Ochrana osobních údajů

Vnitřní směrnice společnosti HMC engineering system s.r.o. o ochraně osobních údajů.

I. Obecná ustanovení

  1. Tato vnitřní směrnice společnosti HMC engineering system s.r.o. slouží k zavedení ochrany
    fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, ve
    smyslu Nařízení Evropského parlamentu a Rady (EU) 2016/679 „dále Směrnice.“
  2. Tato směrnice zavazuje všechny zaměstnance společnosti HMC engineering system s.r.o. a třetí
    osoby, které v souvislosti s případným zpracováním osobních údajů nebo jiným nakládání s těmito
    údaji získají údaje chráněné podle shora uvedené Směrnice.
  3. Společnost HMC engineering system s.r.o. provede revizi této vnitřní směrnice po vydání
    obecně závazného právního předpisu národními orgány České republiky. Do doby vydání tohoto
    obecně závazného právního předpisu budou práva a povinnost všech subjektů podřízena výhradně
    Směrnici.

II. Defince

  1. „Osobními údaji“ se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické
    osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze
    přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno,
    identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků
    fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této
    fyzické osoby.
  2. „Zpracováním“ se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory
    osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je
    shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění,
    vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění,
    seřazení či zkombinování, omezení, výmaz nebo zničení.
  3. „Správcem“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný
    subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;
    není-li dále v této vnitřní směrnici určeno jinak, je správcem společnost HMC engineering system
    s.r.o.
  4. „Zpracovatelem“ se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo
    jiný subjekt, který zpracovává osobní údaje pro správce.
  5. „Odpovědnou osobou“ se rozumí osoba určená k plnění povinností dle této směrnice ve vztahu
    k osobním údajům, zejména pro komunikaci se subjekty údajů, kontrole plnění povinností dle této
    směrnice a dalším povinnostem určeným touto směrnicí a příslušnými obecně závaznými právními
    předpisy. Odpovědnou osobou je určen každý jednatel společnosti.
    6. Povinnosti zaměstnance stanovení v této směrnici se použijí přiměřeně i pro jednatele
    společnosti.

III. Oblast nakládání s osobními údaji

  1. K získávání a zpracování osobních údajů dochází ve společnosti HMC engineering system s.r.o.
    vlastními zaměstnanci při zpracování ekonomických a obchodních dat. Ke zpracování třetími
    osobami nedochází.
  2. K zpracování osobních údajů může docházet u zpracovatelů, kteří je pro správce provádějí na
    základě uzavřených smluv v souladu s těmito smlouvami a v souladu s obecně závaznými právními
    předpisy. Zpracovatel zpracovává vždy pouze přesné a pravdivé osobní údaje, které za tím účelem
    průběžně (v případě změn nebo pochybností ) ověřuje. Společnost HMC engineering system s.r.o.
    činí všechny nezbytné kroky, aby pro zvýšenou ochranu osobních údajů omezila nebo zcela
    zamezila zpracování osobních údajů mimo pověřené zaměstnance společnosti.
  3. Právo (a zároveň povinnost) přijít do styku a nakládat s osobními údaji je zde uvedeným
    zaměstnancům stanoveno v pracovní náplni v rámci jejich pracovních úkolů. Na základě podepsané
    dohody o mlčenlivosti jsou zaměstnanci i spolupracující zpracovatelé, přicházející při plnění svých
    úkolů do styku s osobními údaji povinni se vyhýbat jakémukoliv jednání, které by mohlo být
    považováno za zásah do chráněných práv dle Směrnice.
  4. Osobní údaje zaměstnanců jsou získávány a shromažďovány z důvodu plnění zákonných
    povinností organizace plynoucích z pracovněprávních, daňových, bezpečnostních, hygienických
    předpisů a dále povinností plynoucích ze vztahů vůči OSSZ a zdravotním pojišťovnám, z předpisů
    o zaměstnanosti. Sběr a zpracování osobních údajů se dále provádí z hlediska interních potřeb
    organizace, jimiž je zejména výběr, zvyšování kvalifikace zaměstnanců, přeřazování na jiné funkce,
    program péče o zaměstnance a jejich rodinné příslušníky, vč. finanční pomoci.
  5. Osobní údaje fyzických osob v rámci smluvních vztahů jsou získávány výhradně při obchodní
    činnosti společnosti HMC engineering system s.r.o. a to z údajů e-mailové nebo jiné písemné
    korespondence společnosti HMC engineering system s.r.o. Fyzické osoby, jejichž osobní údaje
    jsou takto získávány musí být poučeny o svých právech a povinnostech ve vztahu ke
    shromažďování a zpracování jejich osobních údajů.
  6. Společnost HMC engineering system s.r.o. provádí pravidelnou kontrolu rozsahu, přesnosti,
    úplnosti a pravdivosti osobních údajů a současně prověřuje nezbytnost shromažďování a zpracování
    osobních údajů v aktuálním rozsahu. Jednatel společnosti zajišťuje případné omezení vedení
    osobních údajů v okamžiku, kdy zpracování nebo archivace osobních údajů nebo jejich části není
    nezbytně nutná.

