§ 1
Účelem Pravidel ochrany osobních údajů, dále zvaných „Pravidly“ ve společnosti Angelika Krupińska "Amanda" Obchodní společnost, ul. Kaliny 95/28, 41-506 Chorzów je přizpůsobení zpracování informací obsahujících osobní údaje požadavkům platných právních aktů.
§ 2
- Ochrana osobních údajů se provádí prostřednictvím fyzického a organizačního zabezpečení, systémového softwaru, aplikací a uživatelů přiměřeně a adekvátně k riziku narušení bezpečnosti osobních údajů zpracovávaných jako součást podnikání.
- Správcem osobních údajů zpracovávaných ve společnosti Angelika Krupińska "Amanda" Obchodní společnost, ul. Kaliny 95/28, 41-506 Chorzów, je Angelika Krupińska.
§ 3
- Zabezpečení použitá ve společnosti Angelika Krupińska "Amanda" Obchodní společnost mají zajistit:
- důvěrnost údajů - chápanou jako vlastnost zajišťující, že údaje nebudou poskytnuty neoprávněným osobám;
- integritu údajů - chápanou jako vlastnost zajišťující, že osobní údaje nebyly změněny nebo zničeny neoprávněným způsobem;
- odpovědnost za údaje - chápanou jako vlastnost zajišťující, že jednání osoby lze jednoznačně přiřadit pouze této osobě;
- integritu systému - chápanou jako integritu systému, nemožnost jakékoli manipulace, úmyslné i náhodné;
- dostupnost informací - chápanou jako zajištění, že oprávněné osoby mají přístup k informacím a souvisejícím zdrojům, pokud je to nutné;
- řízení rizik - chápané jako proces identifikace, kontroly a minimalizace nebo eliminace bezpečnostních rizik, která mohou souviset s informačními systémy používanými ke zpracování osobních údajů.
- Realizace výše uvedených cílů by měla být zaručena následujícími předpoklady:
- zavádění postupů určujících chování osob oprávněných ke zpracování osobních údajů a jejich odpovědnost za ochranu těchto údajů.
- školení uživatelů v oblasti bezpečnosti a ochrany osobních údajů.
- přiřazení uživatelům konkrétních atributů, umožňujících jejich identifikaci (hesla, identifikátory).
- přijetí nezbytných opatření za účelem odstranění slabých článků v bezpečnostním systému,
- pravidelná kontrola dodržování implementovaných metod uživateli, během zpracování osobních údajů.
§ 4
Pojmy použité v Pravidlech by měly být chápány následovně:
- správce osobních údajů - fyzická nebo právnická osoba, orgán veřejné moci, jednotka nebo jiný subjekt, který sám nebo společně s ostatními stanoví účel a způsob zpracování osobních údajů,
- zákon - zákon ze dne 10. května 2018 o ochraně osobních údajů (Sb.zák. z roku 2018, bod 1000)
- GDPR - nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES Sb. zák. UE.L č. 119, str. 1/,
- osobní údaje - veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby,
- zpracování údajů - operace nebo soubor operací prováděných s osobními údaji automatizovaným nebo neautomatizovaným způsobem, jako je sběr, zaznamenávání, ukládání, zpracování, spojování, odesílání, změna, sdílení a mazání, ničení atd.,
- IT systém - soubor spolupracujících zařízení, programů, postupů zpracování informací a programových nástrojů používaných ke zpracování osobních údajů,
- tradiční systém - soubor organizačních postupů týkajících se mechanického zpracování informací, jakož i zařízení a dlouhodobého majetku používaného ke zpracování osobních údajů na papíře,
- zabezpečení údajů v IT systému - zavádění a využívání příslušných technických a organizačních opatření zajišťujících ochranu údajů před neoprávněným zpracováním,
- příjemce - fyzická nebo právnická osoba, veřejný orgán, subjekt nebo jiná osoba, kterému jsou poskytovány osobní údaje na základě mj. pověřovací dohody,
- třetí strana - fyzická nebo právnická osoba, orgán veřejné moci, jednotka nebo subjekt jiný než subjekt údajů, který může se souhlasem správce osobních údajů zpracovávat osobní údaje,
- uživatel - osoba oprávněná ke zpracování osobních údajů,
- RCPD nebo registr znamená registr činností zpracování osobních údajů. Registr činností představuje přílohu č. 1 těchto Pravidel.
§ 5
- Společnost Angelika Krupińska "Amanda" Obchodní společnost zpracovává osobní údaje zákazníků, obchodních partnerů, zaměstnanců a uchazečů o zaměstnání.
- Tyto informace jsou zpracovávány v papírové i elektronické dokumentaci.
- Pravidla obsahují předpisy týkající se zavedených technických a organizačních bezpečnostních opatření zajišťujících ochranu zpracovávaných osobních údajů.
