Váš nákupný košík je momentálne prázdny.
Přidejte produkty do košíku.Organizační směrnice PURTEX
Organizační směrnice pro zpracování a ochranu osobních údajů v organizaci.
Podle ustanovení nařízení Evropského parlamentu a rady (EÚ) 2016/679, z 27. dubna 2016 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu takovýchto údajů (dále jen GDPR) a podle ustanovení zákona 18/2018 z.z, z 29. listopadu 2017 o ochraně osobných údajů a o změně a doplnení některých zákonů(dále jen ZoOOÚ)
Obsahuje technické a organizační opatření, které se naše společnost zavázala dodržovat, protože je podle článku 24 GDPR s ohledem na povahu, rozsah, kontext a účely zpracování, jako i na rizika s různou pravděpodobností a závažností pro práva a svobody fyzických osob zodpovědná, aby zabezpečila a byla schopná prokázat, že zpracování se vykonává v souladu s nařízením GDPR.
Společnost: Purtex organizační složka podniku zahraniční osoby
Název: Purtex
Sídlo: Kopčianská 35, 908 51 Holíč
IČO: 48 069 175
Dozorový orgán:
Úřad na ochranu osobních údajů Slovenské republiky
Hraničná 12, 820 07 Bratislava 27
Tel: 02/ 32 31 3214
E-mail: statny.dozor@pdp.gov.sk
(dále jen „dozorný orgán“)
1.Vymezení základních pojmů:
Dotčentá osoba: každá fyzická osoba, které se osobní údaje zpracovávájí
Provozovatelem, každý, kdo sám, nebo společně s jinými vymezí účel a prostředky zpracovávání osobních údajů a zpracovává osobní údaje ve vlastním jménu;
provozovatel, nebo konkrétní požadavky na jeho určení, můžou býti stanovené ve zvlástním předpisu, nebo v mezinárodní smlouvě kterou je Slovenská republika vázaná, poud takovýto předpis,nebo takováto smlouva stanovuje účel a prostředky zpracovávání osobních údajů
zprostředkovatelem .
Každý, kdo zpracovává osobní údaje ve jménu provozovatele ,
zpracováváním osobních údajů .
zpracovatelská operace, nebo soubor zpracovatelských operací s osobními údaji, nebo soubory s osobními údaji, zejména získávání,zaznamenávání, uspořádání, strukturování, uchováváná, zaznamenávání a vyhledávání ,prohledávání, využívání, poskytování přenosem, šířením, nebo jným způsobem, přeskupování, nebo kombinování,obmezování, vymazávání, bez ohledu na to, či se vykonává automatizovanými prostředky, nebo neautomatizovanými prostředky,
souhlasem dotčené osoby.
Jakýkoli vážný a svobodně daný konkrétní, informovaný a jednoznačný projev vůle dotčené osoby ve formě vyhlášení, či jednoznačného potrzujícího úkonu, kterým dotčená osoba vyjadřuje souhlas se zpacováním svých osobních údajů.
Informačním systémem jakoli uspořádaný soubor osobních údajů ktetré jsou přístupné podle určených kritérií, bez ohledu na to, či jde o systém centralizovaný, decentralizovaný, nebo distribuovaný na funkčním základě, nebo geografickém základě,
biometrickými údaji:
osobní údaje, které jsou výsledkem osobitého technického zpracovávání osobních údaků,týkajících se fyzických charakteristických znaků fiyzické osoby, fyziologických charakteristických znaků fyzicé osoby,nebo behaviorálních charakteristických znaků fyzické osoby a které umožňují jedinečnou identifikaci, anebo potvrzují jedinečnou idetifikaci této fyzické osoby, jako vyobrazení tváře, nebo daktyloskopické údaje.
Omezením zpracovávání osobních údajů:
označování uchovávaných osobních údajů s cílem omezit jejich zpracovávání v budoucnosti, profilováním a jakákoli forma automatizovaného zpracovávání osobních údajů spočívající v použití osobních údajů na vyhodnocení určitých osobních znaků, nebo charakteriistik, týkajících se fyzické osoby, zejména analýzu, nebo předvídání znaků, nebo charakteristik dotčené osoby, související s jejím výkonem v prací, majetkovými poměry, zdravím,osobními preferncemi, zájmy,spolehlivostí, chováním, polohou, nebo pohybem.
Pseudonymizací:
zpracování osobních údajů způsobem,pokud je není možné přiřadit ke konkrétní dotčené osoby, bez použití dodatečných informací,pokud se takovéto dodatečné informace uchovávájí oddělene a vztahují se na ně technické a organizační opatření na zabezpečení toho, aby osobní údaje nebylo možné přiřadit identifikované fyzické osobě, nebo identifikaci fyzické osoby.
Šifrováním:
Transformace osobních ůdajů způsobem, kterým opětovné zpracovávání je možné pouze po zadaní zvoleného parametru, jako je klíč,nebo heslo.
