Ochrana osobních údajů

Bezpečnostní politika

Dokumentace osvědčující naplňování zásad zpracování, ochrany a zabezpečení osobních údajů 

 I.

Preambule

 Tato bezpečnostní politika je vyhotovena za účelem úpravy interních pravidel a postupů, které se týkají zpracování osobních údajů fyzických osob v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen „GDPR“).

Správcem a zpracovatelem osobních údajů je Michaela Nováková, IČ: 07853840, se sídlem Na Kocínce 1740/8, Praha 6, 16000 (dále jen „správce“).

Bezpečnostní politika stanovuje závazná interní pravidla pro zpracování osobních údajů dotčených fyzických osob, se kterými správce přijde do styku v rámci své obchodní činnosti. (dále jen „subjekt údajů“)

Bezpečnostní politika vyhodnocuje rizika spojená se zpracováním osobních údajů, přijímá opatření k minimalizaci rizik a seznamuje subjekty údajů o zásadách zpracování osobních údajů dle GDPR.

II.

Zákonnost zpracování osobních údajů

Správce zpracovává pouze oprávněně shromážděné osobní údaje v odpovídajícím rozsahu:

  • na základě souhlasu subjektu údajů se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
  • jestliže zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  • jestliže zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje (např. účetnictví, daně, archivace)
  • jestliže zpracování je nezbytné pro účely ochrany oprávněného zájmu v soudním, správním či jiném řízení

III.

Vymezení okruhu osobních údajů

 

Správce zpracovává osobní údaje dodavatelů, smluvních partnerů, jejich zástupců, popř. dalších smluvních partnerů a zákazníků. Správce zpracovává pouze takové osobní údaje, které potřebuje pro podnikání. Nepotřebné osobní údaje správce neshromažďuje, pokud zákon nenařizuje uchování údajů, nevratně je likviduje. 

V souladu se zásadami uvedenými v tomto článku a pouze v tomto rozsahu zpracovává správce tyto osobní údaje:

Identifikační a kontaktní údaje

  • jméno a příjmení
  • adresa trvalého pobytu
  • adresa sídla, případně jiná kontaktní adresa
  • datum narození, případně rodné číslo (jde-li o povinný identifikátor)
  • IČ, DIČ
  • název právnické osoby, v rámci které subjekt údajů působí
  • funkce subjektu údajů v rámci právnické osoby, v níž tento působí
  • kontaktní telefonní číslo včetně případných odvozených služeb jako viber, whatsapp, atd.
  • kontaktní e-mail
  • číslo bankovního účtu
  • podpis

Údaje o realizovaných službách

  • relevantní identifikace smluv
  • druh a specifikace poskytované služby
  • objem poskytnutých služeb a jejich cena, včetně případných individuálních slev
  • údaje o realizaci služeb
  • relevantní daňové doklady 
  • písemná komunikace, včetně emailové, chatové komunikace či jiné elektronické komunikace, popř. zápisy z osobní komunikace

Správce nezpracovává žádné osobní údaje zvláštní kategorie podle čl. 9 GDPR, tedy osobní údaje zvlášť rizikové z pohledu možných zásahů do garantovaných práv a svobod fyzických osob (např. údaje vypovídající o rasovém či etnickém původu).

IV.

Pravidla bezpečného zpracování osobních údajů

Osobní údaje jsou zpracovávány v počítači správce a mobilním telefonu správce. Počítač i mobilní telefon jsou chráněny heslem.

Osobní údaje jsou zpracovávány v uzamčené místnosti. Důležité dokumenty s osobními údaji jsou uchovávány v uzamykatelné skříni.

Správce zpracovává osobní údaje v souladu s pravidly stanovenými GDPR. Osobní údaje jsou ve vztahu k subjektům údajů:

  • zpracovávány korektně, zákonným a transparentním způsobem;
  • shromažďovány pro určité, výslovné a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;
  • přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
  • přesné a v případě potřeby aktualizované;
  • uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;
  • zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

V.

Dodavatelé

 

Správce při plnění svých závazků a povinností ze smluv může využívat odborné a specializované služby jiných, externích subjektů („dodavatelé“). Pokud tito dodavatelé zpracovávají osobní údaje předané od správce, budou mít postavení zpracovatelů osobních údajů a zpracovávají osobní údaje pouze v rámci pokynů od správce a nesmí je využít jinak.

S každým takovým dodavatelem bude sjednána doložka o zpracování osobních údajů, ve které jsou dojednány povinnosti dodavatele k ochraně a zabezpečení osobních údajů.

Dodavatelé mají povinnost chránit osobní údaje a jsou vázáni povinností mlčenlivosti. Dodavatelé nesmí zpřístupňovat osobní údaje neoprávněným osobám.

Správce nezpřístupňuje osobní údaje neoprávněným třetím osobám.

Správce nezasílá nevyžádanou poštu.

VI.

Práva subjektů údajů

 

Subjekty údajů mají právo na informaci o tom, jaké osobní údaje a jakým způsobem Správce zpracovává. Subjekty údajů mají právo:

  • právo na přístup subjektu k osobním údajům (právo získat od správce potvrzení o zpracování osobních údajů, právo získat kopii zpracovávaných osobních údajů)
  • právo na opravu
  • právo na výmaz
  • právo na omezení zpracování
  • právo na přenositelnost údajů
  • právo vznést námitku
  • právo nebýt předmětem automatizovaného rozhodnutí

Subjekt údajů má právo obrátit se na Úřad pro ochranu osobních údajů (www.uoou.cz), a to v případě, že se domnívá, že správce zpracovává jeho osobní údaje neoprávněně či jinak porušuje jeho práva. Subjekt údajů má právo požádat o soudní ochranu.

VII

Postup řešení bezpečnostních incidentů

 

Případný bezpečnostní incident povinen řešit v souladu se zákonnou úpravou. Správce je zejména povinen neprodleně vyhodnotit bezpečnostní incident a ohlásit jej Úřadu pro ochranu osobních údajů, popř. dotčeným subjektům údajů. Správce je povinen bezpečnostní incident co nejrychleji vyřešit a přijmou opatření k tomu, aby se pokud možno podobný bezpečnostní incident nemohl opakovat.

VIII.

Závěr

Subjekty údajů mají právo nahlédnout do bezpečnostní politiky v sídle správce.

Toto znění bezpečnostní politiky je jejím prvním zněním. V případě potřeby správce bezpečnostní politiku aktualizuje.

V Praze dne 15. 2. 2019

_________________

Michaela Nováková