Zásady ochrany osobních dat

1. Obecně:

Tento dokument stanoví, jak společnost BeiT s.r.o., IČO: 03744264, se sídlem: Ve Střešovičkách 45/40, Střešovice, 169 00 Praha 6, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod C 237185 („BEIT“), nakládá s osobními údaji

1.1.Data Klienta” jsou veškeré osobní údaje, které BEIT zpracovává jménem Klienta nebo pro Klienta.

1.2.GDPR” znamená všechny zákony a předpisy o ochraně údajů platné v Evropě, včetně (i) nařízení Evropského parlamentu a Rady (EU) 2016/679 (ii) směrnice 2002/58/ES; (iii) příslušných vnitrostátních implementací.

1.3.Webové stránky” odkazují na stránky www.beit.cz a všechny jejich dílčí stránky.

2. Zpracování osobních údajů:

2.1. BEIT má zpracovávat Data Klienta jménem Klienta (ať už jako správce nebo zpracovatel).

2.2. BEIT zpracovává Data Klienta pouze v souladu se zdokumentovanými zákonnými pokyny Klienta, které jsou nezbytné pro dodržení platných právních předpisů.

2.3. Klient odpovídá za dodržování všech platných právních předpisů, včetně GDPR, pokud jde o zpracování Dat Klienta a o veškeré pokyny ke zpracování, které společnosti BEIT; a bude předávat veškerá oznámení a získal a bude získávat veškeré souhlasy a práva nezbytná podle platných právních předpisů pro to, aby BEIT mohl data zpracovávat.

2.4. Klient sám odpovídá za přesnost, kvalitu a zákonnost Dat Klienta a za prostředky, kterými Klient data získal. Klient odpovídá za dodržování všech právních předpisů vztahujících se na jakékoli používání služby BEIT nebo jiného obsahu vytvořeného, odeslaného nebo spravovaného prostřednictvím služby BEIT, včetně těch, které se týkají získávání souhlasů (pokud jsou vyžadovány) k odesílání e-mailů, obsahu e-mailů a jeho postupů při rozesílání e-mailů.

2.5. Klient zajistí, že zpracování Dat Klienta společností BEIT v souladu s pokyny klienta nezpůsobí, že BEIT poruší jakýkoli právní předpis. BEIT Klienta bezodkladně vyrozumí písemně, když se bude domnívat nebo se dozví, že pokyn Klienta ke zpracování dat porušuje GDPR. Tam, kde Klient působí jako zpracovatel (nebo jiný prostředník pro správce), zaručuje, že jeho pokyny byly potvrzeny příslušným správcem.

3. Dílčí zpracování:

3.1. Klient souhlasí s tím, že BEIT může zapojit další (pod)zpracovatele, kteří budou zpracovávat Data Klienta jeho jménem.

3.2. BEIT se zavazuje: (i) uzavřít s každým dílčím zpracovatelem písemnou smlouvu obsahující povinnosti týkající se ochrany údajů, které poskytují alespoň stejnou úroveň ochrany Dat Klienta, jakou používá BEIT, a to v rozsahu odpovídajícím povaze služby poskytované takovým dílčím zpracovatelem; a (ii) zůstane odpovědný za dodržování těchto podmínek ze strany takového dílčího zpracovatele a za jakékoli jednání nebo opomenutí takového dílčího zpracovatele, které způsobí, že by BEIT porušil některou ze svých povinností.

4. Bezpečnost:

4.1. Bezpečnostní opatření: BEIT zavede a bude udržovat vhodná technická a organizační bezpečnostní opatření, která jsou určena k ochraně Dat Klienta před bezpečnostními incidenty a která jsou určena k zachování důvěrnosti Dat Klienta.

4.2. Pověřenec pro ochranu osobních údajů (DPO): BEIT nejmenoval DPO.

4.3. Reakce na bezpečnostní incidenty: Po zjištění bezpečnostního incidentu BEIT: (i) vyrozumí Klienta bez zbytečného odkladu, a pokud je to možné, v každém případě nejpozději do 48 hodin od okamžiku, kdy se o bezpečnostním incidentu dozvěděl; (ii) poskytne včas informace týkající se bezpečnostního incidentu, jakmile se o něm dozví nebo jak si je Klient přiměřeně vyžádá; a (iii) neprodleně podnikne přiměřené kroky k omezení a prošetření bezpečnostního incidentu.

