Informace ze Směrnice představenstva Zásady ochrany osobních údajů v OKD
INFORMACE ze Směrnice představenstva Zásady ochrany osobních údajů v OKD, a.s., vydané na základě Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, General Data Protection Regulation)
- Vybrané pojmy
Osobní údaj – informace, na jejímž základě lze přímo nebo nepřímo určit konkrétní fyzickou osobu; např. osobní údaje:
- Identifikační-jméno, příjmení, datum narození, rodné číslo, SAP ID zaměstnance, číslo známky, fotografie, obrazový záznam, podpis, atd.)
- Kontaktní – adresa bydliště, telefonní číslo, e-mailová adresa, atd.
- Popisné- zvláštní znaky fyzické, fyziologické, ekonomické, kulturní nebo společenské identity
Zvláštní kategorie osobních údajů (tzv. citlivé osobní údaje) – osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj (např. otisk prstu), který umožňuje přímou identifikaci nebo autentizaci subjektu údajů;
Subjekt údajů – je fyzická osoba, k níž se osobní údaj vztahuje;
Správce – fyzická nebo právnická osoba, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;
Zpracovatel - fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, který zpracovává osobní údaje pro správce a podle pokynů správce;
Příjemce - fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt, kterým jsou osobní údaje poskytnuty;
Zpracování osobních údajů – jakýkoliv úkon nebo operace s osobními údaji, pokud jsou nebo se mají stát součástí nějaké evidence, jako je např. shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
Dozorový úřad – dozorovým úřadem je Úřad pro ochranu osobních údajů se sídlem Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz
- Základní zásady zpracování osobních údajů
- Zásada zákonnosti – osobní údaje lze zpracovávat pouze na základě právních důvodů uvedených v čl. 6 Nařízení GDPR, a pokud jde o zvláštní kategorii osobních údajů v čl. 9 Nařízení GDPR;
- Zásada korektnosti – osobní údaje lze zpracovávat pouze pro účel, který je oprávněný a který byl subjektu údajů sdělen
- Zásada transparentnosti - subjekt údajů má právo na informace o tom, zda o něm správce údajů zpracovává jeho osobní údaje, v jakém rozsahu, pro jaký účel, na základě jakého právního důvodu, jací jsou případní příjemci
- Zásada minimalizace údajů – zpracování osobních údajů musí být omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, ve vztahu k době jejich zpracování a jejich dostupnosti (tj. zpřístupnění jiným osobám);
- Zásada přesnosti – zpracovávat lze pouze přesné osobní údaje, nepřesné je třeba aktualizovat, je-li to možné, v opačném případě vymazat
- Zásada omezení doby zpracování – osobní údaje jsou zpracovávány pouze na dobu nezbytně nutnou pro daný účel zpracování
- Zásada integrity a důvěrnosti - správce a zpracovatel jsou povinni přijmout taková technická a organizační opatření, aby osobní údaje byly chráněny před neoprávněným zpracováváním a před ztrátou, zničením nebo poškozením ve smyslu čl. 5 Nařízení GDPR;
- Zásada odpovědnosti správce – správce odpovídá za dodržení všech povinností a soulad s Nařízením GDPR musí být schopen vždy doložit.
- Osobní údaje jsou v rámci OKD, a.s. zpracovávány na základě těchto právních důvodů:
- zpracování je nezbytné pro splnění povinnosti uložené právním předpisem (čl. 6 odst. 1 písm. c) Nařízení GDPR)
- zpracování je nezbytné pro splnění smlouvy (čl. 6 odst. 1 písm. b) Nařízení GDPR)
- zpracování je nezbytné pro účely oprávněných zájmů OKD, a.s. (čl. 6 odst. 1 písm. f) Nařízení GDPR)
- pokud jde o údaje o zdravotním stavu zaměstnance, je zpracování nezbytné pro plnění zvláštních povinností správce v oblasti pracovního práva nebo práva sociálního zabezpečení (čl. 9 odst. 1 písm. b) Nařízení GDPR)
- pokud jde o údaje o zdravotním stavu zaměstnance, je dále zpracování nezbytné pro účely preventivního nebo pracovního lékařství nebo pro posouzení pracovní schopnosti zaměstnance (čl. 9 odst. 1 písm. h) Nařízení GDPR).
- Povinnosti zaměstnanců OKD, a.s. při zpracovávání osobních údajů
Zaměstnanci OKD, a.s. jsou povinni při zpracovávání osobních údajů plnit zejména následující povinnosti:
Při práci s listinnými dokumenty, které obsahují osobní údaje postupovat tak, aby:
- osobní údaje byly chráněny před zneužitím, tj. zacházet s nimi tak, aby se s nimi nikdo neoprávněný nemohl seznámit
- pořizovat kopie listin, jen pokud je to nezbytně nutné; s kopií-pokud jde o ochranu osobních údajů-nakládat stejně jako s originálem; pokud kopie pro výkon pracovní činnosti již není nezbytná, skartovat ji
- při odchodu z kanceláře dát listiny, které obsahují OÚ do uzamykatelné skříňky a tuto uzamknout; listiny, které obsahují citlivé OÚ by měly být uzamčené neustále, s výjimkou případu, kdy právě s touto listinou zaměstnanec bezprostředně pracuje; při odchodu z kanceláře po skončení směny kancelář uzamknout a je-li zabezpečena el. zabezp. systémem, aktivovat jej; při krátkodobém opuštění kanceláře tuto uzamknout
- nemít v kanceláři vystaveny, vyvěšeny, volně loženy listiny s osobními údaji
- ve své kanceláři mít pouze listiny, které se týkají záležitostí, které dosud nejsou ukončeny; jsou-li ukončeny, předat do příruční registratury a dále s nimi nakládat v souladu s vnitřní směrnicí Spisový, skartační a archivní řád OKD, a.s.
Při práci s elektronickými dokumenty, které obsahují osobní údaje:
- dokumenty v el. podobě uchovávat pouze na úložištích ve vlastnictví OKD
- dokumenty sdílet s jinými osobami jen pokud je to nezbytné k plnění pracovních úkolů nebo na základě právního předpisu; pokud dokument obsahuje citlivé údaje, je nutné na to přijímajícího zaměstnance výslovně upozornit
- při každém opuštění kanceláře odhlásit uživatele na PC
- pro přístup k internetu používat výhradně přístupové metody poskytnuté dodavatelem IT služeb OKD
- používat bezdrátové připojení pouze v bezpečném prostředí
- neprovádět instalaci programového vybavení
- pravidelně měnit heslo k přístupu do PC podle stanovených pravidel
- oznamovat neprodleně na ServiceDesk a VOOK jakékoli pokusy o narušení bezpečnosti informačního systému OKD
- odcizení nebo ztrátu přenosného zařízení-notebooku, telefonu-ihned oznámit na SeviceDesk
- neukládat jakákoli data získaná z informačního systému OKD do veřejných datových úložišť
- nepřipojovat jakákoli zařízení do datové sítě OKD bez schválení dodavatelem IT služeb
- nepoužívat soukromé prostředky pro přístup k datovým sítím OKD; výjimkou je přístup k e-mailu pomocí služby OutlookWebAccess
- dodržovat ostatní pravidla informační bezpečnosti, která stanoví vnitřní směrnice O zajištění informační bezpečnosti v OKD
- Práva subjektu údajů
- právo na přístup k osobním údajům, tj. dotčený subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud tomu tak je, má právo získat přístup k těmto osobním údajům a k informacím o nich (čl. 15 Nařízení GDPR);
- právo na opravu osobních údajů, tj. dotčený subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají nebo doplnil neúplné osobní údaje (čl. 16 Nařízení GDPR);
- právo na výmaz osobních údajů (právo být zapomenut), tj. subjekt údajů má právo na to, aby právce bez zbytečného odkladu vymazal osobní údaje, které se ho týkají, pokud je dán některý z důvodů dle čl. 17 Nařízení GDPR;
- právo na omezení zpracování, tj. subjekt údajů má právo na to, aby správce omezil zpracování osobních údajů v případech uvedených v čl. 18 Nařízení GDPR;
- právo na přenositelnost údajů, tj. subjekt údajů má právo realizované na základě své žádosti získat správce osobní údaje, které se ho týkají a které poskytl správci ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, pokud se zpracování provádí automatizovaně a je založeno na souhlasu dle čl. 6 odst. 1 písm.a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě dle čl. 6 odst. 1 písm. b) Nařízení GDPR (čl. 20 Nařízení GDPR);
- právo vznést námitku, tj. subjekt údajů má právo kdykoli vznést námitku proti zpracování osobních údajů, je-li zpracování prováděno na základě čl. 6 odst. 1 písm.e) nebo f) Nařízení GDPR (čl. 21 Nařízení GDPR);
- právo nebýt předmětem automatizovaného rozhodování, tj. subjekt údajů má právo předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká (čl. 22 Nařízení GDPR);
- právo na oznamování případů porušení zabezpečení osobních údajů, tj. subjekt údajů má právo na to, aby mu OKD jako Správce bez zbytečného odkladu oznámil porušení zabezpečení osobních údajů, pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob (čl. 34 Nařízení GDPR);
- právo podat stížnost u dozorového úřadu dle čl. 77 Nařízení GDPR,
- právo na náhradu újmy, tj. kdokoli, kdo v důsledku porušení Nařízení GDPR utrpěl hmotnou nebo nehmotnou újmu, má právo obdržet od správce nebo zpracovatele náhradu utrpěné újmy.
zdroj: OKD a.s.