Online identfikátorem:
Identifiátor poskytnutý aplikací, nástrojem, nebo protokolem, zejména IP adresou, cookies, přihlašovací údaje či online služeb,radiofrekvenčí identifikace, které můžou zanechat stopy, které se zejména v kombinaci s jedinečnými identifiátory,nebo jinými informacemi mohou použít na vytvoření profilu dotčené osoby a na její identifikaci.
Porušením ochrany osobních údajů:
Porušení bezpečnosti, které vede k náhodnému, nebo nezákonnému zničení, ztátě, změně, nebo k neoprávněnému poskytování, přenášení,uchovávání osobních údajů, nebo jinak zpracovaných osobních údajů, nebo k neoprávněnému přístupu k nim.
Příjemcem:
Každý, komu se osobní údaje poskytnou bez ohledu na to, jestli je třetí stranou.
Za příjemce se nepovažuje orgán veřejné moci, který zpracovává osobní údaje na základě
zvláštního předpisu, nebo mezinárodní smlouvy, kterou je Slovenská republika vázaná v souladu s pravidly ochrany osobních údajů vtahujícími se daný účel zpracování osobních údajů.
Třetí stranou:
Každý, kdo není dotčenou osobou,provozovatelem, zprostředkovatelem, nebo jinou fyzickou osobou, která na základě pověření provozovatele, nebo zprostředkovatele zpracovává osobní údaje.
2: Mapování osobních údajů:
Naše spoečnost se v tomto kroku rozhodla definovat, jaké osobní údaje zpracovává, aby byla schopná zanalyzovat zpracování osobních údajů a zabezpečit v souladu s GDPR.
Jednotlivé kategore osobních údajů, si zadefinujeme jako jednotlivé informační systémy.(IS)
1) ISZákazníci:
Jméno, příjmení, titul, ulice a číslo,PSČ, město, email, telefonní kontakt,IĆO,DIĆ,přihašovací jméno, heslo, údaje k reklamci, cookies, IP adresa.
Účel zpracování:
Vystavení daňového dokladu, smluvní a předsmluvní vztahy, reklamace, nabídka zboží a služeb.
2) IS Mzdy a personalistika:
Osobní údaje zaměstnanců-jméno,příjmení, titul,trvalý pobyt-ulice a číslo,PSĆ,město, datum narození, rodné číslo, číslo bankovního účtu(IBAN), název zdravotní pojišťovny, doplňkové důchodové spoření, číslo OP, email, telefonní kontakt, nejvyšší ukončené vzdělání, základní mzda, osobní ohodnocení, začátek a konec časového úseku, v kterém zaměstnanec vykonával práci, práce přesčas, práce v noci, pracovní pohotovost, PN,dovolená, lékař, služební cesta.
Osobní údaje rodinných příslušníků zaměstnanců:
Jména, příjmení a rodná čísla rodinných příslušníků, kopie rodného listu dítěte zaměstnance.
Osobní údaje žadateů o zaměstnání:
jméno, příjmení, titul, vzdělání, praxe, email, telefonní kontakt
Účel zpracování:
Odvody do sociální pojišťovny, odvody do zdravotní pojšťovny,plnění povinností zaměstnavatele souvisejících s pracovním poměrem se zaměstnancem, evidence žadatalů a zaměstnání, evidence docházky, lékařské posudky.
a) IS Kamerový systém
Tvář monitorované fyzické osoby a jiné rysy osoby, které mohou být odhalené kamerovým systémem.
Účel zpracování: ochrana práv a majetku:
b) IS Marketing
Emailové adresy, telefonické kontakty, IP adresy, cookies
Účel zpracování: analýza nastavení nabídky, analýza sledovaných metrik, remarketingová nabídka, zasílání marketingových a reklamních emailů.
c) IS online identifikátory
IP adresa, cookies, přihlašovací údaje do online služeb.
Účel zpracování:
Identifikace uživatele webstránky, přihlášení se uživatele do online služeb.
1) IS BOZP
Jméno, příjmení, datum a druh školení.
Účel zpracování: : evidence školení BOZP
3: Zásady zpracování osobních údajů (článek 5 v GDPR)
Naše společnost bude dodržovat následující zásady zpracování osobních údajů:
3.1. Zákonnost, spravedlnost a transparentnost (článek 5 ods.1 písm a) GDPR)
osobní údaje budou zpracovávány zákonným způsobem, spravedlivě a transparentně ve vztahu k dotčené osobě („zákonnost, spravedlnost a transparentnost“)
Zákonnost zpracování (článek 6 GDPR)
Naše společnost se zavazuje zpracovávat údaje jen zákonným způsobem tak, aby nedošlo k porušení základních práv dotknuté osoby.
