Protection of personal data

Vnitřní předpis o ochraně osobních údajů

(dále jen „směrnice“)

 

obchodní společnosti

CHICAGO s.r.o.

Blatenská 2145/95, 430 03 Chomutov

Ič: 02475731

Obsah

 

I.......... Účel 3

  1. Působnost 3

III.        Termíny, definice a zkratky. 3

  1. Zásady zpracování osobních údajů. 4
  2. Povinnosti pracovníků. 4
  3. Odpovědná osoba. 5

VII.      Technická a organizační opatření pro ochranu osobních údajů. 6

VIII.      Zpráva o posouzení vlivů. 7

  1. Práva subjektů údajů. 8
  2. Komunikace se subjekty údajů. 9
  3. Oznamování případů porušení zabezpečení osobních údajů. 10

XII.      Vzdělávání 10

XIII.      Provádění oznámení podle této směrnice. 11

XIV.     Archivace. 11

  1. Likvidace osobních údajů. 11

XVI.     Kontrola dodržování směrnice. 11

XVII.    Přílohy. 11

XVIII.  Evidence revizí a úprav směrnice. 12


 

  1. Účel
    • Obchodní společnost CHICAGO s.r.o. (dále jen „Společnost“) zavádí tuto směrnici pro naplnění požadavků a uplatňování GDPR.
    • Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů ve Společnosti. Tato směrnice je jedním z organizačních opatření ochrany osobních údajů ve smyslu článku 32 GDPR.
    • Tato směrnice dále upravuje procesy realizace práva subjektu údajů na přístup k osobním údajům ve smyslu článku 15 GDPR a ohlašování případů porušení zabezpečení osobních údajů ve smyslu článku 33 a 34 GDPR.

 

  1. Působnost
    • Tato směrnice se vztahuje na každého pracovníka Společnosti, když zpracovává osobní údaje nebo plní jinou činnost, která je upravena v GDPR.
    • Každý pracovník, na nějž se tato směrnice vztahuje, je proškolen na ochranu osobních údajů dle této směrnice a byl s obsahem této směrnice seznámen.

 

  • Termíny, definice a zkratky
  • V této směrnici mají níže uvedené pojmy následující význam:
    • Dozorový úřad – Úřad pro ochranu osobních údajů;
    • GDPR – Nařízení Evropského parlamentu a Rady (EU) č. 2016/679, ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
    • Osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
    • Zvláštní kategorie osobních údajů-osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby;
    • Pracovník – je každá osoba, včetně právnických osob, která pro Společnost vykonává jakoukoliv činnost, zejména zaměstnanec, externí spolupracovník, dodavatel apod. a při své činnosti zpracovává osobní údaje nebo plní jinou činnost upravenou v GDPR;
    • Odpovědná osoba – pracovník pověřený Společností některými činnostmi souvisejícími se zpracováním osobních údajů; odpovědná osoba není pověřencem dle GDPR;
    • Subjekt údajů – každá fyzická osoba, včetně osob samostatně výdělečně činných;
    • Zpracování osobních údajů – je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

 

  1. Zásady zpracování osobních údajů
    • Statutární orgán nebo jím výslovně pověřená osoba určuje účely a prostředky zpracování osobních údajů při každé činnosti ve Společnosti. Tyto osoby dále určí dobu, po kterou bude každý osobní údaj zpracováván, nebo kritéria, pomocí kterých se tato doba určí. Osobní údaje jsou zpracovávány po dobu určenou právními předpisy nebo po dobu trvání licence ke zpracovávání osobních údajů správcem. Účel jakožto i retenční doba zpracovávání osobních údajů jsou evidovány v záznamech o činnostech zpracování vedených Společností dle čl. 30 GDPR.
    • Má-li pracovník podezření, nebo dozví-li se, že jsou osobní údaje jakéhokoliv subjektu údajů nepřesné, neúplné či zastaralé, ohlásí to nadřízenému zaměstnanci Společnosti nebo zaměstnanci Společnosti, který s pracovníkem za Společnost jedná. Není-li taková osoba, ohlásí pracovník skutečnosti statutárnímu orgánu Společnosti.
    • Má-li pracovník podezření, nebo dozví-li se, že jsou osobní údaje zpracovávány déle, než je nezbytné pro účely, pro které jsou zpracovávány, ohlásí to nadřízenému zaměstnanci Společnosti nebo zaměstnanci Společnosti, který s pracovníkem za Společnost jedná. Není-li taková osoba, ohlásí pracovník skutečnosti statutárnímu orgánu Společnosti.
    • Při zpracování osobních údajů ve Společnosti pracovníci dodržují následující zásady:
  • ve vztahu k subjektu údajů musí být osobní údaje zpracovávány korektně, zákonným a transparentním způsobem;
  • osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;
  • zpracování musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou osobní údaje zpracovávány – tzv. minimalizace údajů;
  • osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
  • osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;
  • osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