IV. Rozsah a způsob zpracování

  1. Osobní údaje zaměstnanců jsou zpracovávány při jejich získání zařazením do evidence. Údaje
    jsou získávány přímo od dotčených zaměstnanců a to písemně (dotazníky, potvrzení o zaměstnání
    od předchozího zaměstnavatele, pracovní posudky, žádosti, životopisy, zdravotní prohlídky,
    doklady o dosaženém vzdělání a praxi, výpisy z rejstříku trestů, písemná potvrzení o absolvování
    speciálních školení a kurzů), nebo ústně (nahlašování změn, doplnění údajů při rozšíření požadavků
    plynoucích ze zvláštních zákonů). Ústní údaje jsou pověřeným zaměstnancem podchyceny
    a převedeny do písemné podoby.
  2. Osobní údaje zaměstnanců jsou shromažďovány v jejich osobním spise a jejich kopie je vedena
    v elektronické podobě v elektronickém systému zaměstnavatele. Výstupy ze pracování osobních
    údajů zaměstnanců jsou vedeny v listinné podobě ve spisech mzdové a účetní evidence i
    elektronické evidenci .
  3. Osobní data jsou zpracovávána za účelem vedení agendy zaměstnavatele, zejména pro účely
    mzdové, daňové a personální, včetně poskytnutí benefitů. Zpracování provádí pověřený
    zaměstnanec na daném úseku a užívá ke zpracování jen ta data, která jsou pro účel zpracování
    nezbytná.
  4. Osobní údaje fyzických osob získaná v rámci smluvních vztahů získávána v listinné a
    v elektronické podobě. Výstupy zpracování osobních údajů jsou vedeny v elektronické podobě v
    elektronickém systému HMC engineering system s.r.o. a v listinné podobě ve spisech účetní
    evidence HMC engineering system s.r.o.
  5. Předávání osobních údajů jiným správcům je možné pouze z důvodu plnění zákonných
    povinností zaměstnavatele (např. závodní lékař). Předávání osobních údajů jiným správcům
    v ostatních případech je možné pouze se souhlasem subjektu osobních údajů.

V. Základní prvky ochrany osobních údajů

  1. Osobní údaje vedené v elektronické podobě jsou před napadením zvenčí chráněny firewallem,
    antivirovou ochranou a jsou vytvářeny bezpečnostní kopie.
  2. Přístup k údajům v elektronické podobě je zabezpečen v podobě přístupového hesla, určujícího
    rozsah oprávnění přistupující osoby k nahlížení do osobních údajů a pro provádění jejich
    zpracování.
  3. Přístup k údajům vedeným v písemné podobě je zabezpečen jejich uložením v uzamykatelných
    skříních s omezeným přístupem. Údaje vedené v písemné podobě mohou být rovněž uloženy mimo
    uzamykatelnou skříň v případě, kdy je zajištěn trvalý dohled pohybu osob v dané kanceláři a
    uzamykání kanceláře vždy v okamžiku, kdy ji opustí zaměstnanec odpovědný za ochranu osobních
    údajů umístěných v dané kanceláři.

