INTERNÍ SMĚRNICE
OCHRANA A ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
Společnosti
AVISTA OIL s.r.o.
ze dne 1. května 2018
(Směrnice)
(a) Společnost AVISTA OIL s.r.o., se sídlem Semtín 111 PSČ 53354 Pardubice, IČ: 63216388 zapsaná v obchodním rejstříku vedeném obchodní soudem v Hradci Králové, oddíl C, vložka 7747 (Společnost) vykonává podnikatelskou činnost zejména v oblasti nakládání s nebezpečným odpadem.
(b) V rámci podnikatelské činnosti dochází ke zpracovávání osobních údajů zákazníků, obchodních partnerů či zaměstnanců Společnosti.
(c) Společnost je správcem osobních údajů.
(d) Směrnice pro ochranu osobních údajů upravuje technicko-organizační opatření k zajištění ochrany osobních údajů v souladu s platnou a účinnou legislativou v oblasti ochrany osobních údajů, zejména nikoliv však výlučně zákonem č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (Předpisy na ochranu osobních údajů), s cílem zajištění zpracování osobních údajů v souladu s touto legislativou a principy, na kterých je vystavěná.
(e) Směrnice je závazná pro všechny zaměstnance Společnosti (Zaměstnanec) a Oprávněné osoby, jak je tento pojem definován níže.
(f) Zaměstnancem odpovědným za agendu ochrany osobních údajů je pan Mgr. Pavel Vlček, tel: +420 725 534 813, e-mail: pavel.vlcek@avista-oil.cz, se sídlem kanceláře: Semtín 111, 533 54 Pardubice.
Pro účely této Směrnice se rozumí:
(a) automatizovaným zpracováním zejména:
(b) DPIA posouzení vlivu na ochranu osobních údajů (anglicky Data Protection Impact Assessment) (jak je tento pojem definován v Předpisech na ochranu osobních údajů).
(c) DPO pověřenec pro ochranu osobních údajů (anglicky Data Protection Officer) (jak je tento pojem definován v Předpisech na ochranu osobních údajů).
(d) ICT informační a telekomunikační technologie.
(e) manuálním zpracováním jakékoliv zpracování s výjimkou zpracování automatizovaného (např. listinná podoba, kartotéky, spisy).
(f) oprávněnou osobou
(g) osobním údajem jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě (subjekt údajů); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
(h) osobním údajem zvláštní kategorie osobní údaj vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
(i) profilováním jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, chování, místa, kde se nachází, nebo pohybu.
(j) příjemcem každý subjekt, kterému jsou osobní údaje zpřístupněny. Za příjemce se nepovažuje subjekt, který zpracovává osobní údaje pro potřeby výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci; v případech veřejného pořádku a vnitřní bezpečnosti; předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů; významného hospodářského a finančního zájmu České republiky nebo Evropské unie.
(k) souhlasem subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
(l) správcem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování.
(m) ÚOOÚ znamená Úřad pro ochranu osobních údajů, se sídlem Pplk. Sochora 27, PSČ 170 00, Praha 7, webové stránky www.uoou.cz.
(n) zpracováním osobních údajů jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
(o) zpracovatelem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
(p) Odkazy na jednotné číslo rovněž zahrnují číslo množné a naopak.
(a) Před započetím zpracování osobních údajů je povinen správce vypracovat záznamy o činnostech zpracování a zpracovatel vypracovat záznamy o všech kategoriích činností zpracování prováděných pro správce, pokud tuto povinnost stanoví Předpisy na ochranu osobních údajů.
(b) Účely (důvody) zpracování osobních údajů v jednotlivých agendách vychází ze zvláštních zákonů, nebo jsou osobní údaje zpracovávány na základě rozhodnutí správce.
(c) Ke každému účelu zpracování musí být přiřazen právní titul, právními tituly pro zpracování jsou:
(d) Není-li zpracování osobních údajů nezbytné
(e) Za souhlas se zpracováním osobních údajů je považováno poskytnutí těchto údajů subjekty osobních údajů:
(f) Udělený souhlas musí být prokazatelný po celou dobu zpracování, včetně všech podmínek, ze kterých je zřetelné k čemu a v jakém znění byl souhlas udělen. V případě, že subjekt údajů souhlas neposkytne, nelze jeho osobní údaje zpracovávat.
