GDPR

Smernica o ochrane osobných údajov (GDPR)

Dátum poslednej zmeny smernice: štvrtok 5. apríla 2018

I.

Úvodné ustanovenia

V tejto smernici sa stanovujú zásady ochrany zhromaždených osobných údajov.

Denis Čišič sa týmto zaväzuje dodržiavať všeobecnú ochranu osobných údajov platnú od 25. mája 2018 v súlade s Nariadením Európskej komisie č. 679 / 2016, tzv. všeobecným nariadením o ochrane osobných údajov (ďalej len "GDPR") a s ním súvisiacou národnou legislatívou.

Denis Čišič sa ďalej zaväzuje, že bude vždy prijímať také opatrenia, ktoré budú v súlade s GDPR a súvisiacou národnou legislatívou.

 

II.

Vymedzenie pojmov

Dotknutá osoba - je fyzická osoba, ktorej sa osobné údaje týkajú. táto osoba je identifikovaná alebo identifikovateľná na základe údajov (napr. mena, identifikačného čísla, lokalizačných údajov, sieťového identifikátora alebo jedného či viacerých konkrétnych prvkov fyzickej, fyziologickej, genetickej, psychickej, ekonomickej, kultúrnej alebo sociálnej identity tejto fyzickej osoby).

Osobné údaje - sú akékoľvek údaje, ktoré sa používajú na jednoznačnú identifikáciu konkrétnej fyzickej osoby.

Citlivé údaje - sú osobitnou kategóriou osobných údajov, ktoré odhaľujú národnostný, rasový alebo etnický pôvod, politické názory, členstvo v odboroch, náboženské alebo filozofické presvedčenie, biometrické a genetické údaje, zdravotný stav a sexuálny život dotknutej osoby.

Prevádzkovateľ - je subjekt (fyzická alebo právnická osoba, orgán verejnej moci alebo iný subjekt), ktorý určuje účely a prostriedky spracúvania osobných údajov, získava a ďalej spracúva osobné údaje fyzických osôb a zodpovedá za ich spracúvanie. Spracúvaním môže poveriť sprostredkovateľa, ak tak ustanovuje zákon.

Spracovateľ - je iný subjekt, odlišný od Prevádzkovateľa, ktorý spracúva osobné údaje fyzických osôb pre Prevádzkovateľa na základe vopred dohodnutého účelu, robí tak na základe zákona alebo na základe poverenia od Prevádzkovateľa.

Príjemca - je fyzická alebo právnická osoba alebo iný subjekt, ktorý prijíma poskytnuté osobné údaje na vopred dohodnutý účel a údaje ďalej nespracúva. Orgán verejnej moci, ktorý prijíma osobné údaje v rámci svojich vyšetrovacích právomocí, sa nepovažuje za príjemcu, ale jeho postupy spracúvania musia byť v súlade s platnými pravidlami ochrany údajov podľa účelu spracúvania.

Miesto - je fyzické miesto uloženia, kde sú osobné údaje uložené (napr. kartotéka, skriňa, regál).

Právny titul - je právny základ uvedený v GDPR, na základe ktorého fyzická alebo právnická osoba, orgán verejnej moci alebo iný subjekt zaznamenáva osobné údaje.

Účel spracúvania - je zdôvodnenie, prečo sú osobné údaje potrebné a že sa budú používať na takto vymedzený účel a len na tento účel.

Doba spracúvania - je obdobie, počas ktorého evidujeme konkrétne osobné údaje, pričom toto obdobie má byť primerané, pokiaľ nie je stanovené zákonom.

Minimalizácia údajov - je proces, ktorý vedie prevádzkovateľa k tomu, aby požadoval len tie osobné údaje, ktoré sú nevyhnutné na výkon jeho činností.

Obmedzenie spracúvania - je vytvorenie situácie, v ktorej sú osobné údaje po určitú dobu nedostupné a nemožno ich spracúvať inak.

Likvidácia osobných údajov - je nenávratné zničenie osobných údajov.

 

III.

Práva a povinnosti

  1. 1. Naša organizácia nevymenovala úradníka pre ochranu osobných údajov.
  1. 2. Právo pracovať s osobnými údajmi majú len poverení zamestnanci Denis Čišič
  1. 3.  Oprávnenými zamestnancami sú: Jan Sklenička, Gabriela Pohlotková, Petra Škutová, Denis Čišič
  1. 4. Oprávnení zamestnanci sa zaväzujú dodržiavať zásady ochrany osobných údajov, ktorými sú:
    1. informovať dotknutú osobu o jej právach a povinnostiach ako prevádzkovateľa údajov
    2. Informovať dotknutú osobu o právnom titule, účele spracúvania a trvaní spracúvania jej osobných údajov
    3. požadovať len také osobné údaje, ktoré sú potrebné na výkon ich činností
    4. Zaznamenávať osobné údaje len na určených dokumentoch a v určených systémoch
    5. Neposkytovať žiadne osobné údaje neoprávneným osobám
  1. 5. Spoločnosť sa zaväzuje nakladať s osobnými údajmi len v primerane zabezpečených budovách a miestnostiach.