4.4. Klient odpovídá za své bezpečné používání služeb BEIT, včetně zabezpečení svých autentizačních údajů k účtu, ochrany bezpečnosti Dat Klienta a přijetí veškerých vhodných opatření k zabezpečení Dat Klienta nahraných do služby BEIT.

5. Princip Privacy by Default:

5.1. BEIT při každém určování prostředků zpracování, při zavádění nového zpracování osobních údajů a při revizi organizačních opatření, kterými jsou osobní údaje zpracovávány, zohlední s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování, jakož i různým pravděpodobným a různým rizikům pro práva a svobody fyzických osob, která zpracování přináší, vhodná technická a organizační opatření k účinnému provádění zásad ochrany údajů a k začlenění nezbytných záruk do zpracování, aby byly splněny požadavky GDPR a chráněna práva subjektů údajů, zejména aby byly standardně zpracovávány pouze osobní údaje nezbytné pro každý konkrétní účel zpracování (tato povinnost se týká množství shromážděných osobních údajů, rozsahu zpracování, doby uchovávání a přístupnosti a aby osobní údaje nebyly standardně zpřístupněny neomezenému počtu fyzických osob bez lidského zásahu). Pokud se k vedení záznamů používají formuláře a software, je třeba zkontrolovat, zda nevyžadují nebo nenabízejí zaznamenávání nadbytečných údajů a zda takové údaje nezpracovávají.

6. Bezpečnostní zprávy a audity:

6.1. BEIT zpřístupní Klientovi veškeré informace, které jsou přiměřeně nutné k prokázání souladu s touto smlouvou.

7. Vrácení nebo vymazání dat:

7.1. Po ukončení právního vztahu mezi BEIT a Klientem BEIT vymaže nebo nevratně anonymizuje všechna Data Klienta (včetně kopií), které má v držení nebo pod kontrolou, s výjimkou Dat Klienta, která archivoval v záložních systémech, přičemž tato Data Klienta BEIT bezpečně izoluje, ochrání před jakýmkoli dalším zpracováním a případně vymaže v souladu s pravidly BEIT pro vymazání.

8. Cookies:

8.1. Při každé interakci s Webovými stránkami může BEIT používat soubory cookie, web beacons, pixel tags nebo jiné technologie k automatickému nebo pasivnímu shromažďování informací o online aktivitě jednotlivých osob. Soubory cookie mohou mít podobu minimálních souborů cookie (které pomáhají rozlišit jednotlivé jedinečné uživatele) nebo úplných souborů cookie (které umožňují identifikaci jedinečného uživatele). Tyto informace mohou zahrnovat: počítač nebo zařízení (IP adresa nebo jiný jedinečný identifikátor nebo informace z počítače nebo zařízení, včetně typu prohlížeče, typu zařízení, operačního systému, verze softwaru, modelu hardwaru, informací o mobilní síti a názvu domény, ze které daná osoba na webové stránky přistupovala), informace o používání, další údaje o proklicích nebo o používání Webových stránek, e-maily, které adresát otevřel, přeposlal nebo na které kliknul, lokalitu. BEIT může používat analytické technologie třetích stran. BEIT může shromážděné informace také kombinovat s informacemi získanými z jiných zdrojů.

8.2. Soubory cookie mohou být: technické, funkční (jsou nezbytné k tomu, aby se webové stránky zobrazily a fungovaly tak, jak mají, nebo aby BEIT věděl, že subjekt (ne)dal souhlas se zpracováním souborů cookie atd. ), bezpečnostní (soubory cookie, které mají zabránit podvodům a případně opravit bezpečnostní chyby), analytické (ty pomáhají analyzovat fungování webových stránek z hlediska chování návštěvníků a podle toho přizpůsobovat a měnit webové stránky), preferenční (tyto soubory cookie mají zajistit, aby se obsah zobrazoval v preferovaném nastavení,- například v určitém jazyce nebo jinak usnadnit prohlížení/nákup), marketingové (tyto soubory cookie umožňují přizpůsobit nabídku služeb). S technickými, bezpečnostními a funkčními soubory cookie může BEIT nakládat na základě zákonných požadavků. Bez nich bych BEIT nemohl bezpečně a správně poskytovat služby.

