. Účelem vydání tohoto vnitřního předpisu je přijmout a provést vhodná technická a organizační opatření k zajištění ochrany osobních údajů v souladu s čl. 24 a násl. nařízení EU č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Článek II. – Výklad pojmů

Pro účely tohoto vnitřního předpisu se rozumí:

  1. GDPR – nařízení EU č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), tzv. GDPR (angl. General Data Protection Regulation).
  2. Osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen “subjekt údajů”); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
  3. Citlivý údaj – údaj o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje, biometrické údaje a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
  4. Zaměstnavatel – společnost INCBAC s.r.o.
  5. Správce osobních údajů – každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak, správcem podle tohoto předpisu je i společnost INCBAC s.r.o., IČO 04342909 (dále jen společnost, nebo správce).
  6. Zpracovatel – zaměstnavatel, pokud je na základě smlouvy, zmocnění, pověření nebo právního předpisu oprávněn zpracovávat osobní údaje pro jiného správce.
  7. Zaměstnanec – zaměstnanec, který je u zaměstnavatele v pracovním nebo obdobném poměru.
  8. Odpovědný zaměstnanec – zaměstnanec odpovědný za výkon práce, jejíž součástí je nakládání s osobními údaji.
  9. Zpracování osobních údajů – jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
  10. Rozsah zpracování osobních údajů – znamená určení způsobu zpracování osobních údajů, dobuuchovávání, prostředky zpracování, určení kategorií příjemců, důvodů zpracování a ostatních údajůpopisujících zpracování osobních údajů. Součástí stanovení rozsahu zpracování osobních údajů jerovněž stanovit, na základě jakého zákonného důvodu zpracování jsou osobní údaje zpracovávány av případě, že jde o osobní údaje získané od subjektu údajů, zda je získávání osobních údajů zákonným nebo smluvním požadavkem, nebo požadavkem na to, aby byly osobní údaje součástí smlouvy a rovněž poučení subjektu údajů o následcích neposkytnutí osobních údajů.
  11. Shromažďování osobních údajů – systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování.
  12. Uchovávání osobních údajů – udržování údajů v takové podobě, která je umožňuje dále zpracovávat.
  13. Likvidace osobních údajů – fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování.
  14. Evidencí nebo datovým souborem (dále jen “datový soubor”) se rozumí jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných, nebo zvláštních kritérií.
  15. Souhlasem subjektu se rozumí údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.
  16. Příjemcem se rozumí každý subjekt, kterému jsou osobní údaje zpřístupněny.
  17. Počítač – osobní počítač, tablet, telefon nebo jiný elektronický přístroj, v jehož paměti je možné uchovávat osobní údaje.

Článek III. – Působnost vnitřního předpisu

  1. Tento vnitřní předpis se vztahuje na všechny zaměstnance zaměstnavatele, kteří jakkoli nakládají sosobními údaji, jejichž správcem nebo zpracovatelem je zaměstnavatel.
  2. Tento vnitřní předpis se použije vždy, nestanoví-li GDPR jinak

Článek IV. – Transparentnost zpracování osobních údajů

  1. Správce zpracovává osobní údaje transparentně, tak aby kdokoli měl možnost seznámit se se zpracováním osobních údajů, které provádí.
  2. V rámci transparentnosti tak správce zveřejňuje tuto směrnici a další informace o zpracování osobních údajů na internetu na svých webových stránkách.