Zpracování osobních údajů naší společností, bude zákonné a to zabezpečením, že se vykonává na základě alespoň jednoho z těchto právních základů:
1: dotčená osoba vyjádřila souhlas se zpracováním osobních údajů na jeden, nebo více konkrétních účelů.
2: zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je dotčená osoba, nebo aby byla na žádost dotčené osoby provedena opatření před uzavřením smlouvy;
2. zpracování osobních údajů je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána (§ 13 odst. 1 písm. c ZoOOÚ)
3. 3. zpracování je nezbytné, aby se ochránily životně důležité zájmy dotčené osoby, nebo jiné fyzické osoby;
4. 4. zpracování je nezbytné pro splnění úkolu realizovaného ve veřejném zájmu, nebo při výkonu veřejné moci svěřené provozovateli;
5. 5. zpracování je nezbytné pro účely oprávněných zájmů, které sleduje provozovatel, nebo třetí strana, s výjimkou případů, kdy nad takovými zájmy převažují zájmy, nebo základní práva a svobody dotčené osoby, které vyžadují ochranu osobních údajů, zejména pokud je dotčenou osobu dítě.
Právní základy pro jednotlivé účely zpracování osobních údajů jsou definovány v záznamech o zpracovatelských činnostech.
3.2.Zásada omezení účelu (čl. 5 odst. 1 písm. b) GDPR)
Naše společnost bude získávat osobní údaje pouze pro konkrétně určené, výslovně uvedené a legitimní účely a nesmí se dále zpracovávat způsobem, který není slučitelný s těmito účely. Naše společnost informuje dotčenou osobu o účelu zpracování osobních údajů před jejich zpracováním.
V části mapování osobních údajů ,jsme si stanovili účely zpracování jednotlivých IS a osobní údaje budeme zpracovávat pouze pro účely uvedené v této části.
3.3.Zásada minimalizace osobních údajů (čl. 5 odst. 1 písm. c) GDPR)
Naše společnost bude zpracovávat osobní údaje tak, aby toto zpracování bylo přiměřené, relevantní a omezené na nezbytný rozsah daný účelem, pro který se zpracovávají,s cílem zajistit minimalizaci osobních údajů se naše společnost rozhodla zanalyzovat, zda jsou zpracovávané údaje přiměřené, relevantní a omezené na rozsah, který je nezbytný vzhledem k účelům, pro které se zpracovávají.
Výsledky analýzy minimalizace údajů jsou uvedeny v záznamech o zpracovatelských činnostech.
3.4.Zásada správnosti (čl. 5 odst. 1 písm. d) GDPR)
Naše společnost bude zpracovávat osobní údaje tak, aby byly správné a podle potřeby aktualizovány; a přijme přiměřená a účinná opatření k zajištění toho, aby se osobní údaje, které jsou nesprávné z hlediska účelů, pro které jsou zpracovávány, bez zbytečného odkladu vymazány, nebo opraveny.
K zajištění zásady správnosti má naše společnost v písemném souhlasu se zpracováním osobních údajů následující formulaci:
„Dotčená osoba je povinna poskytnout pravdivé a aktuální osobní údaje. V případě změny osobních údajů je dotčená osoba povinna změnu neprodleně oznámit provozovateli.“
3.5.Zásada minimalizace uchovávání (čl. 5 odst. 1 písm. e) GDPR)
Osobní údaje bude naše společnost uchovávat ve formě, která umožňuje identifikaci dotčené osoby nejpozději do té doby, než je to potřebné pro účel, pro který se osobní údaje zpracovávají.
3.6.Zásada integrity a důvěrnosti (čl. 5 odst. 1 písm. f) GDPR)
Osobní údaje budou v naší společnosti zpracovávány způsobem, který zaručuje přiměřenou bezpečnost osobních údajů, včetně ochrany před neoprávněným zpracováváním osobních údajů, nezákonným zpracováním osobních údajů, náhodnou ztrátou osobních údajů, výmazem osobních údajů, nebo poškozením osobních údajů a to prostřednictvím přiměřených technických ,nebo organizačních opatření.
Osobní údaje uložené v elektronické podobě.
Naše společnost používá antivirus a firewall od společnosti Eset a PF Sense.
Náš server má automatickou zálohu dat.
Naše podniková síť je chráněna heslem, které vědí pouze oprávněné osoby a využíváme protokol WPA.
Počítač s osobními údaji je chráněn heslem, které vědí pouze oprávněné osoby. Přístupová práva zaměstnanců přiděluje IT oddělení společnosti, na základě informace od nadřízených.
Osobní údaje jsou uchovávány ve složkách, ke kterým mají práva pouze oprávněné osoby.
Přístupová práva zaměstnanců do jednotlivých programů, které zpracovávají osobní údaje přiděluje IT oddělení společnosti na základě informace od nadřízených.
Přístup do programů mají pouze oprávněné osoby.
Osobní údaje zpracovávané na eshopu jsou chráněny heslem a automaticky zálohovány na serveru, přístup k nim mají pouze oprávněné osoby.