8.3. Analytické, preferenční a marketingové soubory cookie může BEIT zpracovávat na základě souhlasu subjektu osobních údajů.

8.4. Zpracování těchto souborů cookie lze zabránit neudělením souhlasu, úpravou nastavení prohlížeče, nastavením lišty pro soubory cookie nebo prohlížením v anonymním režimu.

8.5. Soubory cookie může uživatel každého zařízení zakázat.

8.6. BEIT používá ke zpracování souborů cookie služby: Google Analytics, Ads a Doubleclick poskytované společností Google Ireland Ltd.

9. Informace pro příjemce marketingových sdělení:

9.1. Účelem zpracování je informovat zájemce (příjemce obchodních sdělení) o různých informacích týkajících se BEIT.

9.2. Mezi zpracovávané kontaktní údaje patří jméno a příjmení, telefonní a e-mailové kontaktní údaje, identifikace účtů na sociálních sítích

9.3. Právním základem je souhlas subjektů údajů (tj. příjemců obchodních sdělení).

9.4. V případě osobních údajů poskytnutých za účelem šíření obchodních sdělení může BEIT zejména monitorovat doručení a otevření zaslaných e-mailů a monitorovat aktivitu subjektu údajů na webových stránkách i BEIT; BEIT může dále propojovat veškeré osobní údaje s oprávněně zveřejněnými osobními údaji o subjektu údajů ve veřejně dostupných zdrojích, kombinovat osobní údaje a osobní údaje do logických celků a na základě těchto údajů profilovat subjekty údajů.

10. Práva subjektu údajů a spolupráce:

10.1. V rozsahu požadovaném GDPR poskytne BEIT (s ohledem na povahu zpracování a informace, které má BEIT k dispozici) veškeré přiměřeně požadované informace týkající se své služby, aby mohl Klient provést posouzení vlivu na ochranu osobních údajů nebo předchozí konzultace s orgány pro ochranu osobních údajů, jak vyžaduje GDPR.

10.2. Kategorie osobních údajů: Klient může do Služby nahrát, odeslat nebo jinak poskytnout určité osobní údaje, jejichž rozsah obvykle určuje a kontroluje Zákazník podle vlastního uvážení a které mohou obvykle zahrnovat zejména následující typy osobních údajů: identifikační a kontaktní údaje (jméno, datum narození, pohlaví, obecné, profesní nebo jiné demografické údaje, adresa, titul, kontaktní údaje, včetně e-mailové adresy;

10.3. Zpracovávané citlivé údaje (pokud je to relevantní): BEIT nechce a ani záměrně neshromažďuje a nezpracovává žádné citlivé údaje v souvislosti s poskytováním Služby.

10.4. Frekvence zpracování: průběžně a podle určení Klienta.

10.5. Účel zpracování: BEIT zpracovává Data Klienta podle jeho přípustného pokynu, který zahrnuje: (i) zpracování nezbytné pro poskytování služby BEIT; (ii) zpracování iniciované Klientem; a (iii) zpracování za účelem splnění dalších přiměřených pokynů poskytnutých Klientem (např. prostřednictvím e-mailu nebo support ticketů).

10.6. Doba zpracování a doba, po kterou budou osobní údaje uchovávány: BEIT bude zpracovávat Data Klienta po dobu trvání smlouvy, která upravuje poskytování služeb BEIT Klientovi.

10.7. Námitka vůči dílčím (pod)zpracovatelům: V případě, že se jedná o (pod)zpracovatele, je možné podat námitku: Klient může písemně vznést námitku proti jmenování nového (pod) zpracovatele do pěti (5) kalendářních dnů od obdržení oznámení, pokud je tato námitka založena na rozumných důvodech týkajících se ochrany údajů. V takovém případě strany v dobré víře projednají tyto námitky s cílem dosáhnout obchodně přiměřeného řešení. Pokud takového řešení nelze dosáhnout, BEIT podle vlastního uvážení buď takového (pod)zpracovatele nejmenuje, nebo Klientovi umožní dotčenou službu pozastavit nebo ukončit.