Pokud je pravděpodobné, že určitý druh zpracování osobních údajů ve Společnosti bude s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování mít za následek vysoké riziko pro práva a svobody fyzických osob, provede Společnost před zpracováním DPIA. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení. V každém takovém případě Společnost požádá o předchozí konzultaci s ÚOOÚ.
(a) Při shromažďovaní osobních údajů přímo od subjektu údajů musí být subjekt osobních údajů, k němuž se osobní údaje vztahují, informován nejpozději v okamžiku získávání jeho osobních údajů o:
(b) Při shromažďovaní osobních údajů jiným způsobem než od subjektu údajů, musí být subjekt osobních údajů, k němuž se osobní údaje vztahují, informován nejpozději v okamžiku získávání jeho osobních údajů o skutečnostech v odstavcích (i), (ii), (iii), (v), (vi) písmene (a) tohoto článku a kategoriích dotčených osobních údajů.
Informační povinnost dle tohoto článku plní oprávněné osoby shromažďující osobní údaje od subjektů údajů, a to formou Informačního memoranda Společnosti.
(a) Základní zásady vyřizování žádosti
(b) Postup při vyřizování žádosti subjektu údajů
(c) Subjekt údajů musí být informován o krocích, které byly podniknuty v souvislosti s vyřizováním jeho žádosti do 1 měsíce od jejího podání. V případě větší složitosti záležitosti nebo většího počtu žádosti či námitek podaných subjektem údajů během 1 měsíce, může být lhůta pro vyřízení prodloužena o 2 měsíce, o čem bude subjekt údajů informován, včetně důvodů pro tento odklad. Odpověď bude subjektu údajů podána ve stejné formě, v jaké byla podána jeho žádost, pokud nebude dohodnuto jinak.
(d) Vyřizování žádosti se činí bezplatně. Jsou-li však žádosti subjektem údajů podané zjevně nedůvodně nebo nepřiměřeně, zejména pokud se opakují, může Společnost účtovat za vyřízení žádosti přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo s učiněním požadovaných úkonů, případně může odmítnout žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti musí být Společnost schopna doložit.
(e) Specifické postupy ohledně jednotlivých práv subjektů údajů
(f) Oznámení subjektům ohledně výmazu, opravy nebo omezení zpracování
V případě vyhovění výkonu výše uvedených práv, musí být zpracovatelé a jiní příjemci osobních údajů informováni o jakémkoliv výmazu, opravě nebo omezení zpracování. Zároveň musí být jasně instruováni k podniknutí kroků k danému výmazu, opravě nebo omezení zpracování.
ŽÁDOST SUBJEKTU ÚDAJŮ VÁŽENÍ ZÁKAZNÍCI A OBCHODNÍ PARTNEŘI,
Pokud máte zájem zjistit, jaké osobní informace o Vás shromažďujeme a zpracováváme, použijte tuto žádost, kterou zašlete na e-mail: pavel.vlcek@avista-oil.cz .
Žádost si můžete stáhnout zde.
(a) Mezi hlavní bezpečnostní rizika, které hrozí při zpracování osobních údajů v rámci Společnosti patří zejména:
(a) V rámci Společnosti je definován proces posuzování rizik bezpečnosti osobních údajů. V rámci tohoto procesu je stanovená metodika hodnocení rizik, tj. postupy a kritéria pro posuzování rizik a vyhodnocení identifikovaných rizik.
(b) Posouzení rizik se provádí periodicky, s maximální periodou dva roky, nebo v případě takových situací, které mají nebo mohou mít vliv na bezpečnost osobních údajů.
(a) V rámci Společnosti je definován proces k ošetření rizik bezpečnosti osobních údajů, v rámci, kterého je prováděn výběr vhodných variant na ošetření identifikovaných rizik s ohledem na výsledky posouzení rizik.
(b) S ohledem na identifikovaná rizika bezpečnosti osobních údajů je:
(a) Řízení přístupu k prostředkům ICT je prováděno za uplatnění následujících principů, které se uplatňují jak pro Zaměstnance, tak pro externí subjekty jako obchodní partnery a dodavatele, např. zajišťující služby pro Společnost na základě smluvního vztahu:
(b) Pravidla řízení přístupu se uplatňují pro uživatele, administrátory, privilegované účty s rozšířenými přístupovými oprávněními, externí subjekty, kterým má být umožněn přístup do informačního systému Společnosti.
(c) Každý uživatel, aplikace, systém nebo externí subjekt má přidělen jednoznačný identifikátor. Pro tvorbu identifikátorů jsou stanovena jednotná pravidla v rámci Společnosti.
