hotlinePo - Pá 7:30 - 16:00
+420 724 862 814ÚVOD
1.1 Lindab Group (dále „Společnost”) chrání a respektuje soukromí jak svých zaměstnanců, tak i zákazníků, a snaží se popularizovat důležitost ochrany osobních údajů a problematiky soukromí. Je cílem Společnosti snížit riziko úniků a zajistit, aby veškeré osobní údaje byly uchovávány a spravovány v souladu se zákonem a transparentně, stejně jako zajistit řízení a odpovědnosti, které zjednoduší dosažení shody s nařízeními týkajícími se ochrany osobních údajů.
1.2 Od 25. května 2018 začne v EU platit směrnice „General Data Protection Regulation (“GDPR”) o ochraně osobních údajů. GDPR stanovuje nové standardy pro společnosti a jejich zpracování osobních údajů s přísnými sankcemi za nedodržování předpisů, včetně pokut do výše 20 milionů eur nebo 4% ročního celosvětového obratu, podle toho, která hodnota je nejvyšší. Vzhledem k tomu, že GDPR stanovuje vysoký standard, lze očekávat, že dodržování GDPR splňuje materiální požadavky odpovídajících předpisů pro ochranu údajů v jiných jurisdikcích. V důsledku toho se společnost rozhodla založit na GDPR globálně použitelnou příručku pro ochranu dat (dále jen "příručku") a směrnici o ochraně údajů (dále jen "směrnice"). Subjekty společnosti však musí vždy vzít v úvahu skutečnost, že mohou podléhat dodatečným místním a / nebo vnitrostátním předpisům o ochraně údajů platným v místě, kde působí. Pokud je takové nařízení v rozporu s příručkou, platí přísnější požadavky.
1.3 Příručka má sloužit jako rámcový dokument stanovující základní principy zpracování osobních údajů a vztahuje se na všechny osoby ve společnosti - všechny zaměstnance, včetně manažerů a vedoucích pracovníků, jakož i představenstva (které jsou součástí termínu "zaměstnanci") pro účely této příručky.
1.4 Všichni zaměstnanci jsou povinni zajistit, aby si byli vědomi obsahu Manuálu a jejích souvisejících práv a povinností. Máte-li jakékoli dotazy týkající se Manuálu, obraťte se na [vložte kontaktní informace příslušné funkci].
2. KLÍČOVÉ POJMY
„Správcem" se rozumí subjekt, který určuje účel a způsob zpracování. V některých případech může být správců více.
„Úřadem pro ochranu údajů" se rozumí orgán / orgány v každé příslušné národní jurisdikci pověřený dohledem a dodržováním GDPR. Například ve Švédsku se jedná o Švédský úřad pro ochranu osobních údajů.
„Subjekt údajů" je identifikovaná nebo identifikovatelná osoba, k níž se vztahují konkrétní osobní údaje.
„EHP" znamená Evropský hospodářský prostor - jde o země Evropské unie, Island, Lichtenštejnsko a Norsko.
„Osobními údaji" se rozumí veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby (tj. Subjektu údajů - viz výše). Totožnost osoby může být stanovena jejím jménem, číslem OP, bydlištěm, online identifikátorem či také aspekty své fyzické, fyziologické, genetické, mentální, ekonomické, kulturní nebo sociální identity.
„Zpracováním" se rozumí jakákoli činnost vykonávaná na základě osobních údajů, jako je jejich shromažďování, organizace, uchovávání, používání, změna, kombinování, zveřejňování, omezení nebo mazání.
„Zpracovatel" znamená osobu nebo subjekt, který zpracovává osobní údaje jménem správce. Zatímco správce určuje účel a způsob zpracování osobních údajů, procesor pouze vykonává činnost.