Osobní údaje uložené v papírové (vytištěné) podobě- Fyzické dokumenty, jsou uloženy v obalech a v šanonech, čímž je zajištěna ochrana před poškozením.
Šanony s fyzickými dokumenty jsou uloženy: v zamčené kanceláři v archivu
Tak je zajištěno, že se k těmto dokumentům dostanou pouze oprávněné osoby.
3.7.Zásada odpovědnosti (čl. 5 odst. 2 GDPR)
Naše společnost je zodpovědná za dodržování základních zásad zpracování osobních údajů, za soulad zpracování osobních údajů se zásadami zpracování osobních údajů a je povinna tento soulad se zásadami zpracování osobních údajů na požádání úřadu prokázat.
4.Podmínky poskytnutí souhlasu se zpracováním osobních údajů (článek 7 GDPR)
Společnost zajistí splnění následujících podmínek při vyjádření souhlasu dotčenou osobou, souhlas se zpracováním osobních údajů musí být vyjádřen svobodně, konkrétně, informovaně a jednoznačným projevem vůle.
Žádost o vyjádření souhlasu musí být předložena tak, aby byla jasně odlišitelná od těchto jiných skutečností, ve srozumitelné a snadno dostupné formě a formulována jasně a jednoduše.
Dotčenáosoba má právo kdykoli odvolat svůj souhlas.
Odvolání souhlasu nemá vliv na zákonnost zpracování vycházejícího ze souhlasu před jeho odvoláním.
Před poskytnutím souhlasu musí být dotčená osoba o této skutečnosti informována. Odvolání souhlasu musí být tak jednoduché jako jeho poskytnutí.
5.Podmínky použitelné na souhlas dítěte v souvislosti se službami informační společnosti (článek 8 GDPR) Pokud se poużije ćl. 1 písm. a),
v souvislosti s nabídkou služeb informační společnosti adresovanou přímo dítěti je zpracování osobních údajů dítěte zákonné, jen pokud je dítěti méně,než 16 let.
Je-li dítě mladší 16 let, takové zpracování je zákonné pouze za podmínky a v rozsahu, v jakém takový souhlas vyjádřil nebo schválil nositel rodičovské zodpovědnosti.
Naše společnost vynaloží přiměřené úsilí, aby si v takových případech ověřila, že nositel rodičovské zodpovědnosti vyjádřil souhlas nebo jej schválil, přičemž zohlední dostupnou technologii.
6.Zpracování zvláštních kategorií osobních údajů (článek 9 GDPR)
Podle GDPR se zakazuje zpracování osobních údajů, které odhalují rasový nebo etnický původ, politické názory, náboženské, nebo filozofické přesvědčení ,nebo členství v odborových organizacích, a zpracování genetických údajů, biometrických údajů pro individuální identifikaci fyzické osoby, údajů týkajících se zdraví ,nebo údajů týkajících se sexuálního života, nebo sexuální orientace fyzické osoby.
Tento zákaz se však nepoužije, platí-li některá z podmínek či. 2 GDPR písm. a)–j) Nejčastěji jeden z bodů a) nebo b) čl. 2 GDPR:
a) dotčená osoba vyjádřila výslovný souhlas se zpracováním těchto osobních údajů pro jeden, nebo více určených účelů, s výjimkou případů, kdy se v právu Unie nebo v právu členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže dotčená osoba zrušit;
b)zpracování je nezbytné pro účely plnění povinností a výkonu zvláštních práv provozovatele, nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany .
Naše společnost zpracovává údaje týkající se zdraví na základě podmínky čl. 2 GDPR písm. b) zpracování je nezbytné pro plnění povinností a výkonu zvláštních práv provozovatele nebo subjektu údajů v oblasti pracovního práva a práva sociálního zabezpečení a sociální ochrany Konkrétně jde o:
a) údaje z lékařského posudku způsobilosti k práci, které zpracováváme na právním základě Čl. 1. písmeno c) GDPR - zpracování osobních údajů je nezbytné podle zvláštního předpisu, nebo mezinárodní smlouvy, kterou je Slovenská republika vázána.
Především podle zákona 355/2007 Sb. o ochraně, podpoře a rozvoji veřejného zdraví
b) údaje o PN a lékařských vyšetřeních, které zpracováváme na právním základě Čl. 1. písmeno c) GDPR - zpracování osobních údajů je nezbytné podle zvláštního předpisu nebo mezinárodní smlouvy, kterou je Slovenská republika vázána.
Především podle zákona 311/2001 Sb. Zákoník práce .
7: Práva dotčené osoby (kapitola 3 GDPR)
Práva dotčené osoby, jsou upravena kapitolou 3 GDPR a naše společnost se zavazuje je dodržovat.
Jedná se například o následující práva:
7.1.Informace, které mají být poskytovány při získávání osobních údajů od dotčené osoby (článek 13 GDPR)
Naše společnost poskytne dotčené osobě při zpracování osobních údajů následující informace: údaje o naší společnosti ,kontaktní údaje případné odpovědné osoby; účely zpracování právní základ ,zpracování pokud je zpracování založeno na čl. 1 písm. f) GDPR, oprávněné zájmy, které sleduje provozovatel ,nebo třetí strana;
Příjemci, nebo kategorie příjemců osobních údajů, pokud existují;
v relevantním případě informace o tom, že naše společnost zamýšlí přenést osobní údaje do třetí země ,nebo mezinárodní organizaci .
Doba uchovávání osobních údajů, nebo, není-li to možné, kritéria pro její určení;
existence práva požadovat od provozovatele přístup k osobním údajům týkajícím se dotčené osoby a práva na jejich opravu ,nebo vymazání ,nebo omezení zpracování, nebo práva namítat proti zpracování, jakož i práva na přenositelnost údajů;
pokud je zpracování založeno na čl. 1 písm. a) nebo na čl. 2 písm. a) GDPR, existence práva kdykoli svůj souhlas odvolat, aniž by to mělo vliv na legalitu zpracování založeného na souhlasu uděleném před jeho odvoláním;
právo podat stížnost orgánu dozoru;
informace o tom, zda je poskytování osobních údajů zákonným ,nebo smluvním požadavkem, nebo požadavkem, který je potřebný k uzavření smlouvy, zda je dotčenéá osoba povinna poskytnout osobní údaje, jakož i možné následky neposkytnutí takových údajů;
existence automatizovaného rozhodování, včetně profilování uvedeného v čl. 1 a 4 GDPR a alespoň v těchto případech smysluplné informace o použitém postupu, jakož i významu a předpokládaných důsledcích takového zpracování pro dotčenou osobu.
7.2.Informace, které mají být poskytnuty, pokud osobní údaje nebyly získány od subjektu údajů (článek 14 GDPR)
Naše společnost poskytne dotčené osobě, pokud tyto osobní údaje nebyly získány od ní, veškeré informace uvedené v bodě 7.1 této organizační směrnice a také z jakého zdroje pocházejí osobní údaje, případně informace o tom, zda údaje pocházejí z veřejně přístupných zdrojů.
Tyto informace poskytne naše společnost dotčené osobě v přiměřené lhůtě ,po obdržení osobních údajů, nejpozději však do jednoho měsíce, přičemž zohlední konkrétní okolnosti, za kterých se osobní údaje zpracovávají uvedené v či.
3 GDPR Naše společnost neposkytne dotčené osobě tyto informace v případech uvedených v článku 14ods. 5 GDPR, zejména pokud:
dotčená osoba má již dané informace ,
poskytování takových informací se ukáže, jako nemožné ,nebo by vyžadovalo nepřiměřené úsilí ,
se získání ,nebo poskytnutí výslovně stanoví v právu Unie ,nebo v právu členského státu, kterému provozovatel podléhá a ve kterém se stanoví přiměřená opatření na ochranu oprávněných zájmů dotčené osoby.
7.3.Právo subjektu údajů na přístup k údajům (článek 15 GDPR)
dotčené osoba má právo získat od provozovatele potvrzení o tom, zda se zpracovávají osobní údaje, které se jí týkají, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům .
7.4.Právo na opravu (článek 16 GDPR)
dotčenéá osoba má právo na to, aby provozovatel bez zbytečného odkladu opravil nesprávné osobní údaje, které se jí týkají.
S ohledem na účely zpracování má dotčená osoba právo ,na doplnění neúplných osobních údajů, a to i prostřednictvím poskytnutí doplňkového prohlášení.
7.5.Právo na vymazání (právo „k zapomenutí“, článek 17 GDPR)
dotčená osoba, má také právo dosáhnout u provozovatele bez zbytečného odkladu vymazání osobních údajů, které se jí týkají, a provozovatel je povinen bez zbytečného odkladu vymazat osobní údaje, je-li splněn některý z těchto důvodů:
osobní údaje již nejsou potřebné pro účely, pro které byly získávány nebo jinak zpracovávány;
dotčená osoba odvolá souhlas, na jehož základě se zpracování provádí, podle článku 6 ods.. 1 písm. a) ,nebo článku 9 ods. 2 písm. a), a pokud neexistuje jiný právní základ pro zpracování;
dotčená osoba zpochybňuje zpracovávání podle článku 21.ods. 1 a nepřevažují žádné oprávněné důvody pro zpracování ,nebo dotčená osoba zpochybňuje zpracování podle článkz . 21 ods . 2;
osobní údaje byly zpracovávány nezákonně;
osobní údaje musí být vymazány, aby byla splněna zákonná povinnost podle práva Unie, nebo práva členského státu, kterému provozovatel podléhá;
osobní údaje byly získávány v souvislosti s nabídkou služeb informační společnosti podle článku 8 ods. 1.