- Dalšími dokumenty upravujícími ochranu osobních údajů ve společnosti Angelika Krupińska "Amanda" Obchodní společnost jsou:
- Registr činností zpracování osobních údajů,
- Postup, který je třeba dodržovat v případě porušení osobních údajů,
- Pravidla ochrany osobních údajů
§ 6
Pravidla se používají zejména v souvislosti s:
- osobními údaji zpracovávanými v systému: Microsoft Office
- veškerými informacemi týkajícími se zákazníků, zaměstnanců, uchazečů o zaměstnání a obchodních partnerů
- příjemci osobních údajů, kterým byly osobní údaje předány ke zpracování na základě pověřovacích dohod
- informacemi o ochraně osobních údajů, zejména včetně názvů účtů a hesel v systémech zpracování osobních údajů,
- dalšími dokumenty obsahujícími osobní údaje.
§ 7
- Rozsah ochrany osobních údajů stanovený v Pravidlech a dalších souvisejících dokumentech se vztahuje na:
- všechny stávající IT nebo papírové systémy, které jsou v současné době nebo v budoucnu implementovány, ve kterých jsou zpracovávány osobní údaje podléhající ochraně,
- všechna místa - budovy a místnosti, ve kterých se chráněné informace zpracovávají nebo budou zpracovávat,
- všechny zaměstnance, praktikanty a další osoby, které mají přístup k chráněným informacím.
- Všechny osoby, které mají přístup k osobním údajům podléhajícím ochraně, jsou povinny uplatňovat Pravidla stanovené v Pravidlech a dalších souvisejících dokumentech.
§ 8
- Ve společnosti Angelika Krupińska "Amanda" Obchodní společnost jsou osobní údaje zpracovávány v souladu s následujícími Pravidly:
- na právním základě a v souladu se zákonem (legalismus)
- zřetelně a čestně (zřetelnost)
- transparentně pro subjekt údajů (transparentnost)
- pro konkrétní účely a ne „pro zásobu“ (minimalizace)
- ne více, než je potřeba (přiměřenost)
- s péčí o správnost (správnost)
- ne déle, než je nutné (dočasnost)
- zajištění odpovídající bezpečnosti údajů (bezpečnost)
§ 9
1. Osobní údaje se shromažďují ve sbírkách:
- Občanskoprávní smlouvy, - papírová dokumentace
- Smlouvy s klienty - papírová dokumentace
- Pracovní smlouvy - papírová dokumentace
- Registr zákazníků - elektronická dokumentace
- Archivní dokumenty - papírová dokumentace
- Účetní doklady - papírová a elektronická dokumentace
§ 10
- Za porušení ochrany osobních údajů se považuje zejména:
- neoprávněný přístup nebo pokus o přístup k osobním údajům nebo místnostem, ve kterých jsou umístěny
- porušení nebo pokus o porušení integrity dat chápaný jako jakákoli změna, zničení nebo pokus o jeho provedení neoprávněnými nebo oprávněnými osobami jednajícími ve špatné víře nebo jako chyba v jednání oprávněné osoby (např. změna obsahu údajů, ztráta všech nebo části údajů),
- narušení nebo pokus o narušení integrity systému
- změna nebo ztráta údajů uložených na záložních kopiích,
- porušení nebo pokus o porušení důvěrnosti údajů,
- neoprávněný přístup (signál o nelegálním přihlášení nebo jiném příznaku označujícím pokus nebo operaci související s nezákonným přístupem do systému),
- poskytování osobních údajů neoprávněným osobám
- zničení, poškození nebo jakékoli pokusy o neoprávněné zasahování do systému IT určené k narušení jeho provozu nebo k jeho získání neoprávněným způsobem nebo pro účely, které nejsou určeny pro účely údajů obsažených v systému,
- jiný stav IT systému nebo místností, než v jakém je opustil uživatel po dokončení práce.
- za porušení ochrany osobních údajů se považuje také vloupání se do budovy nebo místností, ve kterých se osobní údaje zpracovávají nebo pokus o takovou činnost
- V případě zjištění porušení:
- zabezpečení IT systémů,
- technického stavu zařízení,
- obsahu souboru osobních údajů,
- zveřejnění pracovní metody nebo způsobu fungování programu,
- kvalita přenosu údajů v telekomunikační síti, která může znamenat narušení bezpečnosti těchto údajů,
- jiné události, které mohou ovlivnit porušení osobních údajů (např. povodeň, požár atd.), je každá osoba zaměstnaná při zpracování údajů povinna o této skutečnosti neprodleně informovat správce údajů.
- Ve vztahu k osobě, která v případě narušení bezpečnosti informačního systému nebo přiměřeného předpokladu takového porušení nepřijala opatření uvedená v tomto dokumentu, a zejména neoznámila příslušnou osobu v souladu s určitými pravidly, je zahájeno disciplinární nebo procesní řízení.
- Případy neoprávněného odstoupení od povinností vyplývajících z tohoto dokumentu lze považovat za závažné porušení povinností zaměstnanců.