11. Informace:

11.1. Za podmínek stanovených v nařízení 2016/679 (GDPR) má každý subjekt právo požadovat od BEIT přístup k údajům, právo na opravu nebo výmaz osobních údajů nebo omezení jejich zpracování, právo vznést námitku proti zpracování osobních údajů a právo na přenositelnost osobních údajů.

11.2. Tato práva se uplatňují u jednatele BEIT.

11.3. Subjekt údajů může svůj souhlas kdykoli odvolat, a to stejným nebo stejně jednoduchým způsobem, jakým souhlas dříve udělil, a BEIT mu to umožní. U každého souhlasu bude uveden konkrétní způsob, jakým jej subjekt údajů může odvolat, a bude mu rovněž dána možnost učinit tak zasláním e-mailu. Odvolání souhlasu nemá vliv na zákonnost zpracování osobních údajů, které byly zpracovávány mezi udělením souhlasu a jeho odvoláním. BEIT si ponechá důkaz o tomto souhlasu (ať už písemný, nebo elektronický) po celou dobu jeho udělení.

11.4. Na webových stránkách Úřadu pro ochranu osobních údajů je k dispozici formulář pro ohlášení vysoce rizikových případů porušení zabezpečení osobních údajů. Dozorový úřad bude při ukládání případných sankcí přihlížet k včasnému ohlášení porušení, proto by měl být každý potenciálně rizikový incident neprodleně ohlášen a teprve poté důkladně interně prošetřen.

12. Platnost a účinnost

Tyto Podmínky nabývají platnosti a účinnosti 1.dubna 2022.

Návrh směrnice (vnitřního předpisu):

Tento vnitřní předpis (dále také „směrnice“) upravuje pravidla nakládání s osobními údaji v obchodní korporaci BeiT s.r.o., IČO: 03744264, se sídlem: Ve Střešovičkách 45/40, Střešovice, 169 00 Praha 6, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod C 237185 („BEIT“), v souladu se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, a s Nařízením Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), dále také „GDPR“. Tento předpis je závazný pro zaměstnance BEIT a přiměřeně také pro členy jejího statutárního orgánu.

Vymezení osobních údajů a citlivých údajů

Osobním údajem je jakýkoli údaj, z něhož lze přímo či nepřímo zjistit identitu určité osoby.

Citlivým údajem jsou údaje o:

  • národnostním, rasovém nebo etnickém původu,
  • politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích,
  • náboženském či filozofickém přesvědčení,
  • trestné činnosti,
  • zdravotním stavu,
  • sexuálním životě,
  • jedinečných biologických rysech.

Citlivé údaje lze zpracovávat pouze za podmínek stanovených zákonem, což při činnosti BEIT může být zejména:

  • zpracování nezbytné pro plnění smlouvy se zákazníkem,
  • zpracování nezbytné pro dodržení povinností a práv správce odpovědného za zpracování v oblasti pracovního práva,
  • údaje podle zvláštního zákona nezbytné pro provádění nemocenského a důchodového pojištění, státní sociální podpory a dalších sociálních dávek, sociálních služeb, sociální péče, pomoci v hmotné nouzi a sociálně-právní ochrany dětí,
  • zpracování osobních údajů zveřejněných subjektem údajů,
  • zpracování nezbytných údajů pro zajištění a uplatnění právních nároků,
  • zpracování údajů pro účely archivnictví podle zvláštního zákona,
  • v případě, že subjekt údajů dal ke zpracování výslovný souhlas.

Citlivé údaje může zpracovávat pouze zaměstnanec, který v souladu se svým pracovním zařazením vykonává agendu, jejíž zákonnou součástí je zpracování citlivých údajů v souladu se zákonem.