Vhodne zabezpečené budovy a miestnosti sú:

sklad CDRmarket+kancelárie s miestnosťami Chodba, kancelária 1

  1. 6. Pri odchode z miestnosti, v ktorej sa nachádzajú osobné údaje, je poverený zamestnanec povinný zabezpečiť jednotlivé miesta a miestnosť proti vstupu nepovolaných osôb.
  1. 7. Tlačené dokumenty a IT zariadenia obsahujúce osobné údaje, s ktorými sa práve nepracuje, musia oprávnení zamestnanci ukladať do určených skladov.
    Týmito úložnými priestormi sú napr: Archív
  1. 8. Akékoľvek IT zariadenie, na ktorom sa pracuje s osobnými údajmi, musí byť vhodne zabezpečené, minimálne s dostatočným zabezpečením alebo fyzickou a elektronickou ochranou, aby sa zabránilo úniku údajov.


Vhodne zabezpečené IT zariadenia sú: Server SERVER-POHODA, Dátové úložisko Binargon, Dátové úložisko Ecomail, Dátové úložisko kamerového systému s HDD.

 

  1. 9. Pri odchode z pracoviska je poverený zamestnanec povinný zabezpečiť IT zariadenie uzamknutím obrazovky s následným vyžiadaním hesla, prípadne vypnutím zariadenia.
  1. 10. Denis Čišič sa zaväzuje pravidelne zálohovať dáta s osobnými údajmi. Denis Čišič pravidelne zálohuje údaje na tieto záložné zariadenia.
  1. 11. Denis Čišič prevádzkuje webové stránky www.CDRmarket.cz, www.CDRmarket.sk, www.CDRmarket.hu, www.CDRmarket.eu, www.CDRmarket.pl, www.CDRmarket.ro, www.CDRmarket.it, www.CDRmarket.bg na ktorých sa zaväzuje vkladať informácie o spracúvaní cookies, zásadách spracúvania osobných údajov na webových stránkach a právach dotknutej osoby, resp. uvádzať tieto miesta, kde sa zhromažďujú osobné údaje s informačnou povinnosťou.
  1. 12. Denis Čišič sa zaväzuje každý dokument a formulár, na ktorom iniciuje spracúvanie osobných údajov fyzických osôb, opatriť informatívnym dodatkom o spracúvaní osobných údajov s odkazom na úplné znenie Zásad spracúvania osobných údajov.
  1. 13. Denis Čišič prevádzkuje nasledovné informačné systémy, v ktorých eviduje osobné údaje. Stormware Pohoda, MailChimp. Všetky tieto informačné systémy musia byť zabezpečené prístupovými právami a vhodne zabezpečené proti neoprávnenému zneužitiu a prístupu.
  1. 14. Všetky informačné systémy musia byť zálohované a zálohy musia byť uložené na bezpečných miestach.
  1. 15. Každý dokument obsahujúci osobné údaje musí mať určený právny titul, účel spracúvania a dobu spracúvania. Denis Čišič eviduje osobné údaje na základe týchto právnych titulov: Plnenie zmluvy, Právna povinnosť, Oprávnený záujem, Z úradnej moci, Životný záujem, Súhlas, Výslovný súhlas.
  1. 16. Denis Čišič pri svojej činnosti pracuje s nasledovnými osobnými údajmi: Meno, Adresa, Priezvisko, Rodné číslo, Telefónne číslo, DIČ fyzickej osoby, Číslo bankového účtu, Zamestnanecké číslo, Doručovacia adresa, E-mail, Dátum narodenia, Kamerový záznam - audio, video, foto.
  1. 17. Denis Čišič môže prenášať osobné údaje svojim zmluvným partnerom (sprostredkovateľom). Týmito sprostredkovateľmi sú: Pavla Krausová, FEO digital agency s.r.o., BINARGON s.r.o.. Takto predávané osobné údaje sú definované v rozsahu záznamov o spracovanie osobných údajov.
  1. 18. Organizácia je povinná s týmito sprostredkovateľmi dojednať dodatok k zmluve alebo zmluvu o nakladaní s odovzdanými osobnými údajmi v zmysle ochrany osobných údajov a vykonať prípadnú kontrolu dodržiavania zásad ochrany osobných údajov týmito sprostredkovateľmi.
  1. 19. Denis Čišič môže osobné údaje prenášať aj príjemcom. Týmito príjemcami sú: PPL CZ s.r.o., odštepný závod Západné Čechy, ČESKÁ POŠTA s.p., Zásilkovna s.r.o. Takto prenášané osobné údaje sú vymedzené v rozsahu záznamov o spracúvaní osobných údajov.
