Směrnice pro ochranu osobních údajů

Tato směrnice je vnitřním předpisem obchodní společnosti SMAPRO design s.r.o., IČ: 02437406, se sídlem Rybná 716/24, Staré Město, 110 00 Praha 1, zapsána v obchodním rejstříku vedeném Městským soudem v Praze, oddíl C, vložka 219368 /dále jen „správce“/ přijatá za účelem zajištění ochrany osobních údajů spravovaných správcem. Tato směrnice je přijata v souvislosti s nabytím účinnosti Nařízení Evropského parlamentu a rady /EU/ 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů v platném znění /dále jen „nařízení“/.
Tato směrnice obsahuje závazné pokyny, informace, pravidla, postupy a poučení pro zaměstnance správce a případné spolupracující osoby správce, které se k dodržování této směrnice zaváží. Směrnice je rovněž závazná pro jednatele společnosti. Všechny osoby, které jsou povinny řídit se touto směrnicí budou nadále pro účely této směrnice označovány jako „povinné osoby“.
Cílem této směrnice je zajištění odpovídajícího standardu ochrany osobních údajů. Dodržování této směrnice přispěje ke snížení rizika spočívajícího v možném porušení povinností, které správci ukládá nařízení, jakož i další platné a účinné právní předpisy.

Osobní údaje

„Osobním údajem“ se pro účely tohoto dokumentu rozumí jakákoli informace týkající se určené nebo určitelné fyzické osoby, k níž se osobní údaje vztahují. Tato se považuje za určenou nebo určitelnou, jestliže lze fyzickou osobu přímo či nepřímo identifikovat, zejména na základě čísla, kódu nebo jednoho či více prvků specifických pro její fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. „Subjekty údajů“ se pro účely této směrnice rozumí zejména zákazníci, potenciální zákazníci, dodavatelé, potenciální dodavatelé správce a zájemci o zaměstnání u správce.

Zpracování osobních údajů

„Zpracováním osobních údajů“ je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů jako je shromáždění, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení osobních údajů, a to bez ohledu na to, zda je prováděno s pomocí či bez pomoci automatizovaných postupů.

Nosič osobních údajů

„Nosičem osobních údajů“ je jakýkoli materiál nebo zařízení, na kterém jsou zachyceny nebo na kterém jsou nahrány osobní údaje. Může se tak jednat o papírovou dokumentaci včetně šanonů a složek, CD, DVD, externí disky, softwarové vybavení, disk počítače, server apod.

Správce zpracovává osobní údaje v souvislosti se svou obchodní činností. Správce zpracovává osobní údaje pouze v nezbytném rozsahu. Povinné osoby nejsou oprávněny shromažďovat jakékoli jiné údaje o fyzických osobách nesouvisející s činností správce. Povinné osoby dále nejsou oprávněny se zpracovávanými osobními údaji nakládat v rozporu s touto směrnicí, uzavřenou smlouvou nebo platnou právní úpravou.

Základní povinnosti povinných osob

Povinné osoby nejsou oprávněny využít osobní údaje k jiným účelům, než pro jaké byly shromážděny.
Veškeré osobní údaje jsou údaji důvěrnými, tj. vztahuje se na ně mlčenlivost a povinné osoby nejsou oprávněny tyto informace jakkoli sdělovat nebo poskytovat jakýmkoli třetím osobám vyjma plnění účelu, pro který byly tyto osobní údaje shromážděny. Povinná osoba nesmí osobní údaje a související informace, jakož i informace o zabezpečení osobních údajů správcem, sdělovat ani spolupracovníkům nedotýká-li se toto sdělení výkonu pracovní činnosti, rodinným příslušníkům, osobám blízkým apod.

Je zakázáno osobní údaje jakkoli sdružovat či vytvářet jakékoli databáze osobních údajů není-li to nezbytné pro plnění účelu, pro který byly osobní údaje shromážděny, a nedal-li k těmto činnostem správce svůj výslovný souhlas.

Povinné osoby nejsou oprávněny údaje jakkoli prodávat, pronajímat či jinak za úplatu či bezúplatně zpřístupňovat třetím osobám či je využít pro získání majetkového prospěchu ať již svého, tak jakékoli třetí osoby.

Povinné osoby nesmí přistupovat k jiným osobním údajům, než jsou ty, které nezbytně potřebují pro výkon své činnosti pro správce. Zvláště není dovoleno pokoušet se o přístup do zabezpečených složek svěřených jiné povinné osobě a přistupovat k softwarovému nebo hardwarovému vybavení svěřené jiné povinné osobě bez výslovného pokynu správce.

Bezodkladně po té, co se povinné osoby dozví o případném narušení zabezpečení osobních údajů, jsou povinny tuto skutečnost okamžitě sdělit správci a specifikovat, v čem narušení zabezpečení spočívá.