Souhlas k zpracováním osobních údajů

Ke zpracování osobních údajů a citlivých osobních údajů nad rozsah daný právními předpisy, zejména pro účely personalistiky a dalších oborů činnosti BEIT, může být nezbytný souhlas osoby, jejíž osobní údaje jsou zpracovávány. BEIT před zahájením zpracování osobních dat prokazatelně zajistí plné seznámení těchto osob a poučení o jejich právech. Zajistí poučení o povinnosti zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů, a to i po skončení zaměstnání nebo příslušných prací.

Pokud BEIT uzavře s jiným subjektem smlouvu, která předpokládá zpracování určených osobních údajů, musí být součástí smluvního ujednání ustanovení o ochraně osobních dat v rozsahu stanoveném tímto směrnicí.

Doba uchování

Osobní údaje se uchovávají pouze po dobu, která je nezbytná k účelu jejich zpracování, a po dobu nezbytné archivace. Lze shromažďovat a zpracovávat jen ty osobní údaje, které odpovídají stanovenému účelu a rozsahu zpracování. Zpracovávají se pouze pravdivé a přesné osobní údaje. Pro statistické účely je nutné osobní údaje anonymizovat. Je třeba zamezit neoprávněnému přístupu ke shromážděným údajům.

Přístup k osobním údajům

K osobním údajům mají přístup osoby k tomu zmocněné zákonem nebo přistupující k nim na základě souhlasu. Zpracovávat osobní údaje a seznamovat se s nimi mohou pouze pověřené osoby:

  • zaměstnanec, který svým pracovním zařazením vykonává agendu, jejíž nezbytnou součástí je zpracování osobních údajů
  • dodavatel, pokud je to nezbytné pro výkon jeho práce a v souladu s předpisy na ochranu osobních údajů
  • zaměstnanci technicky zabezpečující provoz informačních systémů jejichž součástí jsou osobní údaje
  • osoby, které k tomu mají oprávnění na základě uzavřené smlouvy.

Na osobní spis zaměstnance, do kterého se uvádějí pouze nezbytné údaje potřebné pro uzavření pracovně právního vztahu, jeho průběhu a ukončení, se nevztahuje povinnost získat souhlas zaměstnance ani oznamovací povinnost. Zaměstnanec zpracovávající personální data je přitom povinen zajistit, aby k personálním datům neměly přístup nepovolané osoby, a je povinen zamezit jejich případnému zneužití. Dále mohou nahlížet do osobního spisu zaměstnance vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní úřad a zpravodajské služby.

Zabezpečení

BEIT, všichni jeho zaměstnanci a osoby, které pro ni pracují, nesmí zneužívat přístup k osobním údajům zákazníků BEIT a zvláště k osobním údajům, které zákazníci svěřili do správy BEIT.

Osobní údaje musí být zabezpečeny před neoprávněným nebo nahodilým přístupem, proti jejich změně, zničení či ztrátě, neoprávněným přenosům, neoprávněnému zpracování a zneužití. V aplikaci je zabezpečení zajištěno důslednou správou přístupových práv a logováním přístupů.

K dodržení zabezpečení je zejména nutné:

  • při správě aplikace BEIT používat jen vlastní přístupová práva, nepřihlašovat se pod účtem jiné osoby
  • data s osobními údaji uložena v osobních počítačích musí být zabezpečena před volným přístupem neoprávněných osob, před změnou, zničením, ztrátou, neoprávněnými přenosy či před neoprávněným zpracováním, jakož i jiným zneužitím osobních údajů,
  • písemnosti a digitální záznamová média s osobními údaji musí být v nepřítomnosti pověřených osob zabezpečeny v uzamčených skříních či uzamčených kancelářích, popř. na jiných místech k tomu určených (platí i pro kopie písemností s osobními údaji),
  • každý, kdo pracuje s dokumenty a dalšími materiály obsahujícími osobní údaje, zajistí, aby k nim neměly přístup nepovolané (zejména třetí osoby),
  • u všech ostatních dokumentů je zapotřebí v prvé řadě zvážit, zda je potřeba je uchovávat a zda není vhodné je skartovat anebo alespoň odstranit z nich osobní údaje
  • je zakázáno vhazovat dokumenty s osobními údaji do odpadkových či třídících košů anebo do kontejnerů, popř. zbavovat se jich jiným takovým obdobným způsobem, aniž by byly osobní údaje na nich uvedené nečitelné či jinak neobnovitelné.