"Citlivými osobními údaji" se rozumí zvláštní kategorie osobních údajů, jmenovitě genetické údaje, biometrické údaje za účelem jednoznačného určení fyzické osoby, údaje týkající se zdraví, údaje týkající se sexuálního života nebo sexuální orientace osoby, jakož i údaje, které odhalují rasovou nebo etnického původu, politických názorů, náboženské nebo filozofické víry nebo členství v odborových organizacích.
3. ROZSAH GDPR
3.1 GDPR se vztahuje na osobní údaje, což znamená informace přímo nebo nepřímo týkající se živé fyzické osoby. Údaje týkající se právnické osoby obecně nepodléhají GDPR.
3.2 GDPR se vztahuje na:
i) společnosti se sídlem v EU / EHP, i když zpracování dat probíhá mimo EU / EHP; a
(ii) společnosti, které se nacházejí mimo EU / EHP, pokud tyto firmy nabízejí zboží / služby osobám v EU / EHP nebo se účastní monitorování chování osob v EU / EHP (např. profilování).
3.3 GDPR se nevztahuje na informace, které jsou zcela anonymní, tj. informace, které nemohou být spojeny zpět k identifikovatelné osobě. Použije se však na informace, které prošly tzv. pseudonymizací, tj. informacemi, které mohou být propojeny s jednotlivým za použití jiné sady informací (například tzv. „klíče"). Osobní údaje, které prošly šifrováním a již nemohou být spojeny s fyzickou osobou bez šifrovacího klíče, se považují za pseudonymizované.
3.4 Společnosti, které nedodržují ustanovení GDPR, mohou být vystaveny finančním postihům a riziku poškození pověsti a trestním sankcím. To může mít velmi významný dopad na celou Lindab Group. Navíc každá osoba, která utrpěla škodu (která nemusí být finanční povahy), má nárok na náhradu škody od společnosti, která nedodržuje právní předpisy.
4. PRÁVNÍ DŮVODY PRO ZPRACOVÁVÁNÍ OSOBNÍCH ÚDAJŮ
4.1 Jednou ze zásad politiky, směrnice a celého GDPR je, že zpracování osobních údajů musí být v souladu se zákonem. To znamená, že musí být založeno na jednom z právních důvodů uvedených v GDPR. V praxi existují čtyři základní právní důvody, které jsou pro Společnost relevantní a stanovují oprávněné důvody pro zpracování osobních údajů.
(i) plnění smlouvy. Je-li to nezbytné pro plnění smlouvy, jíž je subjekt údajů smluvní stranou;
(ii) oprávněný zájem. Oprávněný zájem Společnosti na zpracování osobních údajů osob musí být vyvážen oproti základním právům osob na ochranu jeho osobních údajů. Pokud je osoba zaměstnancem, zákazníkem společnosti nebo obchodním kontaktem, může tato osoba očekávat, že Společnost zpracuje jeho osobní údaje, což může představovat oprávněný zájem. Zpracování osobních údajů pro účely přímého marketingu může být také oprávněným zájmem, stejně jako zpracování osobních údajů nezbytných k předcházení podvodům.
(iii) Právní povinnost. Je-li to nezbytné pro splnění zákonné povinnosti, například pokud má zaměstnavatel zákonnou povinnost předložit daňovému úřadu informace o příjmech z daní.
(iv) Souhlas. Pokud osoba poskytla společnosti souhlas se zpracováním svých osobních údajů, který tvoří právní základ. Souhlas musí být jasný, srozumitelný a jednoznačný, musí být dán dobrovolně a nesmí obsahovat žádné nepřiměřené podmínky. Osoba může kdykoli odvolat svůj souhlas a musí o tomto právu při udělení souhlasu být informována.
4.2 Společnost musí vždy zajistit, aby právní základ pro zpracování osobních údajů byl stanoven a uveden pro každý účel před zpracováním.