  1. 20.  Denis Čišič zvolil ako bezpečnú formu prenosu osobných údajov tieto možnosti: Predávanie prebiehe v mieste organizácie. Súkromný e-mail, Pracovný e-mail, Dátová schránka, List, Doporučený list, Cloud, webové úložisko.
  1. 21. Denis Čišič sa zaväzuje po uplynutí doby spracúvania osobných údajov vykonať ich likvidáciu.
  1. 22. Denis Čišič sa zaväzuje vykonávať pravidelné školenia oprávnených zamestnancov, a to minimálne raz ročne.
  1. 23. Denis Čišič sa zaväzuje minimálne raz ročne vykonať kontrolu dodržiavania ochrany osobných údajov, reagovať na zistenia a hrozby, optimalizovať spracúvanie, uchovávanie a bezpečnosť osobných údajov a zaznamenávať zmeny.
  1. 24. Denis Čišič sa zaväzuje viesť evidenciu žiadostí o vymazanie, opravu a námietok proti spracúvaniu. Taktiež sa zaväzuje viesť evidenciu dokumentov týkajúcich sa reakcií a odpovedí na spracúvanie osobných údajov fyzických osôb.
  1. 25. Denis Čišič sa zaväzuje viesť evidenciu bezpečnostných incidentov a nápravných opatrení. V prípade, že by malo dôjsť, alebo sa vyskytol závažný bezpečnostný incident, každý zamestnanec, ktorý sa o takejto skutočnosti dozvie, je povinný informovať osobu zodpovednú za ochranu osobných údajov v organizácii.
  1. 26. Organizácia v prípade zistenia závažného bezpečnostného incidentu oznámi každý takýto bezpečnostný incident dozornému orgánu do 72 hodín od jeho zistenia.
  1. 27. Každá dotknutá osoba, fyzická osoba, má právo na informácie o zaznamenaných osobných údajoch týkajúcich sa jej osoby. Ak takáto osoba uplatní svoje právo, táto žiadosť sa postúpi zodpovednej osobe, ktorá zabezpečí splnenie informačnej povinnosti najneskôr do 30 dní. Denis Čišič zohľadní opodstatnenosť a frekvenciu takýchto žiadostí od toho istého žiadateľa. O tejto skutočnosti vyhotoví záznam s uvedením dátumu žiadosti, mena žiadateľa, popisu riešenia a ponechá si následnú prílohu kópie listu s odpoveďou žiadateľovi na ďalšie dokazovanie.
  1. 28. Dotknutá osoba má právo na opravu zaznamenaných osobných údajov, ktoré sa jej týkajú. V prípade žiadosti o opravu sa takáto oprava vykoná s prihliadnutím na ďalšie okolnosti a možnosti. O tejto skutočnosti sa vyhotoví presvedčivý záznam.
  1. 29. Dotknutá osoba má právo na vymazanie zaznamenaných osobných údajov, ktoré boli poskytnuté na základe súhlasu alebo výslovného súhlasu, alebo tých, pri ktorých uplynula lehota na spracovanie, alebo ak sa organizácia domnieva, že už nie je potrebné ich spracovávať. O tejto žiadosti a každom vymazaní osobných údajov sa vyhotoví presvedčivý záznam, v ktorom sa uvedie dátum žiadosti, meno žiadateľa, opis riešenia a zabezpečí sa, aby sa požadované údaje skutočne vymazali pre budúce spracovanie zo všetkých aktívnych systémov.
  1. 30. Dotknutá osoba má právo namietať proti spracúvaniu osobných údajov. Ak namieta, Denis Čišič vykoná opatrenia alebo zavedie opatrenia na obmedzenie spracúvania takýchto osobných údajov. O tejto skutočnosti sa vyhotoví rozhodujúci záznam s uvedením dátumu žiadosti, mena žiadateľa a popisu riešenia prípadnej kontroly.

 

IV.

Sankcie

 

  1. 1. Zmluvnému partnerovi alebo subjektu v obdobnom právnom vzťahu, ktorý poruší túto smernicu, sa uloží jednorazová pokuta vo výške 397,84 EUR.
  2. 2. Zmluvnému partnerovi alebo subjektu v obdobnom právnom vzťahu, ktorý opakovane alebo zvlášť závažným spôsobom poruší túto smernicu, sa uloží pokuta až do výšky 1 989,35 EUR.
  3. 3. Zamestnancovi, ktorý poruší túto smernicu, zamestnávateľ uhradí škodu spôsobenú zamestnávateľovi v každom jednotlivom prípade až do výšky 4,5-násobku priemerného platu.