Článek V. – Stanovení účelu a rozsahu zpracování osobních údajů

A) Účel a rozsah zpracování osobních údajů
  1. Společnost INCBAC s.r.o. je správcem osobních údajů dle zák. č. 101/ 2000 Sb., o ochraně osobních údajů (ZOOÚ).
  2. Účelem zpracovávání OÚ je:
      – jednání se subjektem osobních údajů o smluvním vztahu, jeho změnách či doplnění, a zániku;
      – zajištění práv a povinností souvisejících s plněním závazků plynoucích ze smluvního vztahu se subjektem údajů;
      – archivnictví prováděné na základě platných právních předpisů, další účely vyplývající z platných právních předpisů.
  3. Společnost shromažďuje a zpracovává a uchovává osobní údaje pouze ke stanovenému účelu a pouze v nezbytně nutném rozsahu pro naplnění tohoto účelu (tedy adresní a identifikační údaje, potřebné popisné údaje). Nikdy nezatajuje účel, pro který je  osobní údaj shromážděn a dále zpracováván. Společnost nepoužívá osobní údaje k jinému účelu, než který je zákazníkovi nebo potenciálnímu zákazníkovi znám a ke kterému poskytl souhlas se zpracováním osobních údajů.
  4. Společnost uchovává a zpracovává osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování, nebo po dobu, na kterou zákazník poskytl svůj písemný souhlas se zpracováním osobních údajů. Dodržuje pravidla povinné archivace údajů.
  5. Správce může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat pouze v zákonem předpokládaných situacích.
B) Prostředky a způsob zpracování osobních údajů
  1. Společnost osobní údaje zpracovává prostřednictvím svých zaměstnanců, vázaných osob a dalších spolupracujících osob (dále jen „spolupracovníci“). Tyto osoby jsou zpracovateli osobních údajů podle ZOOÚ. Spolupracovník nesmí překročit rozsah a způsob nakládání s osobními údaji, který vymezil správce.
  2. Osobní údaje jsou zpracovávány elektronicky v informačním systému pomoci výpočetní techniky, dále pak manuálně v listinné (písemné) podobě, a to pověřenými spolupracovníky.
  3. K osobním údajům vedeným elektronicky mají přístup pouze oprávnění spolupracovníci. Přístup do informačního systému společnosti je chráněn heslem.
  4. K osobním údajům vedeným v písemné (listinné) podobě a na jiných hmotných nosičích dat mají přístup pouze oprávnění spolupracovníci. Listiny jsou uloženy v sídle společnosti, kde je zamezen přístup nepovolaným osobám (uzamykatelné prostory, dohled pověřených osob).

Článek VI. – Oprava osobních údajů

  1. Osobní údaje sděluje zákazník nebo potenciální zákazník společnosti, pokud má zájem o navázání smluvního vztahu. Spolupracovník v takovém případě osobní údaje zadá do informačního systému dle předložených dokladů.
  2. Veškeré zjištěné a doložené chyby nebo nedostatky osobního údaje spolupracovník opraví bez zbytečného odkladu poté, co byl o chybě nebo nedostatku informován (např. ze strany zákazníka).

Článek VII. – Ochrana osobních údajů

A) Informování zákazníka
  1. Spolupracovník informuje zákazníka o působení společnosti jako správce osobních údajů, který je oprávněn zpracovávat osobní údaje.
  2. Spolupracovník je povinen seznámit zákazníka o tom, že:
    – bude shromažďovat a zpracovávat osobní údaje, a za jakým účelem a v jakém rozsahu;
    – kdo a jakým způsobem bude osobní údaje zpracovávat a komu mohou být osobní údaje zpřístupněny;
    – zákazník má právo na přístup k osobním údajům; žádosti o přístup k osobním údajům společnost bez zbytečného odkladu vyhoví a požadované informace předá; obsahem sdělení jsou zejm. informace o účelu zpracování osobních údajů, osobních údajích a jejich zdroji, příjemcích osobních údajů;
    – zákazník má právo na opravu osobních údajů;
    – každý zákazník, který zjistí nebo se domnívá, že správce provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého a osobního života subjektu údajů nebo v rozporu se zákonem, zejména jsou-li osobní údaje nepřesné s ohledem na účel jejich zpracování, může požádat správce o vysvětlení, a požadovat, aby správce odstranil takto vzniklý stav. V případě zjištění důvodnosti takové žádosti provede správce bezodkladnou nápravu (blokování, oprava, doplnění nebo likvidace osobních údajů).
  3. Spolupracovník informuje zákazníka o tom, že osobní údaje budou zpracovávány po dobu dohodnutou se zákazníkem, minimálně však po dobu trvání smluvního vztahu.
  4. Spolupracovník nesmí zpracovávat osobní údaje před tím, než získá souhlas se zpracováním osobních údajů na formuláři k tomu určeném.
B) Zabezpečení ochrany osobních údajů
  1. Spolupracovník musí dbát na to, aby zákazník nebo potenciální zákazník neutrpěl újmu na svých právech, zejm. na zachování lidské důstojnosti a právu na soukromý a osobní život.
  2. Pokud zákazník poskytl souhlas se zpracováním osobních údajů, může spolupracovník pracovat s osobními údaji zákazníka prostřednictvím informačního systému společnosti.
  3. Spolupracovník může shromažďovat a zpracovávat osobní údaje pouze pro správce osobních údajů. Přitom musí postupovat tak, aby se osobní údaje nedostaly k třetím osobám.
  4. Společnost přijímá taková technickobezpečnostní a technicko-organizační opatření, která umožňují naplnit požadovanou míru ochrany osobních údajů.
  5. Společnost zajišťuje ochranu dat proti neoprávněnému nebo nahodilému přístupu, proti změně, zničení, ztrátě, neoprávněným přenosům, nebo jinému neoprávněnému zpracování, jakož i k jinému zneužití záznamů, které obsahují osobní údaje.
  6. Společnost pravidelně jednou ročně školí své spolupracovníky za účelem ochrany osobních údajů, aby tak byla zajištěna maximální možná ochrana osobních údajů.
  7. Společnost ani její spolupracovník neposkytne osobní údaje třetí osobě bez souhlasu zákazníka, s výjimkou případů, kde to umožňuje zákon.
  8. Pokud zákazník zjistí porušení povinností ze strany společnosti nebo spolupracovníka, má právo se obrátit se svou stížností na Úřad pro ochranu osobních údajů s žádostí o přijetí nápravného opatření. Zejména má právo na to požadovat, aby společnost provedla opravu nebo doplnění osobních údajů tak, aby byly pravdivé a přesné.
  9. Jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo uplynula-li doba, na kterou byl poskytnut souhlas se zpracováním osobních údajů a po uplynutí skartačních lhůt, provede společnost likvidaci osobních údajů.