5. KATEGORIE OSOBNÍCH ÚDAJŮ, KTERÉ MOHOU VYŽADOVAT ZVLÁŠTNÍ REŽIM OCHRANY
5.1.1 Upozorňujeme, že v rámci GDPR je zpracování citlivých osobních údajů (viz definice v Oddíle 2) a osobních údajů týkající se trestných činů a / nebo odsouzení podléhají větším omezením. Ty jsou podrobněji popsány níže.
5.1.2 Citlivé osobní údaje
5.1.3 Společnost smí zpracovávat citlivé osobní údaje pouze v případě, že platí alespoň jedna z následujících situací:
(i) Souhlas. Společnost obdržela od subjektu údajů jasný a výslovný souhlas s tím, že jeho osobní údaje budou zpracovávány za konkrétním účelem zpracování. Upozorňujeme, že subjekt údajů může odvolat svůj souhlas, a to s okamžitým účinkem. Mějte také na paměti omezení týkající se možnosti získat souhlas od zaměstnanců. Další informace naleznete ve Směrnici o použití souhlasu a Směrnici o použití souhlasu (zaměstnanci).
(ii) Zákoník práce. Společnost potřebuje používat osobní údaje, aby dostála právům či povinnostem, které jsou specifikovány v zákoníku práce, zákonu o sociálním pojištění či v kolektivní smlouvě.
(iii) Osobní údaje, které jsou již zveřejněny. Tyto osobní údaje již byly subjektem údajů zveřejněny.
(iv) Právní nároky. Společnost potřebuje zpracovat osobní údaje, aby mohla uskutečnit své právní nároky.
(v) Jiné. Podle místních předpisů mohou existovat další přípustné důvody pro zpracování citlivých osobních údajů, například pro statistické účely. Pokud považujete za nezbytné, aby společnost zpracovala citlivé osobní údaje pro určitý účel, a není možno použít žádnou z výše uvedených podmínek, obraťte se s žádostí o další pokyny na GDPR Managera Lindab Group.
5.2 Osobní údaje týkající se odsouzení a trestných činů
5.2.1 Společnost obecně nesmí zpracovávat osobní údaje týkající se odsouzení trestných činů. Tyto informace však mohou být zpracovány podle potřeby jako součást systému ohlašování trestné činnosti (whistleblowing) Společnosti, který umožňuje zaměstnancům hlásit podezření ze závažných trestných činů, včetně protiprávního jednání, a to i osob na klíčových pozicích společnosti.
6. TRANSPARENTNOST A INFORMOVANOST
6.1 Za účelem zajištění spravedlivého a transparentního zpracování musí Společnost pří shromažďování osobních údajů poskytnout subjektu údajů veškeré informace nezbytné k ochraně jeho soukromí. Informace mohou být poskytovány například prostřednictvím webových stránek společnosti, které tato osoba navštíví. Tyto informace musí být poskytnuty srozumitelným a jasným jazykem stručnou, transparentní, srozumitelné a snadno přístupnou formou.
6.2 Jsou-li osobní údaje shromažďovány přímo od subjektu údajů, musí společnost zajistit, aby subjektu údajů byly poskytnuty následující informace.
(i) Jméno a kontaktní údaje. Jméno a kontaktní údaje subjektu, která v rámci Společnosti působí jako správce dat, a kontaktní údaje funkce odpovědné za ochranu dat a soukromí v rámci daného subjektu.
(ii) Účel. Účel, za kterým jsou zpracovávány osobní údaje subjektu údajů; dále stanovení právního základu, dle Oddílu 4, na který se příslušný subjekt v rámci společnosti odkazuje při zpracování osobních údajů. Pokud je zpracování prováděno za účelem splnění oprávněného zájmu, musí být také tento zájem specifikován. Pokud si příslušný subjekt v rámci Společnosti později přeje použít osobní údaje k jinému účelu, než byly původně určeny, musí být subjektu údajů před zpracováním poskytnuty informace o novém účelu.
(iii) Příjemci. Příjemci nebo kategorie příjemců, s nimiž příslušný subjekt v rámci společnosti sdílí osobní údaje.