Za plnění těchto povinností je odpovědný (1.) ten, kdo od subjektu osobní údaje získal, (2.) ten, kdo má přístup k elektronickým záznamům (v rozsahu svého přístupového oprávnění), a (3.) ten, kdo nakládá s fyzickým dokumentem obsahujícím osobní údaje.

Povinnosti zaměstnanců

Všichni, na něž vztahuje tato směrnice, jsou povinni dodržovat při shromažďování, evidenci a zpracování osobních údajů ustanovení výše uvedeného zákona o ochraně údajů, který mimo jiné stanoví, co se těmito údaji a manipulací s nimi rozumí.

Každý zaměstnanec provede následující test s každým údajem či informací, který by mohl být údajem osobním a který obdržel nebo hodlá obdržet v budoucnu:

  • vyhodnotí, zda se jedná o osobní údaj, pokud se o osobní údaj nejedná, dále již nepostupuje,
  • pokud daný osobní údaj potřebuje, určí některý z právních základů, tj. oprávnění, na jehož základě může tento osobní údaj zpracovávat.

Právními základy mohou být v podmínkách BEIT:

  • plnění smlouvy se zákazníkem
  • právní povinnost, podle které se osobní údaje zpracovávají na základě obecně závazného právního předpisu nebo jiných závazných pravidel; typicky se jedná o plnění povinností daných pracovním právem ve vztahu k zaměstnancům společnosti BEIT, povinností archivovat dokumenty, identifikace a kontroly klientů apod.
  • smluvní povinnost, podle které je zapotřebí zpracovávat údaje za účelem provedení opatření před jejím podpisem a při jejím plnění, např. zpracování kontaktních údajů za účelem zaslání plnění a komunikace během uzavírání a plnění smlouvy (tj. jméno, telefonní číslo, e-mail, popř. také adresa),
  • oprávněný zájem společnosti BEIT nebo jiné osoby, tj. jedná se o individuálně posuzované případy, kdy hodnotově oprávněný zájem je vyšší než zájem na ochranu soukromí subjektů údajů, v těchto případech je zapotřebí mít připravené i odůvodnění v tomto smyslu, přičemž typickým oprávněným zájmem je uchovávání dokumentů a informací s osobními údaji za účelem budoucích důkazních povinností při případných sporech (např. plnění smluv apod.),
  • souhlas subjektů údajů: z důvodu pomíjivosti tohoto právního základu by měl být využit až v poslední řadě, pokud nebude na místě některý z předchozích právních základů; udělení souhlasu k nakládání s osobními údaji a jeho rozsahu musí být prokazatelné po celou jeho dobu.

Zaměstnanec nesmí odstranit jakékoliv informace, označení či zařízení identifikující nositele či vykonavatele autorských práv k počítačovým programům, autora či jinou oprávněnou osobu.

Z hlediska bezpečnosti informací zaměstnanec:

  • nesmí poskytnout třetí osobě jakékoliv, byť i dílčí, neveřejné informace, ke kterým má přístup v rámci vykonávané činnosti,
  • s hesly do informačních systémů musí manipulovat tak, aby nikdo jiný nemohl jeho heslo zneužít,
  • nesmí používat, či poskytnout jiným uživatelům, jakékoliv technické prostředky sloužící k zajištění informační bezpečnosti a ochraně počítačových programů,
  • má zakázáno přihlašovat se do jakéhokoliv počítačového systému či výpočetní techniky pod cizím jménem a heslem, ledaže nositel tohoto hesla k tomuto udělí souhlas, je to nezbytné k plnění pracovních povinností a zároveň není možné, aby tuto povinnost splnil přímo nositel hesla,
  • je od okamžiku převzetí prvotního hesla odpovědný za veškeré operace provedené v informačním systému, který mu byl tímto zpřístupněn, prostřednictvím jeho uživatelského účtu, a zároveň je povinen pravidelně měnit heslo počítače podle instrukcí automatického nastavení změn hesla, a
  • nesmí vytvářet nebo pozměňovat data s cílem ovlivnit kontrolu oprávněnosti použití počítačových programů.