 

  1. Povinnosti pracovníků
  • Pracovníci jsou oprávněni zpracovávat osobní údaje pouze v souladu se zákonem, pokyny Společnosti a vnitřními předpisy provádějícími GDPR. Pracovníci smí zpracovávat pouze osobní údaje nezbytné pro plnění svých povinností vůči Společnosti. Společnost za tímto účelem zřizuje pracovníkům přístup pouze k nezbytně nutným evidencím osobních údajů.
  • Každý pracovník odpovídá za to, že zpracování osobních údajů provádí v souladu s právními předpisy, pokyny Společnosti a tímto interním předpisem a dalšími předpisy a dokumenty Společnosti.
  • Každý pracovník je povinen zachovávat mlčenlivost o osobních údajích a opatřeních přijatých k jejich ochraně, o nichž se v souvislosti s výkonem svého zaměstnání, či obdobné činnosti dozvěděl, a to i po skončení pracovního poměru či jiného vztahu se Společností. Porušení mlčenlivosti se považuje za porušené povinností pracovníka zvlášť hrubým způsobem.
  • Pracovník, který jako první přijde při své činnosti pro Společnost do styku s osobními údaji subjektu údajů, je povinen:
    1. identifikovat, které osobní údajů pro svou činnost ve Společnosti nezbytně potřebuje, aby v rámci minimalizace zamezil zpracování osobních údajů, které jsou nadbytečné;
    2. určit kategorie osobních údajů (např. identifikační, kontaktní údaje, údaje o osobním či rodinném stavu, údaje o zdravotním stavu, účast v politických stranách, v odborových organizacích…);
    3. určit, zda jde o „běžný“ osobní údaj nebo o osobní údaj patřící do zvláštních kategorií osobních údajů;
    4. určit důvod zpracování „běžných“ osobních údajů dle čl. 6 GDPR, kterým může být:
      1. ochrana životně důležitých zájmů
      2. splnění smlouvy či provedení opatření přijatých před uzavřením smlouvy;
  • splnění právní povinnosti (zpracování osobních údajů předepisuje zákon);
  1. oprávněný zájem Společnosti či třetí osoby a identifikace oprávněného zájmu;
  2. souhlas subjektu údajů – pouze pokud neexistuje žádný z přechozích důvodů;
  1. dojde-li pracovník k závěru, že zpracovává osobní údaje patřící do zvláštních kategorií osobních údajů, spojí se s odpovědnou osobou dle čl. VI. této směrnice pro další postup;
  2. poskytnout subjektu údajů informace dle čl. 13 GDPR v případě, že osobní údaje byly získány od subjektu údajů, popř. informace dle čl. 14 GDPR v případě, že osobní údaje nebyly získány od subjektu údajů;
  3. zjistit, zda je o činnostech zpracování osobních údajů vyhotoven záznam, případně předat odpovědné osobě pokyn k vyhotovení záznamu o činnostech zpracování.
  • Každý pracovník je povinen chránit dokumenty obsahující osobní údaje, se kterými pracuje, před odcizení či zneužitím ze strany neoprávněné osoby, a to zejména tak, že se při odchodu ze svého místa odhlásí ze svého uživatelského účtu na počítači, pokud jej k práci využívá, a uzamkne dokumenty obsahující osobní údaje subjektu údajů na určené místo.
  • Při tisku na síťové tiskárně je pracovník povinen dokumenty obsahující osobní údaje subjektu údajů ihned z tiskárny vzít.