(iv) Informace o jakýchkoli přesunech údajů do třetích států. V případě, že příslušný subjekt v rámci společnosti zamýšlí předat osobní údaje do země mimo EU / EHP, musí zároveň být uveden také druh právní ochrany, která bude v rámci převodu použita (např. rozhodnutí o vhodnosti Evropské komise nebo „Vzorové smlouvy o převodu osobních údajů do třetích zemí" přijaté Evropskou komisí).
6.3 Aby bylo zajištěno spravedlivé a transparentní zpracování osobních údajů, musí být subjekt údajů v nezbytných případech informován o každém z následujících bodů.
(i) Nutnost daná smlouvou nebo zákonem. Informace o tom, zda je poskytnutí osobních údajů nezbytné podle zákona nebo za účelem uzavření / plnění smlouvy, a případné důsledky neposkytnutí osobních údajů.
(ii) Doba uchování. Informace o tom, jak dlouho budou uloženy osobní údaje. Není-li možné stanovit přesně období uchování, je třeba poskytnout informace o tom, jak bude doba skladování stanovena.
(iii) Využití automatizovaného rozhodování. Informace o tom zda budou osobní údaje podléhat automatizovanému rozhodování (včetně profilování) a nezbytné informace o tomto procesu a jeho potenciálním dopadu na subjekt údajů.
(iv) Práva subjektů údajů. Práva subjektů údajů, např. žádat o přístup ke svým osobním údajům, žádat jejich vymazání, opravu nebo omezení, podat námitky proti jejich zpracování, stáhnout souhlas se zpracováním, práva na přenositelnost údajů a podání stížnosti orgánu pro ochranu údajů.
6.4 V případě potřeby dalších informací viz různá oznámení Společnosti uvedená v Oddíle 18 a Směrnici o uchovávání osobních údajů Společnosti.
6.5 Při shromažďování osobních údajů o subjektu údajů z jiného zdroje než od subjektu údajů by se Společnost měla ujistit, že byl o tomto kroku subjekt údajů informován. Je-li to možné (bez závažného nepřiměřeného úsilí ve vztahu k těmto osobním údajům), musí společnost poskytnout subjektu výše uvedené údajů informace, jakožto i následující doplňující informace:
(i) Povaha shromážděných osobních údajů. Druhy osobních údajů, které byly shromážděny;
(ii) Zdroje osobních údajů. Je-li nutné zajistit, aby byly osobní údaj zpracovávány spravedlivým a transparentním způsobe, je třeba uvést zdroj, odkud osobní údaje pocházejí (včetně informace o tom, zda pocházejí z veřejně dostupného zdroje)
6.6 Informace by měly být poskytnuty subjektu údajů co možná nejdříve. Musí být poskytnuty nejpozději v okamžiku, kdy jsou informace použity ke kontaktování subjektu údajů nebo jsou-li v relevantních případech předány třetí straně. Celková maximální časová lhůta pro informování subjektu údajů je jeden měsíc ode dne, kdy byly získány osobní údaje.
7. INTERNETOVÉ STRÁNKY A SOUBORY COOKIES
7.1 Společnost musí zajistit, aby její přítomnost online a používání souborů cookie odpovídalo zákonům o ochraně údajů.
7.2 Další informace získáte ve Vzorovém oznámení o důvěrnosti osobních údajů a politika souborů cookie.
8. PRÁVA FYZICKÝCH OSOB
8.1 Přístupová práva
8.1.1 Je-li Společností správcem, má osoba právo získat potvrzení o tom, zda jsou nebo nejsou zpracovávány osobní údaje, které se jí týkají, a v případě, že ano, obdrží přístup k osobním údajům tak, že mu je předána kopie osobních údajů, které jsou předmětem zpracování. Některé další informace týkající se zpracovatelské činnosti musí být žadateli rovněž poskytnuty.