7.6.Právo na omezení zpracování (článek 18 GDPR)
dotčená osoba má právo na to, aby provozovatel omezil zpracování, pokud jde o jeden z těchto případů:
dotčená osoba napadne správnost osobních údajů, a to během období umožňujícího provozovateli ověřit správnost osobních údajů;
zpracování je protizákonné a dotčená osoba namítá proti vymazání osobních údajů a žádá místo toho omezení jejich použití;
provozovatel již nepotřebuje osobní údaje pro účely zpracování, ale potřebuje je dotčená osoba k prokázání, uplatňování, nebo obhajování právních nároků;
dotčená osoba vznesla námitky vůči zpracování podle článku 21 ods. 1, a to až do ověření, zda oprávněné důvody na straně provozovatele převažují nad oprávněnými důvody dotyčné osoby.
Oznamovací povinnost v souvislosti s opravou nebo vymazáním osobních údajů nebo omezením zpracování (článek 19 GDPR)
Provozovatel oznámí každému příjemci, jemuž byly osobní údaje poskytnuty, každou opravu, nebo vymazání osobních údajů ,nebo omezení zpracování provedené podle článku 16, článku 17 odst. 1, písm. 1 a článku 18, pokud se to neukáže jako nemožné, nebo si to nevyžaduje nepřiměřené úsilí.
Provozovatel o těchto příjemcích informuje dotčenou osobu, pokud to dotčená osoba požaduje.
7.7.Právo na přenositelnost údajů (článek 20 GDPR)
Dotčená osoba má právo získat osobní údaje, které se jí týkají a které poskytla provozovateli, ve strukturovaném, běžně používaném a strojově čitelném formátu a má právo přenést tyto údaje dalšímu provozovateli, aniž by její provozovatel, kterému byly tyto osobní údaje poskytnuty, bránil, pokud:
1. se zpracování zakládá na souhlasu podle čl. 6 odst. 1 písm. a), nebo č. 2 písm. a), nebo na smlouvě podle čl. 6 odst. 1 písm. b), a 2. pokud se zpracování provádí automatizovanými prostředky.
Dotčená osoba má při uplatňování svého práva na přenosnost údajů podle odstavce 1 právo na přenos osobních údajů přímo od jednoho provozovatele k druhému provozovateli, pokud je to technicky možné.
7.8.Právo namítat (článek 21 GDPR)
Dotčená osoba má právo kdykoli vznést námitky z důvodů týkajících se její konkrétní situace proti zpracovávání osobních údajů, které se jí týká, které je vykonáváno na základě čl. 1 písm. e) nebo f), včetně námitky proti profilování založené na uvedených ustanoveních.
7.9.Automatizované individuální rozhodování včetně profilování (článek 22 GDPR) Dotčená osoba má právo na to, aby se na ni nevztahovalo rozhodnutí, které je založeno výlučně na automatizovaném zpracování, včetně profilování, a které má právní účinky, které se jí týkají ,nebo ji podobně významně ovlivňují.
8.Zodpovědnost PROVOZOVATELE(článek 24 GDPR)
Naše společnost, se jako provozovatel zavazuje dodržovat následující obecné povinnosti: S ohledem na povahu, rozsah a účel zpracování osobních údajů a na rizika s různou pravděpodobností a závažností pro práva fyzické osoby ,se zavazujeme přijmout vhodná technická a organizační opatření k zajištění a prokázání toho, že zpracování osobních údajů se provádí v souladu s GDPR. Uvedená opatření budeme podle potřeby aktualizovat.
Budeme pravidelně prověřovat trvání účelu zpracování osobních údajů a po jeho splnění, bez zbytečného odkladu zajistit výmaz osobních údajů.
Naše společnost bude zachovávat mlčenlivost o osobních údajích, které zpracovává. Povinnost mlčenlivosti trvá i po ukončení zpracování osobních údajů.
9.Specificky navržená a standardní ochrana osobních údajů (článek 25 GDPR)
Naše společnost se zavazuje před zpracováváním osobních údajů zavést a během zpracování osobních údajů mít zavedenou specificky navrženou ochranu osobních údajů, která spočívá v přijetí přiměřených technických a organizačních opatření, například i ve formě pseudonymizace, na účinné zavedení přiměřených záruk ochrany osobních údajů a dodržování nařízení GDPR .
Naše společnost se zavazuje při specificky navržené ochraně osobních údajů zohlednit nejnovější poznatky ochrany osobních údajů, náklady na provedení opatření, povahu, rozsah, kontext a účel zpracovávání osobních údajů a rizika zpracovávání osobních údajů s různou pravděpodobností a závažností, které zpracovávání osobních údajů představuje pro práva dotčenéné osoby.