Při likvidaci výpočetní techniky BEIT zajistí, aby z ní byla vymazána nenávratně veškerá data.

Zaměstnanec by neměl využívat výpočetní techniku k jiným než určeným účelům, tj. k výkonu jeho pracovních činností. Přiměřené využití pro soukromé účely je povoleno za zvýšené obezřetnosti zaměstnance při ochraně výpočetní techniky.

Pokud jsou pro vedení dokumentace využívány formuláře a software, je nutné provést kontrolu, zda nepožadují či nenabízejí evidenci nadbytečných údajů a tyto údaje nezpracovávat.

Všichni zaměstnanci jsou povinni zamezit nahodilému a neoprávněnému přístupu k osobním údajům.

Osobní údaje zaměstnanců

Zaměstnanci mají kdykoliv právo seznámit se s obsahem svého osobního spisu u osoby pověřené jeho vedením, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele, s čímž jsou seznámeni tímto vnitřním předpisem. Nejméně jednou ročně je na pořad porad zařazena problematika ochrany osobních údajů, zejména z hlediska kompetencí pracovníků.

Účely zpracování jsou

  • výkon mzdové a personální agendy včetně ukládání originálů pracovněprávních smluv,
  • vytváření podpisových hlaviček u odchozí e-mailové komunikace,
  • informace na webu v podobě kontaktních údajů zaměstnanců.

Právním základem je:

  • v případě výkonu mzdové a personální agendy plnění právní povinnosti spočívající v pracovněprávních předpisech a přepisech sociálního zabezpečení,
  • v případě vytváření podpisových hlaviček e-mailů oprávněný zájem společnosti, který souvisí v jednotném prezentování navenek a úrovní komunikace a
  • v případě informací na webu v podobě kontaktních údajů oprávněný zájem společnosti, který představuje prezentaci navenek a seznam možných kontaktních míst pro zájemce o služby společnosti,

Uložení trvá:

  • v případě osobních údajů zpracovávaných v souvislosti se mzdovou a účetní agendou po dobu stanovenou pro archivaci vycházející z příslušných předpisů
  • v případech prezentování navenek po dobu trvání pracovněprávního či jiného vztahu (členství, platnost dodavatelské smlouvy), případně po další dobu nutnou k uplatnění práv smluvních stran.

Poučení:

Subjekt údajů má právo za určitých okolností daných GDPR (tj. ne vždy u všech možností a ne vždy automaticky)

  • přístup k jeho osobním údajům (článek 15 GDPR),
  • právo na opravu (článek 16 GDPR),
  • právo na výmaz (článek 17 GDPR),
  • právo na omezení zpracování (článek 18 GDPR),
  • právo na přenositelnost (článek 20 GDPR),
  • právo vznést námitku (článek 21 GDPR) a
  • právo podat stížnost u Úřadu na ochranu osobních údajů (článek 77 GDPR).

Školení a audit:

S ochranou osobních údajů na pracovišti by měli být seznámeni všichni zaměstnanci BEIT i jeho dodavatelé a měli by dodržovat nastavená pravidla vnitřními normativními akty správce. Ke kontrole těchto opatření slouží nastavené audity. O provedených školeních by měly být prováděny záznamy, explicitně prokazující pravidelná proškolení u všech zaměstnanců.

Členové týmu BEIT musí být seznámeni s vnitřním předpisem a zásadami GDPR:

  • zákonnost
  • korektnost
  • transparentnost
  • omezení účelu
  • minimalizace údajů
  • přesnost
  • omezení uložení
  • integrita a důvěrnost

Všechny tyto zásady je nutno chápat jako odpovědnost za celek zpracování, jde o komplex činností, které mají za cíl kontinuální dodržování Nařízení GDPR.

Závěrečná ustanovení

Tato směrnice byla schválena 1.4.2022 a nabývá účinnosti.