8.2 Právo na recertifikaci a výmaz
8.2.1 Musí být přijata veškerá přiměřená opatření, aby došlo k nápravě osobních údajů, které jsou nepřesné, případně jejich vymazání, a to bez zbytečného odkladu.
8.2.2 Na žádost fyzické osoby Společnost rovněž bez zbytečného odkladu vymaže osobní údaje, pokud Společnost uchovává tyto údaje v rozporu s požadavky Nařízení.
8.2.3 V případě pochybností o tom, zda existuje povinnost opravit nebo smazat osobní údaje, obraťte se na GDPR Managera Lindab Group, GDPR Regional Managera, GDPR Administratora nebo externího konzultanta.
8.3 Právo na převoditelnost údajů
8.3.1 Společnost na žádost fyzické osoby poskytne této fyzické osobě osobní údaje, které se jí týkají a které Společnost shromáždila od této fyzické osoby. Osoba může požadovat, aby Společnost předala její osobní údaje přímo novému správci.
8.4 Právo vznášet námitky
8.4.1 Osoby mají právo vznést námitky proti zpracování osobních údajů Společností v případech, kdy je základem pro toto zpracování oprávněný zájem Společnosti. V případě námitky jednotlivce Společnost musí zpracování ukončit, pokud nemá přesvědčivé důvody pro pokračování zpracování, které převyšují zájmy a práva osoby.
8.4.2 Společnost přijme vhodná opatření k ochraně práv jednotlivce a oprávněných zájmů.
8.5 Další informace vám poskytne Obvyklý postup u práv subjektů údajů.
9. ZÁZNAM O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
9.1 Společnost je ze zákona povinna vést záznamy o všech svých činnostech zpracování dat, bez ohledu na to, zda jedná jako správce nebo zpracovatel.
9.2 Záznam musí obsahovat následující informace:
(a) jméno a kontaktní údaje správce / zpracovatele a GDPR Managera Lindab Group;
(b) účely zpracování;
(c) kategorie dotčených osob a zpracovávaných osobních údajů;
(d) kategorie zpracování provedené jménem každého správce (v případě, že společnost jedná jako zpracovatel);
(e) kategorie příjemců, s nimiž mohou být osobní údaje sdíleny;
(f) informace týkající se přeshraničních přenosů dat (tj. předávání osobních údajů mimo území EU / EHP) a dokumentace vhodných ochranných opatření;
(g) platná období uchovávání údajů; a
(h) popis bezpečnostních opatření prováděných za účelem ochrany osobních údajů.
9.3 Společnost musí zajistit, aby byly všechny zpracovatelské činnosti zdokumentovány a ujistit se, že záznamy jsou aktuální.
9.4 Pro další informace kontaktujte [vložte příslušné kontaktní údaje].
10. SPRÁVCE A ZPRACOVATEL
10.1 Zodpovědnost
10.1.1 Pokaždé, když Společnost zpracovává osobní údaje, provede to buď jako správce, nebo jako zpracovatel. S ohledem na GDPR má Společnost přímou povinnost a může být přímo předmětem sankcí bez ohledu na to, zda jedná jako správce nebo zpracovatel. Odpovědnost Společnosti se však bude lišit v závislosti na roli. Je proto důležité, aby Společnost a každý příslušný subjekt v rámci Společnosti stanovily, kdy jednají jako správce a kdy jako zpracovatel. To platí jak směrem ven ze Společnosti, tak i pro situace uvnitř Lindab Group.
10.2 Dohody zpracovatelů údajů a společní správci
10.2.1 Společnost může navazovat vztahy se třetími stranami (např. s dodavateli služeb, konzultanty nebo jinými společnostmi), ve kterých třetí strana bude zpracovávat osobní údaje jménem společnosti.
10.2.2 Vždy, když Společnost umožňuje třetí straně zpracovávat osobní údaje za sebe, musí zajistit, aby byla uzavřena písemná dohoda pro zpracovatele, která obsahuje některá ustanovení uvedená v GDPR.