 

  1. Odpovědná osoba
  • Společnost nemá dle GDPR povinnost jmenovat pověřence pro ochranu osobních údajů.
  • Odpovědná osoba je pověřená Společností některými činnostmi souvisejícími se zpracováním osobních údajů, zejména prevencí incidentů, zabezpečením zpracování osobních údajů, řešením stížností a žádostí, správou systémů a dalšími činnostmi je uvedena v příloze č. 1 této směrnice.
  • Příloha č. 1 této směrnice obsahuje seznam odpovědných osob s uvedením jejich rolí, aby jednotliví pracovníci vždy měli jasný přehled, na jakou osobu se obrátit v případě řešení problémů.
  • Odpovědná osoba zajišťuje soulad této směrnice s obecně závaznými právní předpisy.
  • Odpovědná osoba provádí minimálně jedenkrát za 12 měsíců interní audit ve Společnosti pro kontrolu dodržování povinností pro ochranu osobních údajů dle této směrnice. Výsledek interního auditu písemně zaznamenají. Interní audit se provádí také vždy v případě výraznějších změn ve Společnosti.
  • Odpovědné osoby komunikují a spolupracující s dozorovým úřadem.
  • Odpovědné osoby organizují pravidelné vzdělávací akce dle čl. XII., jichž se jako účastníci sami účastní.

 

 

 

  • Technická a organizační opatření pro ochranu osobních údajů
  • Systém ochrany osobních údajů je tvořen komplexem organizačních a technických opatření, která jsou ve Společnosti realizována za účelem zabezpečení ochrany a bezpečnosti osobních údajů.
  • Společnost vede a uchovává záznamy o činnostech zpracování, které obsahují následující informace. Vzor záznamu o činnostech zpracování tvoří Přílohu č. 2 k této směrnici.
  • Technická opatření:
    1. elektronické zabezpečení prostor Společnosti;
    2. zamezení přístupu neoprávněným osobám;
    3. pro uložení elektronických dokumentů je určeno centrální diskové pole Společnosti umístěné v uzamykatelné místnosti. Lokální disky počítačů nejsou k ukládání osobních údajů určeny;
    4. zabezpečení serveru před odcizením a neoprávněným přístupem;
    5. přístup do všech počítačů a mobilních zařízení pod heslem;
    6. ochrana zařízení antivirem, firewallem;
    7. nastavené oprávněné přístupy do systému Společnosti jen pro pověřené osoby;
    8. záznamová zařízení a listinné evidence jsou umístěny v uzamykatelných místnostech Společnosti. Vstup do místnosti mají pouze oprávněné osoby, které při opuštění místnosti tuto vždy zamykají. Ostatní osoby mají přístup do místnosti pouze v doprovodu oprávněných osob;
    9. vzdálený přístup je umožněn prostřednictvím zabezpečeného připojení jen oprávněným osobám (pracovníkům vyřizujícím danou agendu);
  • Organizační opatření:
    1. pracovníci Společnosti jsou pravidelně školeni na zásady a principy ochrany osobních údajů a kybernetickou bezpečnost;
    2. Společnost přijala tuto vnitropodnikovou směrnice pro nakládání s osobními údaji;
    3. všichni pracovníci Společnosti jsou vázáni mlčenlivostí ohledně předaných osobních údajů;
  • Řízení rizik

 Společnost provádí pravidelnou kontrolu, testování a hodnocení účinnosti zavedených technických a organizačních opatření pro zjištění bezpečnosti zpracování a možných nedostatků formou interního auditu prostřednictvím odpovědné osoby. Tento interní audit provádí Společnost jedenkrát za 12 měsíců, také vždy v případě výraznějších změn ve Společnosti.