§ 11
- Každá osoba, jejíž osobní údaje se zpracovávají, má právo kontrolovat zpracování svých osobních údajů, zejména právo:
- získání komplexních informací o tom, zda jsou její osobní údaje zpracovávány, a získávání informací o úplném jménu a adrese sídla správce údajů;
- získání informací o účelu, rozsahu a způsobu zpracování osobních údajů;
- získávat informace od doby, kdy jsou její osobní údaje zpracovávány, a obdržet obsah v obecně srozumitelné formě;
- získání informací o zdroji osobních údajů, které se jí týkají;
- získání informací o způsobu sdílení osobních údajů, zejména informací o příjemcích nebo kategorií příjemců, kterým jsou tyto osobní údaje sděleny;
- žádat doplnění, aktualizaci, opravu osobních údajů, dočasné nebo trvalé pozastavení jejich zpracování nebo vymazání, pokud jsou neúplné, zastaralé, nesprávné nebo byly shromážděny v rozporu
§ 12
Osobní údaje jsou zpracovávány v prostorách na adrese ul. Kaliny 95/28, 41-506 Chorzów.
§ 13
Za účelem zvýšení účinnosti ochrany osobních údajů byla propojena různá zabezpečení, způsobem, který vytváří několik úrovní ochrany.
- Organizační zabezpečení:
- byly vyvinuty a implementovány Pravidla ochrany osobních údajů,
- byl vytvořen postup pro případ porušení ochrany osobních údajů,
- byl vyvinut a je veden registr činností zpracování (vzor je představuje Příloha č. 1 těchto Pravidel )
- osoby zaměstnané při zpracování dat byly seznámeny s ustanoveními o ochraně osobních údajů a v oblasti bezpečnosti informačních systémů,
- osoby zaměstnané při zpracování osobních údajů mají povinnost je uchovávat v tajnosti,
- zpracování osobních údajů se provádí za podmínek, které zabezpečují údaje proti přístupu neoprávněných osob,
- pobyt neoprávněných osob v místnostech, kde se zpracovávají osobní údaje, je povolen pouze v přítomnosti osoby zaměstnané při zpracování osobních údajů a za podmínek zajišťujících bezpečnost údajů,
- dokumenty a nosiče informací obsahující osobní údaje, které jsou zničeny, jsou neutralizovány pomocí zařízení určených k tomuto účelu nebo jsou upraveny tak, aby se zabránilo jejich reprodukci.
- Technické zabezpečení:
- router je zabezpečen oddělením od veřejné sítě pomocí specializovaného softwaru „firewall“,
- počítačová stanoviště jsou vybavena individuální antivirovou ochranou,
- počítače byly zabezpečeny proti možnosti použití osobami neoprávněnými ke zpracování osobních údajů pomocí individuálního identifikátoru uživatele,
- osobní údaje zasílané elektronicky budou řádně zabezpečeny
- Opatření fyzické ochrany:
- zařízení pro zpracování osobních údajů jsou umístěna v uzamykatelných místnostech,
- dokumenty a informační média obsahující osobní údaje jsou uloženy ve skříňkách zamykaných na klíč,
- Ke klíčům mají přístup pouze oprávnění zaměstnanci a spolupracovníci
- údaje v papírové podobě mohou být na psacích stolech pouze po dobu nezbytnou pro práci, a následně musí být ukryty ve skříních,
- počítačové monitory, na kterých jsou zpracovávána data, jsou nastavena tak, aby k nim neměly přístup neoprávněné osoby,
- chybné nebo zastaralé výtisky a papírové verze obsahující osobní údaje nebo jiné chráněné informace - jsou zničeny skartovacím strojem nebo jinými mechanickými prostředky, které brání jejich obnovení.
§ 14
- V prostorách společnosti Angelika Krupińska "Amanda" Obchodní společnost funguje video monitoring.?
- Data získaná video monitoringu se ukládají po dobu ne delší než 3 měsíce od data záznamu.
- Sledovaná oblast je odpovídajícím způsobem označena v souladu s čl. 222 § 9 a 10 zákoníku práce.
§ 15
- Pravidla byl vyvinuty na základě požadavků obsažených v:
- Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46 / ES /Sb. zák. UE.L č. 119, str.1/,
- Zákoně ze dne 10. Května 2018 o ochraně osobních údajů (Sb. zák. z roku 2018, pol. 1000)
- Pravidla jsou interním dokumentem a nesmí být v žádném případě zpřístupněny neoprávněným osobám.
- Uživatelé jsou povinni seznámit se s obsahem Pravidel .
- Uživatel je povinen učinit prohlášení, že byl obeznámen s ustanoveními GDPR, zákonem o ochraně osobních údajů a výkonnými akty vydanými na jeho základě, s těmito Pravidly, a zavazuje se je dodržovat.
- Ve věcech, na které se tyto Pravidla nevztahují, se použijí aktuálně platná ustanovení zákona o ochraně osobních údajů.
- Uživatelé jsou povinni při zpracování údajů přísně dodržovat ustanovení těchto Pravidel . V případě předpisů odlišných od těch obsažených v těchto Pravidlech, které se objevují v jiných procesech vztahujících se na správce údajů, jsou uživatelé povinni používat rozsáhlejší předpisy, jejichž uplatnění zajistí vyšší úroveň ochrany informací.
Příloha: