Příloha 9
Příloha č.9 k vnitřnímu předpisu č.1/2018 společnosti MARLIN s.r.o..:
Technická a organizační opatření správce k zajištění a doložení, že zpracování osobních údajů je prováděno v souladu s Nařízením ES OU
Oddíl I. – technická a organizační opatření správce
1. Správce stanoví tyto prostředky a způsob zpracování osobních údajů: osobní údaje subjektu údajů budou zpracovávány k tomu způsobilými zaměstnanci správce nebo zpracovatelem mechanicky v tištěné podobě (osobní spis, smlouva atp.) na k tomu určeném pracovišti správce (zpracovatele), které musí být adekvátně zabezpečeno proti přístupu třetích osob, a dále v elektronické podobě (automatizovaně v rámci Software S). Při zpracování osobních údajů dle této dohody bude správce postupovat dle příslušných ustanovení Nařízení ES OU a tohoto VP, bude vykonávat práva a plnit povinnosti dle Nařízení ES OU a tohoto VP.
2.Povinnosti a práva Správce vykonávají (jménem Správce a u Správce) jeho jednotliví k tomu oprávnění zaměstnanci, které jmenuje statutární orgán, Správce nebo jím k tomu písemně zmocněná osoba. Tím není vyloučeno zpracování osobních údajů zpracovatelem.
3. V případě, kdy správce zpracovává osobní údaje získané od subjektu údajů, musí subjekt údajů poučit o tom, zda je poskytnutí osobního údaje povinné či dobrovolné. Je-li subjekt údajů povinen podle Nařízení ES OU či zvláštního zákona osobní údaje pro zpracování poskytnout, poučí jej správce o této skutečnosti, jakož i o následcích odmítnutí poskytnutí osobních údajů (viz. následující odstavec této přílohy, viz. příslušná ustanovení dotčených zvláštních právních předpisů a samotného VP).
4. Pokud fyzická osoba odmítne poskytnout příslušné údaje nebo odmítne jejich zpracování Správcem (zpracovatelem), pak ze strany Správce dojde k odmítnutí uzavření smlouvy či jiného právního vztahu a příslušná smlouva /či jiný právní vztah/ nebude uzavřena.
5. Pokud má Správce (resp. jeho oprávněný zaměstnanec správce zastupující) uzavírající s fyzickou osobou smlouvu nebo jiný právní vztah jakékoli pochybnosti o tom, že údaje udávané touto osobou v souvislosti s uzavřením smlouvy jsou pravdivé, ověří si tyto – pokud je to možné – prostřednictvím veřejně dostupných veřejných rejstříků publikovaných na síti internet; není-li ani tímto způsobem možné ověřit správnost a úplnost udávaných údajů fyzickou osobou, je zaměstnanec správce oprávněn požadovat po fyzické osobě doklad totožnosti (či jiný příslušný doklad) k ověření poskytovaných údajů. Nepředloží-li k žádosti správce (jeho zaměstnance) při uzavírání smlouvy nebo jiného právního vztahu za účelem shora uvedeným (tj. ověření správnosti a úplnosti poskytovaných osobních a dalších údajů) fyzická osoba doklad totožnosti (či jiný příslušný doklad) k ověření poskytovaných údajů, pak správce odmítne smlouvu nebo jiný vztah uzavřít. Pořídit si prosté kopie dokladu totožnosti (či jiného příslušného dokladu) fyzické osoby může v této souvislosti správce jen v případě, kdy prostá kopie dokladu totožnosti (či jiného příslušného dokladu) bude provedena v tištěné formě a s písemným souhlasem fyzické osoby (který musí být proveden na kopii) nebo stanoví-li tak právní úprava. Správce nesmí odmítnout uzavřít smlouvu z toho důvodu, že fyzická osoba odmítla při uzavírání smlouvy umožnit správci vytvořit si kopii jejího průkazu totožnosti (či jiného příslušného dokladu vyjma osvědčení k registraci daně z přidané hodnoty), ledaže zákon stanoví jinak.
6. Písemnými rozhodnutími statutárního orgánu Správce budou určeni zaměstnanci, kteří budou zpracovávat osobní údaje a kteří budou mít přístup a oprávnění nakládat se smlouvami a listinami, které obsahují osobní údaje fyzických osob. Žádní jiní zaměstnanci, než uvedení v předchozí větě této přílohy tohoto VP, nejsou a nebudou oprávněni ke zpracování osobních údajů subjektů údajů ani nebudou mít přístup a oprávnění nakládat se smlouvami a listinami, které obsahují osobní údaje subjektů údajů. Zaměstnanci správce uvedení ve větě prvé tohoto odstavce (dále jen „Zaměstnanci OU“) musí být zavázáni povinností mlčenlivosti (která bude trvat i po skončení pracovního poměru zaměstnance u poskytovatele – viz. níže) a musí být v dané problematice řádně a plně proškoleni. Pokyny pro zpracování osobních údajů Zaměstnancům OU, kteří mají bezprostřední přístup k osobním údajům, jim dávají jejich nadřízení, kdy plnění těchto pokynů je těmito nadřízenými kontrolováno (soustavně ale i namátkově), kdy závěry těchto kontrol (ale i dalších kontrol dle tohoto VP) jsou předkládány statutárnímu orgánu k přijetí patřičných rozhodnutí a posouzení příslušných rizik.