VI. Povinnosti zaměstnanců a třetích osob

  1. Zaměstnanci a osoby, které mají k osobním údajům oprávněný přístup (dále jen „třetí osoby“),
    jsou povinny chránit osobní údaje v rozsahu povinností dle obecně závazných právních předpisů a
    to především dodržováním povinnosti mlčenlivosti a striktního postupu dle této vnitřní směrnice.
  2. Zaměstnanci a třetí osoby s oprávněním přístupu k osobním údajům jsou dále povinni dodržovat
    pravidla ochrany přístupu k těmto údajům, nesdělovat přístupová hesla a technické prostředky
    přístupu (klíče) jiným osobám, včetně jiných zaměstnanců HMC engineering system s.r.o. a
    získané osobní údaje užít pouze k předem určenému účelu jejich zpracování.
  3. Zaměstnanci a třetí osoby jsou povinni dodržovat zákaz sběru a zpracování jakýchkoliv osobních
    dat nad rámec svých pracovních povinností, zejména pak zřizování jakýchkoliv souborů dat
    obsahujících osobní data v elektronickém systému zaměstnavatele, byť by se jednalo o soubory dat
    ve vyhrazené soukromé části systému přístupné jen danému zaměstnanci. Zaměstnavatel je
    oprávněn při zjištění porušení této povinnosti takto nalezená data bez náhrady smazat.
  4. Zaměstnanci a třetí osoby v případě zjištěného porušení ochrany osobních údajů především
    zamezit úniku nebo zneužití osobních údajů a dále neprodleně informovat svého nadřízeného
    zaměstnance nebo jednatele o zjištěném úniku nebo zneužití osobních údajů.
  5. Jakékoli porušení zabezpečení osobních údajů dle ustanovení čl. 4 odst. 12 Směrnice společnost
    bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, ohlásí
    dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro
    práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí
    být současně s ním uvedeny důvody tohoto zpoždění. Provedení hlášení dle tohoto odstavce
    zajišťuje jednatel.

VII. Ukončení zpracování osobních údajů

  1. Osobní údaje, které jsou zpracovávány z důvodu dodržení zákonné povinnosti HMC engineering
    system s.r.o. budou zlikvidovány nebo anonymizována neprodleně po uplynutí zákonné lhůty,
    nejpozději pak do jednoho roku, po uplynutí dané lhůty.
  2. Osobní údaje, které jsou zpracovávány z důvodu odlišných od důvodů uvedených v odst. 1,
    budou zlikvidovány nebo anonymizována do jednoho roku od jejich získání.
  3. Likvidace osobních údajů vedených v listinné podobě se provádí jejich fyzickou likvidací – tj.
    skartací ve šrotovacím zařízení, spálením nebo jiným obdobně efektivním způsobem zabraňujícím
    byť jen částečnému obnovení osobních údajů.
  4. Likvidace osobních údajů vedených v elektronické podobě se provádí jejich vymazáním,
    přepsáním nebo zničením datových nosičů nebo jiným obdobně efektivním způsobem zabraňujícím
    byť jen částečnému obnovení osobních údajů.

VIII. Právo na zapomenutí

  1. Právo fyzické osoby na vymazání všech svých osobních údajů je prováděno prostřednictvím
    odpovědné osoby. Odpovědná osoba určuje, zda jsou splněny předpoklady pro uvedený postup a
    určuje rozsah likvidace údajů o fyzické osobě. Při likvidaci osobních údajů se postupuje přiměřeně
    dle čl. VII.
  2. V případě, kdy jsou osobní údaje předány jinému správci postupem dle této směrnice, není za
    správu, změnu a výmaz osobních údajů u jiného správce odpovědná společnost HMC engineering
    system s.r.o. Společnost je povinna na žádost subjektu údajů povinen jej informovat jakému
    jinému správci, za jakým účelem a v jakém rozsahu byla osobní data jinému správci předána.

IX. Komunikace se subjekty údajů

  1. Kterýkoliv zaměstnanec společnosti HMC engineering system s.r.o., který obdržel v jakékoliv
    formě (písemně, telefonicky, osobně) žádost či stížnost subjektu údajů, která se týká nebo by se
    mohla týkat ochrany osobních údajů, oznámí tuto skutečnost příslušné odpovědné osobě a předá jí
    obdržené údaje a informace.
  2. Všechny požadavky subjektů údajů musí být vyřízeny bez zbytečného odkladu, nikdy ne později
    než do 1 měsíce ode dne jejich obdržení. Informace podle tohoto článku poskytuje společnost
    subjektu údajů ve stejné formě, v jaké o informace subjekt údajů požádal.
  3. V případě žádosti subjektu údajů o přístup k osobním údajům poskytne příslušná pověřená osoba
    subjektu údajů nejméně informaci, zda osobní údaje, které se subjektu údajů týkají, jsou či nejsou
    zpracovávány, a pokud je tomu tak, poskytne mu osobní údaje subjektu údajů a informace o:
    • účelu jejich zpracování;
    • kategoriích dotčených osobních údajů;
    • příjemcích nebo kategoriích příjemců, kterým osobní údaje byly nebo budou
      zpřístupněny, zejména příjemcích ve třetích zemích nebo v mezinárodních
      organizacích;
    • plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit,
      kritériích použitých ke stanovení této doby;
    • existenci práva požadovat od společnosti opravu nebo výmaz osobních údajů
      týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku
      proti tomuto zpracování;
    • právu podat stížnost u dozorového úřadu;
    • veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od
      subjektu údajů;
    • O vyřízení žádosti nebo stížnosti subjektu údajů vede odpovědná osoba záznam podobu dvou let.

X. Vzdělávání a kontrola

  1. Společnost HMC engineering system s.r.o. zajišťuje vzdělávání všech zaměstnanců na úseku
    informovanosti o právech a povinnostech při ochraně osobních údajů vždy při nástupu zaměstnance
    do pracovního poměru a dále pak proškoluje své zaměstnance o právech a povinnostech při ochraně
    osobních údajů v pravidelných intervalech, nejméně pak jednou ročně.
  2. Společnost HMC engineering system s.r.o. provádí prostřednictvím odpovědné osoby
    pravidelnou kontrolu rozsahu, přesnosti, úplnosti a pravdivosti osobních údajů a současně prověřuje
    nezbytnost shromažďování a zpracování osobních údajů v aktuálním rozsahu. Odpovědná osoba
    zajišťuje případné omezení vedení osobních údajů v okamžiku, kdy zpracování nebo archivace
    osobních údajů nebo jejich části není nezbytně nutná. V případě změny pravidel pro shromažďování
    a zpracování osobních údajů zajistí odpovědná osoba přeškolení zaměstnanců v nezbytném
    rozsahu, případně doplňující zajistí poučení třetích osob, jejichž osobní údaje jsou shromažďovány
    a zpracovávány.

XI. Stav právní úpravy a revize

  1. Tato vnitřní směrnice společnosti HMC engineering system s.r.o.je účinná ode dne 25. 5. 2018
  2. Tato vnitřní směrnice společnosti HMC engineering system s.r.o. byla zpracována a vydána dle
    Nařízení Evropského parlamentu a Rady (EU) 2016/679 a stavu právní úpravy ke dni 25. 5. 2018.
  3. Revize vnitřní směrnice společnosti HMC engineering system s.r.o. bude provedena dle potřeby, zejména pak při změně a doplnění národní právní úpravy ochrany fyzických osob v souvislosti se
    zpracováním osobních údajů a volného pohybu těchto údajů.


V Novém Jičíně dne 20. 4. 2018
Jan Mička
jednatel společnosti