OBSAH
1 Účel
2 Rozsah platnosti
3 Pojmy, definice a zkratky
4 Práva, povinnosti a odpovědnosti při zpracování osobních údajů
4.1 Vymezení jednotlivých rolí v oblasti přístupu k osobním údajům
4.2 Práva a povinnosti při zpracování osobních údajů
4.3 Povinnosti při zabezpečení osobních údajů
4.4 Ochrana práv subjektu osobních údajů
4.5 Oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů, kontrolní činnost nad dodržováním zákona o ochraně osobních údajů
4.6 Předávání osobních údajů do jiných států
5 Odpovědnost
6 Seznam souvisejících dokumentů
1 Účel
Směrnice stanovuje jednoznačné postupy při ochraně osobních údajů fyzických osob včetně práv a povinností při jejich zpracování.
Směrnice se vztahuje na veškeré zpracování osobních údajů, ať k němu dochází automatizovaně nebo jinými prostředky. Nevztahuje se na nahodilé shromažďování osobních údajů, pokud tyto nejsou dále zpracovávány. Zpracování osobních údajů pro účely statistické a archivnictví stanoví zvláštní zákony.
2 Rozsah platnosti
Směrnice je platná ve společnosti Forinel Trading SE.
3 Pojmy, definice a zkratky
Společnost: Forinel Trading SE
Ředitel: jednatel, pověřený řízením
Osobní údaj: jakákoli informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu
Citlivý údaj: osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů,
Anonymní údaj: takový údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů,
Správce: každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele,
Zpracovatel: každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje,
Vlastník procesu: vedoucí zaměstnanec, odpovědný podle organizačního řádu Společnosti za proces, v rámci kterého jsou zpracovávány osobní údaje, který odpovídá za plnění povinností při zpracování osobních údajů podle této směrnice,
Pověřená osoba: je určený zaměstnanec, pověřený ředitelem, který přichází do styku s osobními údaji v rámci svého pracovního poměru, který může osobní údaje zpracovávat jen na základě pokynu správce či zpracovatele a má odpovědnost za kontrolu procesu ochrany osobních údajů,
Subjekt údajů: fyzická osoba, k níž se vztahují osobní údaje,
Souhlas: souhlasem subjektu údajů je svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů,
Zpracování osobních údajů: jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. Zpracováním osobních údajů se rozumí i provozování informačních systémů nakládajících s osobními údaji,
Shromažďování osobních údajů: systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování,
Uchovávání osobních údajů: udržování údajů v takové podobě, která je umožňuje dále zpracovávat,
Blokování osobních údajů: operace nebo soustava operací, kterými se na stanovenou dobu omezí způsob nebo prostředky zpracování osobních údajů, s výjimkou nezbytných zásahů, likvidace osobních údajů, fyzické zničení jejich nosiče údajů, jejich fyzické vymazání, nebo jejich trvalé vyloučení z dalších zpracování,
ICT: informační a komunikační technologie,
Zákon: zákon č.101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších změn a doplňků.
4 Práva, povinnosti a odpovědnosti při zpracování osobních údajů
4.1 Vymezení jednotlivých rolí v oblasti přístupu k osobním údajům
4.1.1 Správcem osobních údajů podle Zákona je Společnost.
4.1.2 Zpracovatelem osobních údajů je každý organizační útvar Společnosti (zaměstnanci útvaru), kteří provádí zpracování osobních údajů (tj. osobní údaje shromažďují, ukládají, vyhledávají, upravují, třídí, kombinují, uchovávají, používají, zpřístupňují, předávají, zveřejňují, blokují a likvidují) při vedení či užívání jakékoli databáze, která obsahuje osobní údaje zaměstnanců.
4.1.3 Zpracovatelem osobních údajů v oblasti pracovně právní je personální úsek. Zpracování osobních údajů je prováděno za účelem dodržení právních povinností zaměstnavatele v souvislosti se zajištěním práv a povinností v oblasti pracovně právní. Personální úsek vede evidenci osobních údajů o zaměstnancích v personálním informačním systému a osobní spisy zaměstnanců dle § 312 zákona č. 262/2006 Sb., Zákoníku práce. Dále metodicky spravuje navazující HR aplikace a wokflow pro personální řízení, které zobrazují data z personálního informačního systému.
4.1.4 Zpracovatelem osobních údajů jsou v souvislosti se zajišťováním služeb i další organizační útvary Společnosti, a to zejména z důvodu vedení evidence v následujících oblastech, nikoliv však výhradně v nich:
– správa přístupových oprávnění uživatelů do ICT systémů
– správa technických ICT prostředků
– systém pro evidenci vstupů do areálu společností a evidenci docházky
– zajišťování metodických a kontrolních činností v oblasti bezpečnosti a ochrany zdraví při práci
– zajišťování realizace interního auditu a kontroly
– vedení finančního účetnictví
– koordinace procesu cestovních náhrad
– zajišťování procesu správy platebních karet
– evidence pokladních podpisových vzorů
– evidence plných mocí
– evidence majetku
– evidence pracovišť a pracovních prostředků zaměstnanců
– evidence řidičů služebních vozidel
4.1.5 Vlastník procesu, v rámci kterého jsou zpracovávány osobní údaje, je vedoucí zaměstnanec, odpovědný za daný proces podle organizačního řádu Společnosti. V rámci obecné odpovědnosti odpovídá za metodické řízení plnění povinností při zpracování osobních údajů podle této směrnice jednotlivými zpracovateli a příjemci, stanovování bezpečnostních opatření a koordinaci jejich plnění. Zajištění těchto úkolů může písemně delegovat na jiného zaměstnance v rámci své řídící působnosti.
4.1.6 Příjemcem osobních údajů jsou zaměstnanci a vedoucí zaměstnanci, kteří při své činnosti nakládají s dokumenty a užívají databáze a další systémy obsahující osobní údaje zaměstnanců.
4.1.7 Přístup k osobním údajům mají rovněž subjekty zajišťující technickou podporu pro správu databází a IT systémů používaných ve společnosti, ať se již jedná o zaměstnance Společností nebo zaměstnance externího dodavatele.
4.1.8 Pověřenou osobou je zaměstnanec určený ředitelem. Pověřená osoba:
– udržuje a aktualizuje dokumentaci týkající se ochrany osobních údajů;
– spolupracuje s Úřadem pro ochranu osobních údajů;
– podniká příslušné kroky v případě porušení pravidel pro ochranu a zpracování osobních údajů;
– identifikuje a analyzuje hrozby a zhodnocuje rizika týkající se porušení ochrany osobních údajů;
– vede školení týkající se nakládání s osobními údaji;
– plní informační povinnosti vůči subjektům osobních údajů;
– dohlíží na bezpečnost prostor, kde se zpracovávají osobní údaje;
– naplňuje technické a organizační požadavky kladené na zpracování osobních údajů a to v rámci systémů informačních technologií.
4.1.9 Subjekty dle bodu 4.1.2 – 4.1.8 musí při nakládání s osobními údaji dodržovat zásady bezpečnosti ochrany osobních údajů (viz kap. 4.2.; kap. 4.3.; kap. 4.4.; kap. 4.5.; kap. 4.7.; kap. 5.)
4.2 Práva a povinnosti při zpracování osobních údajů
4.2.1 Vlastník procesu je povinen:
a) stanovit účel, k němuž mají být osobní údaje zpracovány
b) stanovit prostředky a způsob zpracování osobních údajů
Každý zpracovatel, který v rámci procesu zpracovává osobní údaje je povinen:
a) zpracovávat pouze přesné osobní údaje. Zjistí-li, že jím zpracovávané osobní údaje nejsou s ohledem na stanovený účel pravdivé a přesné, je povinen je blokovat a bez zbytečného odkladu opravit nebo doplnit. Nelze-li je opravit nebo doplnit, musí je bez zbytečného odkladu zlikvidovat.