Naše společnost se zavazuje zavést standardní ochranu osobních údajů, která spočívá v přijetí přiměřených technických a organizačních opatření , zajištění zpracování osobních údajů pouze pro konkrétní účel, minimalizaci množství získaných osobních údajů a rozsahu jejich zpracování, doby uchovávání a dostupnosti osobních údajů.
Naše společnost zajistí, aby osobní údaje, nebyly bez zásahu fyzické osoby standardně přístupné neomezenému počtu fyzických osob.
10.Zprostředkovatel (článek 28 GDPR)
Zprostředkovatel je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje jménem provozovatele.
Naše společnost ,jako provozovatel využívá zprostředkovatelů, kteří jejím jménem zpracovávají osobní údaje.
Jedná se například o účetnické a právnické společnosti.
Pro naši společnost zpracovávají údaje následující zprostředkovatelé:
Mepatek s.r.o., Teplická 305, 417 61 Bystřany – develop a servis webu Sun Marketing s.r.o., Hybernská 32, 110 10 Praha 1- marketing.
Kamex Slovakia s.r.o., Zlatovského 404, 91105 Trenčín – kurýrní společnost.
Naše společnost bude využívat pouze zprostředkovatelů poskytujících dostatečné záruky k tomu, že se přijmou přiměřená technická a organizační opatření tak, aby zpracování splňovalo požadavky GDPR a aby byla zajištěna ochrana práv dotčené osoby.
Zpracování zprostředkovatelem pro naši společnost se řídí „smlouvou o zpracování osobních údajů“, jejíž vzor je přílohou tohoto dokumentu. Zavazuje zprostředkovatele vůči provozovateli a stanoví se jí předmět a doba zpracování, povaha a účel zpracování, typ osobních údajů a kategorie dotčených osob a povinnosti a práva provozovatele a zprostředkovatele.
Naše společnost podepíše dodatky ke smlouvám, se zmíněnými zprostředkovateli, aby smlouvy splňovaly všechny náležitosti GDPR.
11.Záznamy o zpracovatelských činnostech (článek 30 GDPR)
11.1.Záznamy o zpracovatelských činnostech provozovatele.
Naše společnost, jako provozovatel, vede záznamy o zpracovatelských činnostech a na požádání je zpřístupní dozorovému orgámu.
Tyto záznamy obsahují následující údaje:
a) jméno/název a kontaktní údaje provozovatele a v příslušném případě společného provozovatele, zástupce provozovatele a odpovědné osoby;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
ci) d) kategorie příjemců, kterým byly, nebo budou osobní údaje poskytnuty, včetně příjemců ve třetích zemích, nebo mezinárodních organizací;
e) v příslušných případech předávání osobních údajů do třetí země, nebo mezinárodní organizaci, včetně označení dotčené třetí země, nebo mezinárodní organizace, a v případě přenosů uvedených v čl. 49 odst. 1 písm. 1 druhém pododstavci GDPR dokumentaci přiměřených záruk;
f) pokud možno předpokládané lhůty pro vymazání různých kategorií údajů;
g) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1 písm. 1. GDPR .
11.2.Záznamy o zpracovatelských činnostech zprostředkovatele Naše společnost, jako zprostředkovatel ,vede záznamy o zpracovatelských činnostech a na požádání je zpřístupní dozorovému orgámu.
Tyto záznamy obsahují následující údaje:
a) jméno/název a kontaktní údaje zprostředkovatele, nebo zprostředkovatelů a každého provozovatele, jehož jménem zprostředkovatel jedná, a v příslušném případě zástupce provozovatele ,nebo zprostředkovatele a odpovědné osoby;
b) kategorie zpracování prováděného jménem každého provozovatele;
c) v příslušných případech předání osobních údajů do třetí země, nebo mezinárodní organizaci, včetně označení dotčené třetí země ,nebo mezinárodní organizace, a v případě přenosů uvedených v čl. 49 odst. 1 písm. 1. v druhém pododstavci dokumentaci přiměřených záruk;
d) pokud možno obecný popis technických a organizačních bezpečnostních opatření uvedených v článku 32 ods. 1. GDPR .
13.Oznámení porušení ochrany osobních údajů Kontrolnímu úřadu (článek 33 a 34 GDPR)
V případě porušení ochrany osobních údajů, naše společnost bez zbytečného odkladu a podle možnosti nejpozději do 72 hodin poté, co se o této skutečnosti dozvěděla, oznámí porušení ochrany osobních údajů dozorčímu orgánu.
Nebylo-li oznámení dozorčímu orgánu předloženo do 72 hodin, připojí se k němu zdůvodnění prodlení.