7.Veškeré smlouvy (a další eventuální listiny) obsahující osobní údaje a data v tištěné listinné podobě (dále jen „Údaje TP“) jsou uloženy v uzamykatelných skříních umístěných v uzamčených prostorách, do kterých mají přístup jen k tomu způsobilí Zaměstnanci OU správce. Tak je zabráněno neoprávněným
osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování. O plnění povinností na tomto úseku jsou prováděny kontroly.
8.Za účelem zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě či vymazání záznamů obsahujících osobní údaje jsou Zaměstnanci OU povinni počínat si tak, že pokud zpracovávají osobní údaje, a současně nad těmito nemají fyzický dohled a tyto nejsou uloženy dle odst.7 tohoto článku tohoto VP, pak tyto nosiče osobních údajů (smlouvy, listiny atp.) musí adekvátně zabezpečit – např. uzamčením v pracovním stole atp. Pokud Zaměstnanec OU oprávněně předává (za účelem jejich zpracování svému nadřízenému nebo jinému zaměstnanci OU) osobní údaje jiné osobě odlišné od samotného subjektu údajů, pak tak musí učinit písemně s tím, že z tohoto písemného potvrzení bude možno určit a ověřit, komu, kde a kdy byly osobní údaje předány.
9.Při zpracovávání osobních údajů jsou smlouvy či listiny vydávány k využití jen k tomu způsobilým Zaměstnancům OU (viz. níže); bez právního důvodu, rozhodnutí správce nebo bez písemného souhlasu fyzické osoby (subjektu údajů) nesmí být tyto smlouvy a listiny kopírovány nebo jinak šířeny.
10.Zaměstnanci správce nebo zpracovatele a jiné osoby, které zpracovávají osobní údaje na základě smlouvy se správcem nebo zpracovatelem (dále i výše všichni nazývání též jen jako „Zaměstnanci OU“), mohou zpracovávat osobní údaje pouze za podmínek a v rozsahu stanoveném zákonem, správcem stanoveném v tomto VP nebo stanoveném v samostatném písemném pokynu, nařízení atp. správce nebo zpracovatele. Zaměstnanci OU musí být prokazatelně seznámeni s tímto VP a proškoleni v oblasti příslušné právní úpravy (Nařízení ES OU), a to nejméně 1x ročně.
11. Zaměstnanci OU jsou povinni zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací. Zaměstnanec OU musí písemně správci potvrdit, že byl seznámen se svými povinnostmi dle tohoto odstavce, a to písemně na listině, jejíž vzor je uveden na závěr této přílohy.
12.Ustanovením předchozího odstavce není dotčena povinnost zachovávat mlčenlivost podle zvláštních zákonů, přičemž povinnost zachovávat mlčenlivost dle tohoto VP se nevztahuje na informační povinnost podle zvláštních zákonů (např. trestní zákoník)
13.Software a hardware (a jeho zabezpečením – hesla, kódování, zamezení přístupu atp.) musí být zabezpečen tak, aby znemožňoval neoprávněné užití či zjištění osobních údajů a musí být umístěn v uzamykatelných prostorách, které nebudou přístupny osobám odlišným od Zaměstnanců OU. K software a hardware správce /zejm. Software S – mimo jiné systém pro automatizovaná zpracování osobních údajů/, na kterém jsou osobní i důvěrné údaje a data uložena (či budou zpracovávána) mají přístup (a tento používají) jen k tomu způsobilí Zaměstnanci OU. Pro nakládání s datovými nosiči (a za účelem zabránění neoprávněného přístupu k datovým nosičům obsahujícím osobní údaje) analogicky platí to, co uvedeno v tomto VP pro nakládání se smlouvami či jinými listinami, které obsahují osobní údaje, vyjma případů, kdy je v tomto VP výslovně stanoveni jinak (např. problematika likvidace osobních údajů). Software S a další správcovy systémy pro automatizovaná zpracování osobních údajů musí být nastaveny tak, aby oprávnění Zaměstnanci OU měli přístup pouze k osobním údajům odpovídajícím jejich oprávnění, a to na základě zvláštních uživatelských oprávnění (hesla) zřízených výlučně pro tyto zaměstnance OU. Za splnění povinností správce dle předchozí věty odpovídá vedoucí IT společnosti, který též odpovídá za to, že budou pořizovány elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány.