Nepravdivé, nepřesné nebo neověřené osobní údaje lze zpracovávat pouze v případě, stanoví-li tak zvláštní zákon. Tyto údaje se musí náležitě označit.
b) shromažďovat osobní údaje odpovídající pouze stanovenému účelu a v rozsahu nezbytném pro naplnění stanoveného účelu
c) uchovávat osobní údaje pouze po dobu, která je nezbytná k účelu jejich zpracování. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely státního statistického výkaznictví, pro účely vědecké a pro účely archivnictví. Při použití pro tyto účely je třeba dbát práva na ochranu před neoprávněným zasahováním do soukromého a osobního života subjektu údajů a osobní údaje anonymizovat, jakmile je to možné, Nakládání s dokumenty se řídí Spisovým řádem.
d) zpracovávat osobní údaje pouze v souladu s účelem, k němuž byly shromážděny. Zpracovávat k jinému účelu lze osobní údaj, jen pokud k tomu dal subjekt údajů souhlas.
e) shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje pod záminkou jiného účelu nebo jiné činnosti
f) nesdružovat osobní údaje, které byly získány k rozdílným účelům.
4.2.2 Správce a zpracovatel může zpracovávat osobní údaje pouze se souhlasem subjektu údajů. Bez tohoto souhlasu je může zpracovávat,
a) jestliže provádí zpracování nezbytné pro dodržení právních povinností správce
b) jestliže je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro jednání o uzavření nebo změně této smlouvy
c) pokud je to nezbytně třeba k ochraně životně důležitých zájmů subjektu údajů. V tomto případě je třeba bez zbytečného odkladu získat jeho souhlas. Pokud souhlas není dán, musí být zpracování ukončeno a údaje zlikvidovány.
d) jedná-li se o oprávněně zveřejněné osobní údaje v souladu se zvláštním předpisem. Tím však není dotčeno právo na ochranu soukromého a osobního života subjektu údajů.
e) pokud je to nezbytné pro ochranu práv a právem chráněných zájmů správce, příjemce nebo jiné dotčené osoby; takové zpracování údajů však nesmí být v rozporu s právem subjektu údajů na ochranu jeho soukromého a osobního života.
f) pokud poskytuje osobní údaje o veřejně činné osobě, funkcionáři či zaměstnanci veřejné správy, které vypovídají o jeho veřejné anebo úřední činnosti, o jeho funkčním nebo pracovním zařazení, nebo,
g) jedná-li se o zpracování výlučně pro účely archivnictví podle zvláštního zákona.
4.2.3 Ke zpracování osobních údajů z jiných důvodů než uvedených v článku 4.2.2 musí mít správce/zpracovatel souhlas subjektu údajů. Subjekt údajů musí být při udělení souhlasu informován o skutečnostech dle článku 4.3. Správce/zpracovatel musí být schopen prokázat souhlas subjektu údajů se zpracováním osobních údajů po celou dobu zpracování.
4.2.4 Provádí-li správce nebo zpracovatel zpracování osobních údajů na základě Zákona, je povinen dbát práva na ochranu soukromého a osobního života subjektu údajů.
4.2.5 Provádí-li správce nebo zpracovatel zpracování osobních údajů za účelem nabízení obchodu nebo služeb subjektu údajů, lze pro tento účel použít jméno, příjmení a adresu subjektu údajů, pokud tyto údaje byly získány z veřejného seznamu nebo v souvislosti s vlastní činností správce nebo zpracovatele. Správce nebo zpracovatel však nesmí uvedené údaje dále zpracovávat, pokud s tím subjekt údajů písemně vyslovil nesouhlas. Bez souhlasu subjektu údajů nelze k uvedeným údajům přiřazovat další osobní údaje.
4.2.6 Jestliže zpracovatel zjistí, že správce/vlastník procesu porušuje povinnosti stanovené Zákonem, je povinen jej na to neprodleně upozornit a ukončit zpracování osobních údajů. Pokud tak neučiní, odpovídá za škodu, která subjektu údajů vznikla, společně a nerozdílně se správcem údajů/vlastníkem procesu.