Článek VIII. – Plnění povinností správce a zpracovatele

  1. Povinnosti správce a zpracovatele plní odpovědní zaměstnanci, není-li dále stanoveno jinak.
  2. Při jednání s Úřadem pro ochranu osobních údajů společnost zastupuje statutární orgán společnosti.

Článek IX. – Odpovědnost zaměstnanců za zpracování osobních údajů

  1. Zaměstnavatel rozděluje odpovědnost za zpracování osobních údajů jednotlivými zaměstnanci tak, že zaměstnanec je oprávněn seznamovat se s osobními údaji pouze v rozsahu, který je nezbytný pro výkon práce zaměstnance a za zpracování těchto osobních údajů je odpovědný.
  2. Zaměstnanec je povinen seznámit se se stanoveným účelem a rozsahem zpracování těch osobních údajů, se kterými bude při výkonu práce přicházet do styku.
  3. Zaměstnanec se seznámí se stanoveným účelem a rozsahem zpracování osobních údajů prostřednictvím příslušných dokumentů.
  4. V rámci odpovědnosti zaměstnanců za zpracování osobních údajů nemohou zaměstnanci při zpracování osobních údajů překračovat rozsah zpracovávaných osobních údajů, který stanovil správce prostřednictvím příslušných dokumentů.
  5. Každý spolupracovník je proškolen tak, aby byla zajištěna ochrana osobních údajů, a to následovně:
    – Veškeré přístupové údaje (jméno, heslo) do informačního systému společnosti spolupracovník nikam nezaznamenává, ani je neposkytuje třetím (neoprávněným) osobám.
    – V případě úniku informací o přístupových údajích spolupracovník neprodleně kontaktuje svého nadřízeného. Přístupové údaje budou zneplatněny a nebude možné je nadále použít pro přístup do informačního systému. Spolupracovník získá nové přístupové údaje.
    – Spolupracovník postupuje s maximální obezřetností tak, aby veškeré osobní údaje byly uchovány na bezpečném místě, pod jeho dohledem. V případě opuštění místa uchovávání osobních údajů spolupracovník zabezpečí jejich ochranu (např. uzamčením, odhlášením z informačního systému společnosti).
    – Spolupracovník neposkytuje osobní údaje třetí osobě, která není oprávněna s těmito údaji nakládat. Osobní údaje, které má spolupracovník k dispozici, použije pouze za účelem, pro který byly poskytnuty. Zejména je nevyužívá pro potřeby a zájmy své vlastní ani třetích osob.
  6. Spolupracovník může zpracovávat osobní údaje klienta pouze v tomto rozsahu:
    – vkládání záznamů obsahujících osobní údaje do informačního systému společnosti, jejich změny, opravy, mazání.
    – vyhledávat osobní údaje v informačních systémech společnosti za účelem zajištění práv a povinností souvisejících s plněním závazků plynoucích ze smluvního vztahu se subjektem údajů;
    – práce s osobními údaji za účelem zajištění práv a povinností souvisejících s plněním závazků plynoucích ze smluvního vztahu se subjektem údajů;
  7. Pokud spolupracovník získá citlivý údaj, nesmí s ním nadále nakládat a uchovávat jej.