14.Ustanovení této přílohy tohoto VP pojednávající o vzniku smluv či jiných právních vztahů s vazbou na osobní údaje analogicky platí i pro změny smluv či listin obsahující osobní údaje fyzických osob, zánik těchto smluv a listin a jakékoli další nakládání s těmito smlouvami a listinami.
Oddíl II. - Likvidace osobních údajů
1. Správce /nebo na základě jeho pokynu zpracovatel/ je povinen provést likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovány, nebo na základě žádosti subjektu údajů. Ustanovení předchozí věty neplatí v případech kdy je v Nařízení ES OU a tomto VP stanoveno jinak. 2.Správce stanovuje tento způsob likvidace osobních údajů (který zabezpečuje trvalé znemožnění obnovení osobních údajů): prostřednictvím příslušného software a hardware (např. nevratný výmaz dat z nosičů, které lze používat opětovně), u vytištěných údajů (a nosičů, které nelze vymazat, přepsat atp.
s tím, že dojde k nevratnému zrušení údajů na nich doposud zapsaných či uložených) jejich fyzická likvidace skartací, která musí být písemně doložena.
Oddíl III. - Vzor dle odst.11 oddílu I. této přílohy
VZOR:
Obchodní společnost MARLIN, s.r.o., se sídlem Města Mayen 1536, Mařatice, 686 01 Uherské Hradiště, IČ 60733306, DIČ CZ60733306 (plátce daně z přidané hodnoty), zapsaná ve veřejném rejstříku (obchodním rejstříku) vedeném Krajským soudem v Brně, oddíl C, vložka 17611
(dále též jen „správce“ nebo „zaměstnavatel“)
Věc: Poučení o povinnosti zachovávat mlčenlivost ve smyslu příslušných ustanovení technicko – organizačního předpisu č.1/2018 (vnitřního předpisu – osobní údaje a jejich ochrana) vydaného správcem dne 15.5.2018 (dále jen „VP“)
Já, níže podepsaný /-á/ …………………………. ……………………, nar. ………., rodné číslo ……/…., trvale pobytem ……………………………………………… a bydlištěm ……….……..……………………………..,
coby zaměstnanec správce svým vlastnoručním podpisem potvrzuji a prohlašuji, že jsem si vědom /-a/ toho:
a) že dle rozhodnutí správce jsem jeho zaměstnancem, který bude zpracovávat osobní údaje ve smyslu příslušných ustanovení VP a Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů – dále jen „Nařízení GDPR“ nebo „Nařízení ES OU“) a/nebo/anebo kterému bude umožněn přístup ke zpracovávaným osobním údajům ve smyslu příslušných ustanovení VP a Nařízení GDPR, s čímž souhlasím;
b) že jako osoba, která bude zpracovávat osobní údaje a která přijde do styku s osobními údaji, jsem povinen zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů; v této souvislosti uvádím, že:
-jsem byl zaměstnavatelem seznámen s vnitřními předpisy u zaměstnavatele k zajištění ochrany osobních údajů,
-jsem byl zaměstnavatelem seznámen s právní úpravou ochrany osobních údajů (Nařízení GDPR);
c) že má shora uvedená povinnost mlčenlivosti trvá i po skončení mého zaměstnání (základního pracovně - právního vztahu) u cit. zaměstnavatele, kdy této povinnosti mlčenlivosti mně může zbavit jen zaměstnavatel svým písemným rozhodnutím, pokud v této listině nebo právní úpravě (nařízení GDPR) nebo VP není pro jednotlivé případy stanoveno výslovně jinak;
d) že pro moji povinnost mlčenlivosti platí ustanovení Nařízení GDPR, a další příslušná ustanovení právních předpisů ČR; dále pro moji povinnost mlčenlivosti platí příslušná ustanovení VP;
e) že povinnost mlčenlivosti jsem povinen zachovávat v rozsahu, způsobem a dle příslušných ustanovení Nařízení GDPR, a právních předpisů ČR, a dle VP.
Potvrzuji svým vlastnoručním podpisem, že jsem byl cit. zaměstnavatelem řádně poučen o povinnosti zachovávat mlčenlivost Nařízení GDPR a VP v rozsahu výše v této listině uvedeném, kdy dále potvrzuji, že tomuto poučení jsem plně a zcela porozuměl, nemám vůči němu žádných námitek, protestů, nejasností nebo výhrad, přičemž se zavazuji jednat plně v souladu se shora uvedeným poučením. Tato listina tedy mimo jiné dokládá, že jsem byl zaměstnavatelem řádně poučen o povinnosti zachovávat mlčenlivost dle příslušných ustanovení Nařízení GDPR a VP.
v Uherském Hradišti dne …………………..
………………………….…..……………….. ……………………………….……………… ……………………….………………………
/uvede se jméno a příjmení zaměstnance,
jeho pracovní zařazení u zaměstnavatele
a jeho vlastnoruční podpis/