Vzor smlouvy o zpracování osobních údajů uzavírané s dodavateli – nebo jako součást smlouvy s nimi (nebo NDA s nimi):

Vzhledem k tomu, že níže podepsaný ……………………………………………………………………………………………….   (dále „dodavatel“) jako smluvní partner společnosti BeiT s.r.o., IČO: 03744264, se sídlem: Ve Střešovičkách 45/40, Střešovice, 169 00 Praha 6, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze pod C 237185 („BEIT“), , může mít při plnění poskytovaném pro BEIT přístup k osobním údajům, jejichž správcem a/nebo zpracovatelem je BEIT podle zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, a Nařízením Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) („GDPR“),

zavazuje se dodavatel chránit jakékoliv osobní údaje, k nimž se během práce pro BEIT dostane. Zvláště pečlivě se zavazuje chránit citlivé údaje.

Bude-li při svém plnění zpracovávat osobní údaje, je předem povinen zjistit, zda je k tomu oprávněn zákonem či souhlasem subjektu osobních údajů.

Dodavatel se zavazuje nepředávat osobní údaje ke správě ani zpracování třetí osobě.

Získal-li dodavatel jakkoliv přístup k osobním údajům, je povinen respektovat rozsah omezení, zákonné předpisy a dobu uchování.

Dodavatel:

  • zpracovává osobní údaje pouze na základě doložených pokynů BEIT, bez nich nepředá osobní údaje do třetí země nebo mezinárodní organizaci;
  • zohledňuje povahu zpracování, je správci nápomocen prostřednictvím vhodných technických a organizačních opatření, je BEIT nápomocen při zajišťování souladu s povinnostmi podle článků 32 až 36 GDPR, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici;
  • poskytne BEIT veškeré informace potřebné k doložení toho, že byly splněny zpracovatelovy povinnosti, a umožní audity, včetně inspekcí.

Pokud je Dodavatel povinen zpracovávat osobní údaje na základě obecně závazného předpisu, oznámí tuto skutečnost písemně společnosti BEIT před zpracováním, ledaže tyto předpisy toto informování zakazují z důležitých důvodů veřejného zájmu.

Zabezpečení:

Osobní údaje musí být zabezpečeny před neoprávněným nebo nahodilým přístupem, proti jejich změně, zničení či ztrátě, neoprávněným přenosům, neoprávněnému zpracování a zneužití.

K  dodržení zabezpečení je zejména nutné:

  • písemnosti a digitální záznamová média s osobními údaji musí být v nepřítomnosti pověřených osob zabezpečeny v uzamčených skříních či kancelářích, popř. na jiných místech k tomu určených (platí i pro kopie písemností s osobními údaji),
  • data s osobními údaji uložená v osobních počítačích musí být zabezpečena před volným přístupem neoprávněných osob, před změnou, zničením, ztrátou, neoprávněnými přenosy či před neoprávněným zpracováním, jakož i jiným zneužitím osobních údajů,
  • nakládání s osobními údaji bude logováno v čitelné formě a s takovým rozsahem, že bude možné jednoznačně prokázat denní činnosti software s vazbou na uživatele a jeho činnost

Dodavatel:

  • zajistí, aby se všechny jeho osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti, o tom musí být pořízen písemný záznam, který musí být na vyžádání Správce kdykoliv zpřístupněn;
  • přijme vhodná technická a organizační opatření, aby zajistil úroveň zabezpečení odpovídající danému riziku, případně včetně pseudonymizace a šifrování osobních údajů, schopnosti zajistit neustálou důvěrnost, integritu, dostupnost a odolnost systémů a služeb zpracování, schopnosti obnovit dostupnost osobních údajů a přístup k nim včas v případě fyzických či technických incident, pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování, zvláště podporou logování v čitelné formě a s takovým rozsahem, že bude možné jednoznačně prokázat denní činnosti informačního systému (nebo programu) s vazbou na uživatele a jeho činnost.

V případě, že dodavatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu BEIT.

Při ukončení spolupráce dodavatel odstraní všechny kopie osobních údajů, listiny a záznamy o nich bezodkladně zničí nebo odevzdá.

Vznikne-li nedodržením tohoto ujednání BEIT škoda, újma, sankce, povinnost odškodnit třetí osobu nebo plnit jakoukoliv povinnost, s níž jsou spojeny další náklady, nahradí je dodavatel na první výzvu v celém rozsahu.

Nechte nám zprávu.