Vyhodnocení rizik je následující:

  1. Riziko vůči právům a svobodám subjektů údajů z následujících pohledů
  2. porušení principů přiměřenosti a nezbytnosti zpracování;
  3. porušení práv subjektů údajů;
  4. neoprávněný přístup k osobním údajům;
  5. neoprávněná změna osobních údajů;
  6. nedostupnost nebo výmaz osobních údajů.
  7. Možný dopad v případě realizace rizik v písm. a). (například zpracování osobních údajů bez právního titulu může vést k zasílání nevyžádaných obchodních sdělení nebo neschopnosti zajistit výkon práva subjektu údajů a následnému způsobení majetkové či nemajetkové újmy, neoprávněný přístup k osobním údajům patřícím do zvláštních kategorií osobních údajů může vést k odcizení identity apod.).
  8. Hodnocení závažnosti dopadu: Na základě definice možných dopadů v bodě b) je určena jedna z následujících kategorií identifikovaných rizik.
  9. Zanedbatelné: Subjekty údajů nebudou dotčeny, nebo budou dotčeny minimálně bez jakýchkoliv větších problémů (např. opětovné zadávání informací do systému, obtěžování při opětovném marketingovém sdělení).
  10. Omezené: Subjekty údajů se mohou setkat s nepříjemnostmi, které budou schopny relativně snadno vyřešit (dodatečné náklady, popření přístupu k obchodním službám, strach, nedostatek porozumění, stres atd.).
  11. Významné: Událost může mít významný důsledek pro subjekty údajů. Tyto důsledky by subjekty měly být schopné překonat, ačkoliv s vážnými obtížemi (např. zneužití finančních prostředků, škody na majetku, ztráta zaměstnaní, zhoršení zdravotního stavu atd.).
  12. Vysoké: Událost může mít vysoké nebo nezvratné důsledky pro subjekty údajů, které nemusí být možné překonat (např. finanční potíže, značný dluh, pracovní neschopnost, dlouhodobé fyzické nebo psychické nemoci, smrt atd.).
  13. Hodnocení pravděpodobnosti výskytu události, která může mít negativní vliv na subjekty údajů:
  14. Zanedbatelné: Ve Společnosti ani v odvětví se událost ještě nevyskytla, její výskyt však není vyloučený.
  15. Omezené: Ve Společnosti se událost v minulosti ještě nevyskytla, její výskyt však byl již zaznamenán v rámci odvětví.
  16. Významné: Ve Společnosti se událost v minulosti již vyskytla.
  17. Vysoké: Ve Společnosti se událost již vyskytla opakovaně.
  18. Zavedená a plánovaná ochranná resp. nápravná opatření.
  • Narušení zabezpečení osobních údajů

V případě zjištění porušení zabezpečení osobních údajů je nezbytné:

  1. Oznámit zjištění odpovědné osobě;
  2. Zamezit dalšímu úniku – fyzickým zamčením dokumentů nebo v případě elektronické formy zamezením přístupu nebo vypnutím IT systémů;
  3. Případ narušení zabezpečení posoudit a zdokumentovat (co se stalo, jaké a čí osobní údaje unikly, možné následky, popis přijatých opatření s cílem vyřešit daný případ, identifikace rizika/vysokého rizika);
  4. postupovat dle čl. XI. této směrnice, pokud jsou splněny podmínky pro takový postup.

 

  • Zpráva o posouzení vlivů
    • Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody subjektů údajů, provede Společnost před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů, a to dle čl. 35 a násl. GDPR. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.
    • Posouzení vlivu se zpracuje vždy pro:
      • systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
      • rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 10 GDPR; nebo
      • rozsáhlé systematické monitorování veřejně přístupných prostorů. 
    • Posouzení obsahuje alespoň:
  • systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů Společnosti;
  • posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
  • posouzení rizik pro práva a svobody subjektů údajů; a
  • plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu.
    • Pokud ze zprávy o posouzení vlivů vyplývá, že by předmětné zpracování osobních údajů mělo za následek vysoké riziko pro práva a svobody subjektů údajů v případě, že by Společnost nepřijala opatření ke zmírnění tohoto rizika, Společnost konzultuje zprávu o posouzení vlivů s dozorovým úřadem. Podrobnosti určí statutární orgán Společnosti.

