CCS international s.r.o.

English

 
CCS International s.r.o.
U Malše 20, 370 01 České Budějovice,
zapsaná v OR u KS ČB pod spisem zn. C oddíl 11557
IČ: 26061651, DIČ: CZ26061651
(dále jen správce)

General Data Protection Regulation (GDPR)

Účinnost: od 25.5.2018

I.
Úvod, účel nařízení, prameny právní úpravy ochrany osobních údajů

Dne 25. 5. 2018 nabyde účinnosti nařízení Evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále již jen „GDPR“.
GDPR bude účinné i v České republice, a to z povahy nařízení přímo, aniž by bylo nutné vydávat český speciální zákon, jehož přijetí lze ovšem očekávat.
GDPR nebude jediným právem práva v oblasti ochrany osobních údajů, těmi jsou zejména následující účinné české právní předpisy:
• zák. č. 101/2000Sb. o ochraně osobních údajů a o změně některých zákonů
• zák. č. 89/2012 Sb. občanský zákoník (ochrana osobnosti, satisfakční nároky...)
• zák. č. 40/2009 Sb., trestní zákoník

II.
Základní pojmy

Osobním údajem se rozumí jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.
Citlivým osobním údajem se rozumí osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů.
Anonymní údajem se rozumí takový údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů.
Subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují.
Zpracování osobních údajů je jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace.
Správcem je každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak.
Zpracovatel každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona.
Souhlas subjektu údajů je svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

III.
Režimy zpracování osobních údajů správcem

1. Zpracování bez souhlasu subjektu údajů:
Naprostou většinu osobních údajů uvnitř firmy zpracovává správce údajů na základě zákonného příkazu či přivolení (viz např. zákoník práce, právní předpisy v oblasti zdravotního a sociálního pojištění, pro účely archivnictví apod.). Zpracování je v těchto případech nezbytné pro splnění zákonných povinností správce, Dále do této kategorie spadají případy, kdy je zpracování nezbytné pro ochranu práv a právem chráněných zájmů správce a subjektů údajů - sem zahrnujeme např. evidenci návštěv či kamerový monitoring.
Je přípustné pořídit též záznam o pracovním úrazu zaměstnance, např. formou fotografie či videa.
V podmínkách naší firmy se jedná mj. o záznamy z pracovních porad, knihy úrazů, záznamy o pracovních úrazech, lékařské posudky, personální, mzdovou evidenci, evidenci účetní apod.
Souhlasu zaměstnance není třeba k jeho prezentaci na webu www.ccsi.cz, zveřejněny však mohou být pouze informace o jeho jménu, titulu, funkčním zařazení, firemních kontaktech.

2. Zpracování se souhlasem subjektu údajů
Pokud nebude dána žádná zákonná povinnost či možnost popsaná v této směrnice, je zcela nezbytné vyžadovat souhlas subjektu údajů, a to z důvodu opatrnosti v písemné formě.
Souhlas musí být:
Svobodný, srozumitelný, doložitelný po celou dobu zpracování osobních údajů a kdykoliv v budoucnu odvolatelný.

IV.
Výstupy z auditu, další opatření

Vhodná technická, personální a organizační opatření s cílem zajistit a doložit kontrolním orgánům, že osobní údaje zpracováváme v souladu s GDPR, ve firmě řešeno org. směrnicí „Zajišťování personální práce“.
Objektová bezpečnost: zabezpečení firemních objektů a místností, uložení dokumentací, vynášení dokumentací s osobními údaji mimo firmu, analýza rizik neoprávněného či nahodilého přístupu k osobním údajům (kanceláře), řešeno org. směrnicí „Zajištění ostrahy, ochrany majetku a ochrany duševního majetku a.s.“
Personální bezpečnost: omezit na minimum okruh zaměstnanců, kteří mají přístup k osobním údajům, prověřit, zda jsou tito zaměstnanci řádně proškoleni v oblasti ochrany osobních údajů, zda jsou doložitelně poučení o povinnosti mlčenlivosti. Provést analýzu, kteří externí zpracovatelé přijdou do styku s osobními údaji (a jakými) ze sféry (např. účetní firmy, ostraha, cloudové služby, aplikace apod.), současně zkontrolovat obsah příslušných smluv s ohledem na ochranu osobních údajů.
Technická bezpečnost: přístupy do PC, e-maily, hesla, interní a externí úložiště dat, kamerové a docházkové systémy, zabezpečení všech těchto systémů, je řešeno org. směrnicí „Správa sítě“, aktualizovat jedenkrát ročně, vždy k 31. 1. každého roku, v zapečetěné obálce umístěné v trezoru OSC, přístupová hesla včetně uživatelských přístupů do PC, e-mailů, interních a externích úložišť dat a kamerového systému. Průběžně jsou hesla aktualizována v zašifrované podobě v záložních úložištích. Vzdálené přístupy do vnitřních systémů jsou zašifrované a jsou přidělovány pouze v oprávněných případech.
Spisový a skartační řád (mj. obsahující časovou délku zpracování osobních údajů ve vazbě na tzv. skartační lhůty), je řešeno dle zákona.

GDPR pověřenec

GDPR přikazuje ustanovit pověřence těm správcům osobních údajů, kteří mají charakter orgánů veřejné moci, veřejným subjektům a zpracovatelům, kteří rozsáhle, pravidelně a systematicky monitorují subjekty údajů.
Pověřenec se neustanovuje.

VI.
Záznamy o činnostech zpracování

1. Na rozdíl od současného právního stavu účinností GDPR zaniká oznamovací povinnost správce údajů ve vztahu k Úřadu na ochranu osobních údajů - dále jen „ ÚOOÚ“ (např. ohlašování pořízení kamerového systému se záznamem, jeho rozšíření).
2. Nově je správce údajů povinen doložit záznamy o činnostech zpracování až na výzvu ÚOOÚ.
3. Obsah záznamu není striktně definován, lze analogicky použít dosud platný registrační formulář z webových stránek ÚOOÚ.

VII.
Závěr

V zájmu správce je přísné dodržování právní regulace na úseku ochrany osobních údajů. V případě vzniku škody společnosti správce zaviněním konkrétních zaměstnanců bude tato následně uplatňována postupem stanoveným obecně závaznými právními předpisy.