4.2.7 Citlivé údaje je možno zpracovávat, jestliže:
a) subjekt údajů dal ke zpracování výslovný souhlas. Subjekt údajů musí být při udělení souhlasu informován o tom, pro jaký účel zpracování a k jakým osobním údajům je souhlas dáván, jakému správci/zpracovateli je souhlas dáván a na jaké období. Subjekt údajů může souhlas kdykoliv odvolat. Správce/zpracovatel musí být schopen prokázat souhlas subjektu údajů se zpracováním osobních údajů po celou dobu zpracování. Správce je povinen předem subjekt údajů poučit o jeho právech podle § 12 a 21 Zákona (viz čl. 4.4.).
b) je to nezbytné v zájmu zachování života nebo zdraví subjektu údajů nebo jiné osoby nebo odvrácení bezprostředního závažného nebezpečí hrozícího jejich majetku, pokud není možno jeho souhlas získat zejména z důvodů fyzické, duševní či právní nezpůsobilosti, v případě, že je nezvěstný nebo z jiných podobných důvodů. Jakmile pominou uvedené důvody, musí být údaje zlikvidovány.
c) se jedná o zpracování při zajišťování zdravotní péče, ochrany veřejného zdraví, zdravotní pojištění a výkon státní správy v oblasti zdravotnictví nebo posuzování zdravotního stavu podle zvláštního zákona
d) je zpracování nezbytné pro dodržení povinností a práv zaměstnavatele odpovědného za zpracování v oblasti pracovního práva a zaměstnanosti
e) se jedná o údaje podle zvláštního zákona nezbytné pro provádění nemocenského pojištění, důchodového pojištění (zabezpečení), státní sociální podpory a dalších státních sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi, a sociálně-právní ochrany dětí, a při zajištění ochrany těchto údajů v souladu se zákonem,
f) se zpracování týká osobních údajů zveřejněných subjektem údajů,
g) je zpracování nezbytné pro zajištění a uplatnění právních nároků,
h) jsou zpracovány výlučně pro účely archivnictví podle zvláštního zákona, nebo
i) se jedná o zpracování podle zvláštních zákonů při předcházení, vyhledávání, odhalování trestné činnosti, stíhání trestných činů a pátrání po osobách.
4.2.8 Pověřená osoba má následující povinnosti:
a) poskytuje potřebou součinnost Úřadu pro ochranu osobních údajů;
b) posoudí před započetím zpracování osobních údajů v informačním systému, zda jejich zpracováním nevzniká riziko/nebezpečí narušení práv a svobod subjektů údajů. Veškerá zjištění o porušení práv a povinností je pověřená osoba povinna okamžitě napravit, pokud to není možné, nahlásí každé takové porušení;
c) vykonává dohled nad plněním základních povinností zpracovatele dle zákona o ochraně osobních údajů;
d) vyřizuje žádosti subjektů údajů dle zákona o ochraně osobních údajů;
e) je odpovědná za realizaci technických, organizačních a personálních opatření;
f) dohlíží na výběr Zpracovatele, přípravu písemné smlouvy, odpovídá za obsah takovéto smlouvy a za dodržování sjednaných podmínek;
g) dohlíží na přeshraniční tok osobních údajů;
h) přihlašuje informace týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování u Úřadu pro ochranu osobních údajů a oznamuje jejich změny.; dále vede evidenci informačních systémů, které nepodléhají registraci u Úřadu pro ochranu osobních údajů.
4.3 Povinnosti při zabezpečení osobních údajů
4.3.1 Vlastník procesu je povinen navrhnout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů.
4.3.2 Vlastník procesu posuzuje rizika týkající se:
a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům
b) zabránění přístupu neoprávněným osobám k osobním údajům a k prostředkům jejich zpracování
c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje
d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány
4.3.3 V oblasti automatizovaného zpracování (informačních systémech) osobních údajů je vlastník procesu povinen také:
a) zajistit, aby systémy pro automatizované zpracování osobních údajů používaly pouze oprávněné osoby
b) zajistit, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby
c) pořizovat elektronické záznamy, které umožní ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány
d) zabránit neoprávněnému přístupu k datovým nosičům. Při zajištění těchto povinností vlastník procesu spolupracuje s IT podporou pro daný ICT systém.
4.3.4 Vlastník procesu je povinen zpracovat a dokumentovat přijatá a provedená technicko-organizační opatření k zajištění ochrany osobních údajů.
4.3.5 Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu správcem nebo zpracovatelem stanoveném.