 

  1. Práva subjektů údajů
  • Poskytování informací o zpracování osobních údajů

Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne odpovědná osoba v okamžiku získání osobních údajů subjektu údajů informace dle čl. 13 GDPR, v případě, že osobní údaje nebyly získány od subjektu údajů, poskytne odpovědná osoba tyto informace v souladu s čl. 14 GDPR.

  • Právo subjektů údajů na přístup k osobním údajům

V případě, že o to subjekt údajů požádá, Společnost poskytne subjektu údajů potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, umožní subjektům údajů získat přístup k těmto osobním údajům a k informacím způsobem a v rozsahu dle článku 15 GDPR.

  • Právo na opravu

V případě, že o to subjekt údajů požádá, případně se o nepřesných osobních údajích dozví Společnost jinak, opraví bez zbytečného odkladu nepřesné osobní údaje. V případě, kdy si to účel zpracování vyžaduje, zajistí Společnost doplnění neúplných osobních údajů dle článku 16 GDPR.

  • Právo na výmaz

V případě, že je dán jeden z následujících důvodů, zajistí Společnost na základě uplatnění práva subjektem údajů bez zbytečného odkladu výmaz osobních údajů:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány;
  • subjekt údajů odvolá souhlas, na jehož základě byly osobních údaje zpracovávány, a neexistuje žádný další právní důvod pro zpracování;
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;
  • osobní údaje byly zpracovány protiprávně;
  • osobní údaje musí být vymazány ke splnění povinnosti, která se na Společnost vztahuje;
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1 GDPR.
  • Právo na omezení zpracování

V případě, že je dán jeden z následujících důvodů, zajistí Společnost omezení zpracování osobních údajů:

  • subjekt údajů popírá přesnost osobních údajů;
  • zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  • Společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  • subjekt údajů vznesl námitku proti zpracování, zpracování bude omezeno, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.
  • Právo na přenositelnost údajů

V případě, že o to subjekt údajů požádá a zároveň je zpracování založeno na souhlasu nebo smlouvě, a zároveň se zpracování provádí automatizovaně, umožní Společnost subjektu údajů výkon práva na přenositelnost. Osobní údaje, které subjekt údajů Společnosti poskytl a které se ho týkají, poskytne Společnost ve strukturovaném, běžně používaném a strojově čitelném formátu. Součástí tohoto práva je zajištění možnosti přenesení předmětných osobních údajů k jinému správci dle požadavku subjektu údajů.

 