Oznámení o porušení ochrany osobních údajů bude obsahovat alespoň:
a) popis povahy porušení ochrany osobních údajů včetně, pokud možno, kategorií a přibližného počtu dotčených osob, kterých se porušení týká, a kategorií a přibližného počtu dotčených záznamů o osobních údajích;
b) kontaktní údaje odpovědné osoby v naší společnosti, kde lze získat více informací o porušení ochrany osobních údajů;
c) popis pravděpodobných následků porušení ochrany osobních údajů;
d) popis opatření přijatých ,nebo navrhovaných provozovatelem s cílem napravit porušení ochrany osobních údajů, včetně případných opatření ke zmírnění jeho potenciálních nepříznivých důsledků.
Naše společnost zdokumentuje každý případ porušení ochrany osobních údajů, včetně skutečností spojených s porušením ochrany osobních údajů, jeho následky a přijatá opatření k nápravě.
V případě porušení ochrany osobních údajů, které pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, naše společnost bez zbytečného odkladu oznámí porušení ochrany osobních údajů dotyčné osobě.
14.Posouzení dopadů na ochranu údajů (článek 35)
Pokud typ zpracování, zejména s využitím nových technologií a s ohledem na povahu, rozsah, kontext a účely zpracování pravděpodobně povede k vysokému riziku pro práva a svobody fyzických osob, provozovatel před zpracováním provede posouzení dopadu plánovaných zpracovatelských operací na ochranu osobních údajů.
Posouzení dopadů na ochranu údajů se vyžaduje zejména v případech:
systematického a rozsáhlého hodnocení osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování včetně profilování a ze kterého vycházejí rozhodnutí s právními účinky týkajícími se fyzické osoby nebo s podobně závažným vlivem na ni;
Zpracování ve velkém rozsahu zvláštních kategorií údajů podle článku 9 ods. 1 ,nebo osobních údajů týkajících se uznání viny za trestné činy a přestupky podle článku 10, nebo systematického monitorování veřejně přístupných míst ve velkém rozsahu.
Zpracovatelské činnosti naší společnosti nezahrnují případy uvedené výše, z tohoto důvodu, není nutné provést posouzení vlivu na ochranu osobních údajů.
15.Určení odpovědné osoby (kapitola 4 oddíl 4 GDPR)
Provozovatel je povinen určit odpovědnou osobu,pokud :
a) zpracování osobních údajů provádí orgán veřejné moci ,nebo veřejnoprávní instituce kromě soudů při výkonu jejich soudní pravomoci.
b) hlavními činnostmi provozovatele, nebo zprostředkovatele jsou zpracovatelské operace, které vzhledem ke své povaze, rozsahu nebo účelu vyžadují pravidelné a systematické sledování subjektu údajů ve velkém rozsahu,
c) hlavními činnostmi provozovatele nebo zprostředkovatele je zpracovávání zvláštních kategorií osobních údajů podle článku 9 GDPR ve velkém rozsahu ,nebo zpracovávání osobních údajů týkajících se uznání viny za spáchání trestného činu ,nebo přestupku podle článku 10 GDPR ve velkém rozsahu.
Jelikož naše společnost nesplňuje ani jednu ze zmíněných podmínek, zodpovědnou osobu neurčuje.
16.PŘENOS OSOBNÍCH ÚDAJŮ DO TŘETÍ ZEMĚ ,NEBO MEZINÁRODNÍ ORGANIZACE.
Přenos osobních údajů, které jsou zpracovávány, nebo jsou určeny ke zpracování po přenosu do třetí země, nebo mezinárodní organizace, se může uskutečnit pouze tehdy, pokud provozovatel a zprostředkovatel dodržují podmínky včetně podmínek následného přenosu osobních údajů z dotčené třetí země, nebo od dotčené mezinárodní organizace do jiné.Třetí země, nebo jiné mezinárodní organizace.
Úřad pro ochranu osobních údajů zveřejňuje na své webové stránce seznam třetích zemí, území a určených sektorů v dané třetí zemi a mezinárodních organizací, u nichž Evropská komise rozhodla, že v nich je zaručena přiměřená úroveň ochrany, nebo již přestala být přiměřená úroveň ochrany zaručena.
Seznam je dostupný na stránce https://dataprotection.gov.sk/uoou/cs/content/prenos-do-zem-zarucujucich-primeranu-uroven-ochrany .
Naše společnost bude tento seznam pravidelně sledovat a v případě, že by přenášela osobní údaje do zemí mimo seznam úřadu na ochranu osobních údajů, bude postupovat podle kapitoly 4 GDPR.
17.Mlčenlivost (§ 79 ZoOOÚ)
Naše společnost je povinna zachovávat mlčenlivost o osobních údajích, které zpracovává. Povinnost mlčenlivosti trvá i po ukončení zpracování osobních údajů.
Naše společnost je také povinna zavázat se mlčenlivostí o osobních údajích fyzické osoby, které přijdou do styku s osobními údaji u provozovatele, nebo zprostředkovatele.
Povinnost mlčenlivosti podle první věty musí trvat i po skončení pracovního poměru, státně zaměstnaneckého poměru, služebního poměru ,nebo obdobného pracovního vztahu této fyzické osoby.