(d) Uživatel podá svoji žádost o přidělení přístupových práv stanoveným a formálním způsobem k rukám Mgr. Pavla Vlčka.
(e) Okamžité zablokování přístupových oprávnění při zjištění porušení pravidel autorizace.
(f) Uživatelé jsou odpovědni za autentizační informace (hesla) a jsou povinni zajistit jim řádnou ochranu.
(a) V rámci přidělování rozšířených přístupových oprávnění je uplatňován princip minimální potřeby pro danou provozní roli. Rozšířená oprávnění jsou řízena a přidělována dle stanoveného formálního procesu autorizace.
(b) Rozšířená práva by měla být přiřazena k identifikátoru uživatele odlišného od identifikátoru používaného pro běžné činnosti ve Společnosti. Je veden přehled o identifikátorech (účtech), kterým byla udělena rozšířená přístupová oprávnění.
(c) Kompetence uživatelů s rozšířenými přístupovými právy (např. administrátoři) musí být pravidelně přezkoumávány s cílem ověření, zda jsou v souladu s jejich povinnostmi. Přezkoumání se provádí nejméně 1x za rok.
Systém správy hesel ve Společnosti má za cíl zajištění kvality hesla a způsobů jeho implementace při autentizaci uživatele dle potřeb Společnosti pro zajištění zabezpečení přístupu do informačního systému Společnosti. Systém správy hesel zabezpečí mimo jiné požadavky vynucení pravidelné změny hesla uživateli a stanovení parametrů hesel (např. doba platnosti nebo existence stanovených znaků).
(a) Zaměstnanci pracující ICT prostředky, které mu byly svěřené Společností, je mohou využívat pouze k výkonu svých pracovních povinností.
(b) Zaměstnanci mají povinnost chránit svěřené ICT prostředky před ztrátou, poškozením, zničením či zcizením. Zejména jsou povinni uzamykat místnosti s ICT technologií při nepřítomnosti a přiměřeným způsobem chránit přidělené mobilní ICT prostředky.
(c) V případě, že Zaměstnanec ICT prostředek nemá pod přímou kontrolou (např. při opuštění kanceláře), musí používat základní ochranné prostředky, tj. např. software „uzamykání“ ICT prostředku, nebo jeho vypínání.
(d) Pro bezpečný vzdálený přístup do ICT prostředí Společnosti je administrátorem ICT prostředků technologicky zajištěna bezpečná cesta se šifrovanou komunikací.
(a) Základní pravidla řízení bezpečnostních incidentů
Řízení bezpečnostních incidentů a událostí v Společnosti zahrnuje následující pravidla:
(b) Postup zvládání bezpečnostních incidentů
Postup při řešení bezpečnostního incidentu zahrnuje následující činnosti:
(a) Při kategorizaci bezpečnostních incidentů se zohlední:
(b) Pro potřeby zvládání bezpečnostních incidentů se incidenty dělí do následujících kategorií:
Kategorie | Bezpečnostní incident |
---|---|
Kategorie 1 | Dochází k méně významnému narušení bezpečnosti osobních údajů. Musí být zamezeno další šíření bezpečnostního incidentu. |
Kategorie 2 | Je narušena bezpečnost osobních údajů. Jeho řešení vyžaduje neprodlený zásah k zamezení dalšímu šíření bezpečnostního incidentu. |
Kategorie 3 | Je významně narušena bezpečnost osobních údajů. Řešení vyžaduje neprodlený zásah obsluhy, všemi dostupnými prostředky musí být zabráněno dalšímu šíření bezpečnostního incidentu. |
(c) Oznamování případů porušení zabezpečení osobních údajů
(a) Zpracování osobních údajů je ukončeno a osobní údaje budou neprodleně zlikvidovány:
Osobní údaje (potenciálních) zákazníků
Původ osobních údajů | Požadovaná/maximální doba uchovávání |
Ze smlouvy | 10 let od konce obchodního vztahu |
Z marketingových aktivit | 3 roky od získání těchto osobních údajů |
Osobní údaje (potenciálních) obchodních partnerů
Původ osobních údajů | Požadovaná/maximální doba uchovávání |
Ze smlouvy | 10 let od konce obchodního vztahu |
Z marketingových aktivit | 3 roky od získání těchto osobních údajů |
Osobní údaje (potenciálních) zaměstnanců
Původ osobních údajů | Požadovaná/maximální doba uchovávání |
Z příjímacího procesu | 1 měsíc od získání těchto osobních údajů |