  1. Komunikace se subjekty údajů
  • Pracovník, který obdržel v jakékoliv formě (písemně, telefonicky, osobně) jakoukoliv žádost či stížnost fyzické osoby, která se týká nebo by se mohla týkat ochrany osobních údajů, zejména žádosti ve smyslu čl. 15 - 22 GDPR, oznámí tuto skutečnost příslušné odpovědné osobě. Odpovědná osoba spravuje e-mailovou schránku s adresou fojtik@arenahotel.cz.
  • Odpovědná osoba vyřizuje požadavky subjektů údajů v souladu s obecnými pokyny Společnosti, vždy však tak, aby žádosti subjektu údajů bylo vyhověno bez zbytečného odkladu, a aby mu byly k vyřízení jeho žádosti poskytnuty veškeré informace a v případě, že žádosti nebylo vyhověno, aby byly sděleny důvody tohoto rozhodnutí.
  • Neexistuje-li obecný pokyn Společnosti k řešení konkrétního požadavku, vyžádá si příslušná odpovědná osoba pokyn statutárního orgánu.
  • Ověřování identity subjektu údajů bude prováděno vždy přiměřeným způsobem, který zaručí dostatečnou identifikaci subjektu údajů s ohledem na formu podání, využitý komunikační prostředek a obsah žádosti subjektu údajů.
  • Všechny požadavky subjektů údajů musí být vyřízeny bez zbytečného odkladu, nejpozději do jednoho měsíce ode dne jejich obdržení. Pokud není možné dodržet lhůtu dle předchozí věty, příslušná odpovědná osoba tuto skutečnost okamžitě oznámí nadřízenému zaměstnanci nebo statutárnímu orgánu Společnosti, včetně uvedení důvodu, proč není možné lhůtu dodržet, a vyžádá si konzultace, jak správně postupovat dále, současně nejpozději do jednoho měsíce od obdržení žádosti sdělí subjektu údajů, že prodlužuje lhůtu pro vyřízení požadavku až o další dva měsíce a uvede důvody takového odkladu.
  • případě žádosti subjektu údajů o přístup k osobním údajům dle odst. 9.1. této směrnice poskytne příslušná odpovědná osoba subjektu údajů nejméně informaci, zda osobní údaje, které se subjektu údajů týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, poskytne mu osobní údaje subjektu údajů a informace o:
  • účelu jejich zpracování;
  • kategoriích dotčených osobních údajů;
  • příjemcích nebo kategoriích příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemcích ve třetích zemích nebo v mezinárodních organizacích;
  • plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritériích použitých ke stanovení této doby;
  • existenci práva požadovat od Společnosti opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
  • právu podat stížnost u dozorového úřadu;
  • veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
  • skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
  • Informace podle tohoto článku poskytuje Společnost subjektu údajů ve stejné formě, v jaké o informace subjekt údajů požádal.
  • Společnost vydává vzorovou odpověď na žádost subjektů údajů, která tvoří přílohu č. 3 této směrnice.
  • V případě zjevně nedůvodných, nepřiměřených, opakovaných žádostí subjektu údajů může Společnost subjektu údajů účtovat přiměřený poplatek za každou opakovanou žádost jako náhradu administrativních nákladů, Společnost může takovým žádostem také odmítnout vyhovět.
  • Společnost archivuje požadavky subjektu údajů a reakce na ně po dobu, po kterou zpracovává osobní údaje subjektu údajů, nemá-li důvod (např. povinnost ze zákona) k delší době archivace.

 

  1. Oznamování případů porušení zabezpečení osobních údajů
  • Jakékoli porušení zabezpečení osobních údajů dle ustanovení čl. 4 odst. 12 GDPR Společnost bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, ač tomu tak mělo být, musí být současně s ním uvedeny důvody tohoto zpoždění.
  • Ohlášení dozorovému úřadu se děje prostřednictvím datové schránky.
  • Ohlášení dozorovému úřadu podle tohoto článku musí přinejmenším obsahovat:
  • popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
  • kontaktní místo, které může poskytnout bližší informace;
  • popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
  • popis opatření, která Společnost přijala nebo navrhla k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
  • Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Společnost toto porušení bez zbytečného odkladu dotčenému subjektu údajů. 
  • Pracovníci hlásí případy porušení zabezpečení příslušným odpovědným osobám.
  • Zaznamenání incidentů bude na základě informací příslušných odpovědných osob zpracovávat sekretariát ředitele Společnosti nebo jiná pověřená osoba ve formě seznamu incidentů s popisem události.

 

  • Vzdělávání
  • Společnost zajistí pravidelná školení pracovníků na zásady dodržování ochrany osobních údajů ve smyslu GDPR. Každý pracovník, kterému to bude uloženo, je povinen účastnit se školení a potvrdit svou účast na školení.
  • Společnost je oprávněna ověřit u pracovníků osvojení si znalostí a zásad GDPR ze školení.
  • O pořádání vzdělávací akcí pro pracovníky pořídí Společnost záznam, jehož přílohou bude prezenční listina.

 

 

 

  • Provádění oznámení podle této směrnice
  • Archivace
  1. Likvidace osobních údajů
  • Kontrola dodržování směrnice