Článek X. – Povinnosti zaměstnanců při zpracování a zabezpečení osobních údajů

  1. Zaměstnanec je povinen zpracovávat osobní údaje pouze způsoby zpracování a v rozsahu, který je správcem stanoven.
  2. Zaměstnanec je povinen neumožnit neoprávněným osobám seznamovat se s osobními údaji. Za tímto účelem je zaměstnanec povinen zejména při odchodu z pracoviště dodržovat tzv. pravidlo čistého stolu, tedy nenechávat na stole dokumenty obsahující osobní údaje a odhlašovat se ze svého účtu na osobním počítači.
  3. Zaměstnanec je povinen zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.

Ćlánek XI. – Souhlas se zpracováním osobních údajů

  1. S výjimkou zákonem stanovených případů, kdy zpracování osobních údajů nevyžaduje souhlas zákazníka (viz § 5 zákona č. 101/ 2000 Sb., o ochraně osobních údajů, v platném znění) zpracovává společnost osobní údaje výhradně s písemným souhlasem zákazníka nebo potenciálního zákazníka.
  2. Souhlas zákazníka se zpracováním osobních údajů musí být správce schopen prokázat po celou dobu zpracování. Spolupracovník, který písemný souhlas od zákazníka obdržel, jej musí bez zbytečného odkladu archivovat v informačním systému společnosti, případně v listinné podobě na určeném místě v provozovně společnosti.
A) Odmítnutí udělení souhlasu, nesdělení osobních údajů
  1. Zákazník nebo potenciální zákazník není povinen udělit souhlas se zpracováním osobních údajů. Souhlas poskytuje zákazník zcela dobrovolně. Zákazník má právo odmítnout udělit souhlas se zpracováním osobních údajů.
  2. Potenciální zákazník není povinen poskytnout společnosti osobní údaje.
  3. Pokud zákazník odmítne poskytnout souhlas se zpracováním osobních údajů či odmítne poskytnout nezbytně nutné osobní údaje za účelem uzavření smluvního vztahu, musí být poučen o tom, že neposkytnutí souhlasu nebo osobních údajů zpravidla povede k neuzavření smlouvy nebo nemožnosti poskytnout jinak již dohodnutá plnění, případně nutnost taková plnění odmítnout.
B) Odvolání souhlasu se zpracováním osobních údajů
  1. Zákazník, který souhlasil se zpracováním osobních údajů, může svůj souhlas odvolat, a to písemně.
  2. Spolupracovník je povinen zákazníka informovat o jeho právu odvolat souhlas se zpracováním osobních údajů.
  3. Písemné odvolání souhlasu se zpracováním osobních údajů spolupracovník od zákazníka převezme a bez zbytečného odkladu předá nadřízenému pracovníkovi.
  4. Spolupracovník zákazníka poučí o tom, že v případě odvolání souhlasu se zpracováním osobních údajů, pokud již byl uzavřen smluvní vztah, povede toto odvolání zpravidla k nemožnosti poskytnout jinak již dohodnutá plnění, případně nutnost taková plnění odmítnout
  5. Spolupracovník zákazníka informuje o tom, že v některých případech zákon vyžaduje, aby společnost archivovala dokumenty obsahující osobní údaje, tudíž na tyto se nevztahuje souhlas se zpracováním osobních údajů.

Článek XII. – Závěrečná ustanovení

  1. Ochrana osobních údajů, která se doposud u zaměstnavatele uskutečňovala, se uvede do souladu s touto směrnicí do 1 měsíce ode dne účinnosti této směrnice.
  2. Všichni odpovědní zaměstnanci byli s touto směrnicí seznámení, což stvrzují níže svým podpisem, viz příloha č.1 této směrnice.
  3. Tato směrnice nabývá účinnosti dne 2. 1. 2018