Povinné osoby jsou povinny dodržovat zásadu tzv. „čistého pracovního stolu“, tj. před opuštěním pracoviště jsou vždy povinny zkontrolovat, zda jsou veškeré nosiče, na kterých jsou osobní údaje uchovávány řádně zajištěny v souladu s touto směrnicí. Bez provedení této kontroly není povinná osoba oprávněna opustit pracoviště, leda by setrvání na pracovišti hrozilo větší újmou, než jaká by mohla být způsobena poškozením, ztrátou, zničením nebo zcizením nosiče osobních údajů.

Povinné osoby jsou vázány podniknout veškerá nezbytná opatření, aby předešly a zamezily poškození, ztrátě, zničení nebo zcizení nosiče osobních údajů.

Veškeré poznámky a zápisky obsahující osobní údaje musí být bezodkladně po té, co jejich uchování pozbyde významu, skartovány.

Povinnosti při jednotlivých činnostech zpracování

Povinné osoby jsou při jednotlivých činnostech zpracování povinny dodržovat tyto závazné pokyny:

Komunikace

Veškerá e-mailová komunikace probíhá vždy jen prostřednictvím zabezpečené e-mailové adresy, která byla povinné osobě správcem poskytnuta. Není dovoleno používat osobní e-mailové adresy pro komunikaci obsahující osobní údaje zpracovávané správcem.
Veškerá komunikace probíhá prostřednictvím zařízení svěřených povinné osobě správcem nebo zařízení, které byly správcem pro dané použití schváleny.
Zakazuje se poskytování jakýchkoli osobních údajů telefonicky nebo nezabezpečenou poštou.
V případě, že má povinná osoba jakoukoli pochybnost o identitě druhé osoby, které by měla sdělit jakékoli osobní údaje, musí zachovat mlčenlivost, až do vyjasnění veškerých pochybností.
V případě, že povinná osoba při zpracování jakékoli dokumentace zjistí, že její součástí je jakákoli listina určená pouze k soukromým účelům subjektu údajů, je povinna okamžitě ustat se zpracováním osobních údajů z této listiny, listinu řádně zajistit proti náhodnému přečtení /tj. např. vložit do obálky/ a předat subjektu údajů nebo bezpečně uložit pro pozdější předání subjektu údajů.
Jakákoli zásilka adresovaná na jméno fyzické osoby /tj. jejímž adresátem není správce/ bude neotevřená předána adresátovi, a to ve lhůtě co nejkratší. Ostatní zásilky se otevírají a předávají jednotlivým pracovníkům, kteří mají svěřenu dotčenou záležitost. Zásilky určené správci musí být vždy opatřeny údajem o datu příjmu. Pokud by takovým údajem mohla být listina znehodnocena, opatří se tímto údajem obálka, ve které listina přišla.

Nábor zaměstnanců

Za nábor zaměstnanců jsou odpovědní jednatelé. Jiné osoby nemají přístup k údajům zájemců o zaměstnání.
Již při zadávání poptávky po nových zaměstnancích uveřejní povinná osoba odkaz na Zásady ochrany osobních údajů přijatých společností tak, aby subjekt údajů měl ještě před poskytnutím údajů správci informaci o tom, jakým způsobem správce data zpracovává a jakým způsobem s nimi zachází.
Informace o uchazečích, u kterých je patrné, že k uzavření pracovněprávního vztahu nedojde s ohledem na jejich nevyhovující kvalifikaci nebo další nevyhovující okolnosti, musí být okamžitě zlikvidovány, tj. musí dojít k nenávratnému výmazu jakýchkoli elektronických kopií těchto informací, jakož i ke skartaci dokumentů obsahujících tyto osobní údaje.
U zájemců, kteří nebyly pro danou pracovní pozici vybráni, ale u kterých je pravděpodobnost, že by jim v blízké době mohla být nabídnuta jiná pracovní nabídka, je možné, aby jejich osobní údaje byly zpracovávány i po obsazení nabízené pozice, ovšem pouze po přiměřenou dobu – tj. po dobu 3 měsíců. Po uplynutí této doby je již pravděpodobné, že by subjekt údajů o nabídku zaměstnání neměl zájem, a povinná osoba přistoupí k likvidaci takovýchto osobních údajů.
Zakazuje se sdělovat zájemcům o zaměstnání nepravdivé nebo zkreslující informace.
Zakazuje se sbírat u uchazečů o zaměstnání více informací, než kolik povinná osoba potřebuje pro vyhodnocení vhodnosti kandidáta.

Zaměstnanecká evidence

Při přijetí do zaměstnání zjišťuje správce od subjektů údajů pouze takové informace, které nezbytně potřebuje pro plnění zákonných povinností a uplatňování práv zaměstnavatele v souvislosti s pracovním poměrem zaměstnanců, mzdové účetnictví, odvody daní, poplatků a povinných odvodů na sociální, zdravotní, případně úrazové pojištění, evidence docházky do zaměstnání, plnění povinností týkajících se bezpečnosti a ochrany zdraví při práci a evidence pracovních cest.
Povinné osoby nejsou oprávněny od zaměstnanců zjišťovat jakékoli jiné osobní údaje v souvislosti se zpracováním.
Získané osobní údaje jsou uchovávány v zaměstnaneckých složkách na zabezpečeném místě v uzamčené kanceláři. Povinné osoby jsou oprávněn