4.3.6 Správce nebo zpracovatel je povinen provést likvidaci osobních údajům jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů v souladu s článkem 4.2.2.
4.4 Ochrana práv subjektu osobních údajů
4.4.1 Správce/zpracovatel je při shromažďování osobních údajů povinen subjekt údajů informovat:
– o tom, v jakém rozsahu a pro jaký účel budou osobní údaje zpracovány,
– kdo a jakým způsobem bude osobní údaje zpracovávat,
– komu (jakým příjemcům, případně kategorii příjemců) mohou být osobní údaje zpřístupněny,
nejsou-li subjektu údajů tyto informace již známy. Správce/zpracovatel dále musí subjekt údajů informovat:
– o jeho právu přístupu k osobním údajům,
– o právu na opravu osobních údajů,
– zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle zvláštního zákona osobní údaje pro zpracování poskytnout, poučí ho správce/zpracovatel o následcích odmítnutí poskytnutí osobních údajů.
Požádá-li subjekt údajů o informaci o zpracování svých osobních údajů, je mu správce/zpracovatel povinen na základě písemné žádosti poskytnout informace o osobních údajích o něm zpracovávaných.
4.4.2 Subjekt údajů, který zjistí nebo se domnívá, že správce, zpracovatel nebo pověřená osoba provádí zpracování jeho osobních údajů, které je v rozporu s ochranou soukromého nebo osobního života nebo v rozporu se zákonem, může:
– požádat správce nebo zpracovatele o vysvětlení,
– požadovat nápravu takového stavu, zejména se může jednat o blokování, provedení opravy, doplnění nebo likvidaci osobních údajů.
Je-li žádost subjektu údajů shledána oprávněnou, správce nebo zpracovatel odstraní neprodleně závadný stav.
4.5 Oznamovací povinnosti vůči Úřadu pro ochranu osobních údajů, kontrolní činnost nad dodržováním zákona o ochraně osobních údajů
4.5.1 Zpracování osobních údajů, které není dáno důvody uvedenými v článku 4.2.2, podléhá oznamovací povinnosti podle § 16 Zákona. V těchto případech je správce povinen tuto skutečnost písemně oznámit v předepsané formě Úřadu pro ochranu osobních údajů. Úřad pro ochranu osobních údajů vede Registr zpracování osobních údajů.
4.5.2 Vlastník procesu je povinen konzultovat nutnost plnění oznamovací povinnosti s personálním úsekem Společnosti, který v případě potřeby zajistí přípravu oznámení Úřadu pro ochranu osobních údajů.
4.5.3 Oznamovací povinnost se vztahuje i na případy změn v již registrovaných oznámeních o zpracování osobních údajů.
4.5.4 Oznamovací povinnost se nevztahuje na zpracování osobních údajů, které správci ukládá zákon nebo je takových osobních údajů třeba k uplatnění práv a povinností vyplývajících ze zákona.
Vlastník procesu, funkčně odpovědný za takové zpracování osobních údajů, je povinen zajistit, aby informace, týkající se zejména účelu zpracování, kategorií osobních údajů, kategorií subjektů údajů, kategorií příjemců a doby uchování, které by byly jinak přístupné prostřednictvím registru vedeného Úřadem pro ochranu osobních údajů, byly k dispozici pro případ případné kontroly ze strany Úřadu pro ochranu osobních údajů.
4.5.5 Jestliže správce hodlá ukončit svoji činnost, je povinen Úřadu pro ochranu osobních údajů neprodleně oznámit, jak naložil s osobními údaji, pokud se na jejich zpracování vztahuje oznamovací povinnost.
4.5.6 Úřad pro ochranu osobních údajů provádí dozor nad dodržováním povinností při zpracování osobních údajů stanovených Zákonem. Při provádění kontroly jsou inspektoři úřadu oprávněni:
a) vstupovat do objektů, zařízení a provozů, na pozemky a do jiných prostor kontrolovaných správců a zpracovatelů nebo každého, kdo zpracovává osobní údaje, pokud to souvisí s předmětem kontroly,
b) požadovat na kontrolovaných, aby ve stanovených lhůtách předložili originální doklady a další písemnosti, záznamy dat na paměťových médiích, výpisy a zdrojové kódy programů, výpisy a opisy dat (dále jen doklady), pokud to souvisí s předmětem kontroly, a provádět vlastní dokumentaci,
c) seznamovat se s utajovanými informacemi za podmínek stanovených zvláštním právním předpisem, jakož i dalšími skutečnostmi, které jsou chráněny povinností mlčenlivosti,
d) požadovat na fyzických i právnických osobách poskytnutí pravdivých a úplných informací o zjišťovaných a souvisejících skutečnostech,
e) zajišťovat v odůvodněných případech doklady; jejich převzetí musí kontrolovanému písemně potvrdit a na jeho žádost mu nechat kopie převzatých dokladů
f) pořizovat kopie obsahu paměťových médií, obsahujících osobní údaje, nacházejících se u kontrolovaného
g) požadovat, aby kontrolovaní podali ve stanovené lhůtě písemnou zprávu o odstranění zjištěných nedostatků,
h) používat telekomunikační zařízení kontrolovaných v případech, kdy je jejich použití nezbytné pro zabezpečení kontroly.
4.5.7 Oblast správních deliktů a výše pokut je řešena v Hlavě VII Zákona.
4.6 Předávání osobních údajů do jiných států
4.6.1 Volný pohyb osobních údajů nemůže být omezován, pokud jsou údaje předány do členského státu Evropské unie. Do třetích zemí mohou být osobní údaje předány, pokud zákaz omezování volného pohybu osobních údajů vyplývá z mezinárodní smlouvy, k jejíž ratifikaci dal Parlament souhlas, a kterou je Česká republika vázána,1a) nebo jsou osobní údaje předány na základě rozhodnutí orgánu Evropské unie. Informace o těchto rozhodnutích zveřejňuje Úřad ve Věstníku.
Pokud nejsou splněny podmínky dle předchozích vět, předání osobních údajů do jiných států může být uskutečněno, jestliže správce prokáže, že:
a) předání údajů se děje se souhlasem nebo na základě pokynu subjektu údajů
b) jsou v třetí zemi, kde mají být osobní údaje zpracovány, vytvořeny dostatečné zvláštní záruky ochrany osobních údajů, například prostřednictvím právních nebo profesních předpisů a bezpečnostních oprávnění. Takové záruky mohou být upřesněny zejména smlouvou uzavřenou mezi správcem a příjemcem, pokud tato smlouva zajišťuje uplatnění těchto požadavků nebo pokud smlouva obsahuje smluvní doložky pro předání osobních údajů do třetích zemí, zveřejněné ve Věstníku Úřadu, jde o osobní údaje, které jsou na základě zvláštního zákona součástí datových souborů veřejně přístupných nebo přístupných tomu, kdo prokáže právní zájem, v takovém případě lze osobní údaje zpřístupnit jen v rozsahu a za podmínek stanovených zvláštním zákonem
c) je předání nezbytné pro uplatnění důležitého veřejného zájmu vyplývajícího ze zvláštního zákona nebo z mezinárodní smlouvy, kterou je Česká republika vázána
d) je předání nezbytné pro jednání o uzavření nebo změně smlouvy, uskutečněného z podnětu subjektu údajů nebo pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů
e) je předání nezbytné pro plnění smlouvy uzavřené v zájmu subjektu údajů mezi správcem a třetí stranou nebo pro uplatnění jiných právních nároků
f) je předání nezbytné pro ochranu práv nebo životně důležitých zájmů subjektu údajů, zejména pro záchranu života nebo pro poskytnutí zdravotní péče.
4.6.2 Před předáním osobních údajů do třetích zemí podle odstavce 4.6.1 je správce povinen požádat Úřad o povolení k předání, nestanoví-li zvláštní zákon jinak. Při posuzování žádosti Úřad přezkoumá všechny okolnosti související s předáním osobních údajů, zejména zdroj, konečné určení a kategorie předávaných osobních údajů, účel a dobu zpracování, s přihlédnutím k dostupným informacím o právních nebo jiných předpisech upravujících zpracování osobních údajů ve třetí zemi. V povolení k předání Úřad stanoví dobu, po kterou může správce předání provádět. Pokud dojde ke změně podmínek, za kterých bylo povolení vydáno, zejména na základě rozhodnutí orgánu Evropské unie, Úřad toto povolení změní nebo zruší.
5 Odpovědnost
5.1 V souladu s touto směrnicí jsou všichni zaměstnanci povinni dodržovat zásady bezpečnosti ochrany osobních údajů, tj. počínat si tak, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i jinému zneužití osobních údajů. Porušení zásad bezpečnosti ochrany osobních údajů je považováno za porušení pracovní kázně.
5.2 Vedoucí zaměstnanci na všech stupních řízení odpovídají za kontrolu dodržování této směrnice.
5.3 Vedoucí zaměstnanec, odpovědný podle organizačního řádu Společnosti za proces, v rámci kterého jsou zpracovávány osobní údaje, odpovídá v rámci své působnosti jako vlastník procesu za to, že zpracování osobních údajů při realizaci procesu bude v souladu se Zákonem a touto směrnicí. Povinnosti vlastníka procesu může delegovat na jiného zaměstnance v rámci své řídící působnosti. V případě, že vlastník procesu tuto osobu neurčí, odpovídá osobně za plnění povinností souvisejících s vedením databáze.
5.4 V případě požadavku nového zpracování (změně zpracování) osobních údajů v rámci příslušného úseku, konzultuje vlastník procesu plnění požadavků Zákona s právním odborem Společnosti. Odpovědnost za kontrolu procesu ochrany osobních údajů dle čl. 4.2.8 má pověřená osoba.
5.5 Vedoucí zaměstnanci jsou povinni zajistit, aby při nakládání s osobními údaji jím podřízených zaměstnanců v rámci personálního řízení nemohlo dojít k neoprávněnému přístupu k osobním údajům ze strany osob bez zákonného oprávnění přístupu k osobním údajům (např. umožněním přístupu jiným osobám do databází pod jejich vlastním přihlášením nebo při distribuci tiskových dokumentů v rámci řízeného organizačního útvaru).
5.6 Zásady bezpečného zacházení s osobními údaji se vztahují i na nakládání s osobními údaji uchazečů v rámci výběrových řízení na obsazení volných pracovních pozic ve Společnosti.
5.7 Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem, a další osoby, které v rámci plnění zákonem stanovených oprávnění a povinností přicházejí do styku s osobními údaji, jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací.
5.8 Organizační útvary odpovědné za uzavírání dodavatelsko-odběratelských smluv jsou v případě, že předmět díla souvisí s přístupem k osobním údajům zaměstnanců společnosti (např. smlouvy o zajištění technické podpory ICT systémů, realizace IT projektů apod.), odpovídají za uzavření Dohody o mlčenlivosti, ochraně informací a zákazu jejich zneužití. Tato povinnost se týká zejména úseku IT Společnosti a všech dalších organizačních útvarů, které odpovídají za technickou správu databází a ICT systémů obsahujících osobní údaje. Originály podepsaných dohod budou evidovány na personálním úseku.
5.9 Vlastník procesu odpovídá za informování subjektu údajů v rozsahu článku 4.4.1. v souvislosti s tímto procesem. Za informování zaměstnanců Společnosti o zpracování osobních údajů v oblasti pracovně právní odpovídá personální úsek.
5.10 Personální úsek rovněž odpovídá za smluvní zajištění mlčenlivosti o osobních údajích se zaměstnanci, kteří v souvislosti s výkonem činnosti přicházejí do styku s osobními údaji. U nově nastupujících zaměstnanců je tento závazek standardně součástí pracovně právních dokumentů – pracovní smlouvy, dohody o pracovní činnosti nebo dohody o provedení práce. V případě požadavku na zajištění podpisu smluvního ujednání o mlčenlivosti u stávajících zaměstnanců je vedoucí zaměstnanec povinen obrátit se na personální úsek za účelem prověření a případně zajištění podpisu příslušného ujednání.
6 Seznam souvisejících dokumentů
Zákon č.101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších změn a doplňků
Zákon č. 262/2006 Sb., zákoník práce, ve znění pozdějších změn a doplňků
Podpisový řád Ř – 02/4