Z pracovní smlouvy | 3 roky od konce pracovního vztahu |
Evidenční listy | 3 kalendářní roky po roce, kterého se týkají |
Záznamy ohledně poživatele starobního nebo invalidního důchodu | 10 let následujících po roce, kterého se záznamy týkají |
Mzdové listy nebo účetní záznamy o údajích potřebných pro účely důchodového pojištění | 30 let následujících po roce, kterého se záznamy týkají |
Osobní údaje z různých dokumentů
Původ osobních údajů | Požadovaná/maximální doba uchovávání |
Účetní záznamy | 5 let (účetní závěrky a výroční zprávy 10 let) |
Daňové doklady | 10 let od konce zdaňovacího období, ve kterém se plnění uskutečnilo |
V případě předání osobních údajů do členských států Evropského hospodářského prostoru není potřeba realizovat žádná dodatečná opatření. Předávání osobních údajů do třetích zemí může být založeno na základě mezinárodní smlouvy, příp. na základě rozhodnutí orgánů Evropské unie, aktuální podmínky pro takové předávání, které jsou dodržovány jsou uvedeny na webových stránkách ÚOOÚ.[1]
(a) Zpracovatelé jsou osoby pověřené zpracováváním osobních údajů v souladu s podmínkami zakotvenými ve smlouvě o zpracování se Společností. Tato smlouva má vždy písemnou formu. Ve smlouvě musí být minimálně uvedeno jaký je předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva Společnosti jako správce. Dále se zpracovatel v této smlouvě zaváže k/ke:
(a) Před zpracováním zvláštních kategorií osobních údajů musí být subjekt údajů informován a poučen v rozsahu informační povinnosti dle této Směrnice. Zvláštní kategorie osobních údajů mohou být zpracovány pouze s výslovným souhlasem subjektu údajů, kterého se týkají. Za výslovný souhlas lze považovat pouze takové právní jednání, kterým dotčená fyzická osoba výslovně svoluje ke zpracování svých osobních údajů zvláštních kategorií. Nedá-li tato fyzická osoba výslovný souhlas s jejich zpracováním, nelze její osobní údaje zvláštních kategorií zpracovávat.
(b) Poskytnuté osobní údaje zvláštních kategorií jsou pokládány za důvěrné informace a v rámci jejich dalšího zpracování se s nimi mohou seznamovat pouze oprávněné osoby, které tyto údaje potřebují pro plnění svých pracovních povinností.
(c) Specifické podmínky, za nichž je možné zpracovávat citlivé údaje bez souhlasu, resp. s dodatečným souhlasem, jsou uvedeny v Předpisech o ochraně osobních údajů.
(a) Zaměstnanec odpovědný za agendu ochrany osobních údajů v rámci své odpovědnosti za ochranu osobních údajů zajišťuje informovanost oprávněných osob o problematice ochrany osobních údajů se zaměřením na:
(a) Ve vnějších a vnitřních prostorech budovy U22 na adrese sídla Společnosti a také v provozovně v Olomouci na adrese Holice 926, 779 00 Olomouc-Holice, jsou instalovány kamerové systémy se záznamovým zařízením. Účelem instalace těchto kamerových systémů je ochrana majetku, bezpečnosti a dalších chráněných zájmů Společnosti, jejich Zaměstnanců i dalších osob, nacházejících se v budově Společnosti. O tomto zpracování je taktéž vyhotoven Záznam o zpracování. Subjekty údajů jsou o kamerovém systému informováni formou viditelného označení monitorovaného prostoru.
(b) Snímané záběry jsou uchovávány v záznamových zařízeních po dobu nejvýše 5 dnů. Po této době jsou zaznamenaná data automaticky přemazána novým zápisem.
(c) Kamerové systémy nejsou napojeny na žádnou databázi operující s osobními údaji. Záznamy z kamerových systémů budou využity v souladu s účelem jejich instalace, a to v případě vnitřního šetření identifikovaného incidentu, nebo budou předány na vyžádání orgánů činných v trestním řízení jako důkazní materiál vyšetřování.
Tato Směrnice nabývá účinnosti dne 1. května 2018.
V Pardubicích dne 1. května 2018
Mgr. Pavel Vlček – jednatel společnosti
[1] https://www.uoou.cz/predavani-osobnich-udaju-do-zahranici/ds-1633/p1=1633&rd=1000