10.2.3 Společnost musí rovněž uzavírat smlouvy pro zpracovatele údajů, pokud jeden subjekt v rámci Lindab Group zpracovává osobní údaje za jiný.
10.2.4 V souladu s GDPR jsou dva řídící pracovníci, kteří vzájemně určují účel a způsob zpracování, považováni za společné správce se společnou odpovědností.
10.2.5 Další informace viz Směrnice pro shodu s externími partnery v oblasti zpracování osobních údajů.
11. OUTSOURCING A CLOUDOVÉ SLUŽBY
11.1 Pokud společnost chce využívat outsourcing služeb třetím stranám (např. poskytovatelům služeb IT a poskytovatelům cloudových služeb), které zahrnují zpracování osobních údajů, vyvolá to nutné úvahy o ochraně osobních údajů. Obecně platí, že poskytovatelé služeb budou jednat jako zpracovatelé a musí být podepsána písemná dohoda pro zpracovatele.
11.2 Další informace viz Směrnice o outsourcingu a využívání cloudových služeb.
12. MEZINÁRODNÍ PŘENOSY ÚDAJŮ
12.1 Zajištění přiměřené ochrany
Pokud Společnost předá osobní údaje jakékoli straně v zemi mimo EHP, musí zajistit existenci odpovídající úrovně ochrany, krom výjimečných případů (viz níže). Společnost zajišťuje přiměřenou ochranu těmito dvěma způsoby:
(i) Rozhodnutí o odpovídající ochraně. Společnost se spoléhá na rozhodnutí o odpovídající ochraně Komise EU, které prohlašuje, že daná země má prostředky na to, aby zajistila přiměřenou ochranu v rámci svého vlastního právního systému. Seznam rozhodnutí o odpovídající ochraně EU naleznete zde; či
(ii) Přiměřené způsoby ochrany (tj. vzorové ustanovení smluv EU). Pokud pro danou zemi neexistuje rozhodnutí o odpovídající ochraně, musí Společnost zapracovat do smlouvy o přenosu údajů zvlášť schválené vzorové ustanovení. Kopii těchto ustanovení naleznete zde.
12.2 Výjimky
Společnost může přesto předat osobní údaje do země mimo EU / EHP bez odpovídající úrovně ochrany, avšak pouze za následujících situací.
(iii) Otevřený a informovaný souhlas. Subjekt údajů byl informován o rizicích souvisejících s tímto převodem bez odpovídající ochrany nebo záruk a přesto výslovně souhlasí s převodem;
(iv) Smlouva. Přenos je nezbytný pro plnění smlouvy s předmětnou osobou. To může také zahrnovat přípravné kroky, které by společnost mohla před uzavřením smlouvy uzavřít, pokud to bude na žádost subjektu údajů;
(v) Právní nároky. Přenos je nezbytný pro splnění právních nároků ; či
(vi) Jednorázový omezený převod z oprávněného důvodu. Takovýto převod je jednorázový převod, který:
• se týká omezeného množství subjektů údajů;
• je nezbytný pro to, aby Společnost mohla uskutečnit závažný oprávněný zájem, který není v rozporu s právy nebo zájmy subjektů údajů;
• byl proveden po pečlivém zkoumání okolností a za použití vhodných ochranných opatření, přičemž došlo ke vzniku záznamu o obojím; a
• Společnost informuje daný úřad pro ochranu osobních údajů o převodu a také informuje subjekt dat o převodu a oprávněném zájmu, kterému tento převod slouží.
13. ZÁMĚRNÁ A STANDARDNÍ OCHRANA OSOBNÍCH ÚDAJŮ
13.1 Při výkonu funkce správce musí Společnost v souvislosti s každou současnou nebo navrhovanou činností zpracování dat provádět opatření k zajištění shody s ochranou dat. To znamená, že pro každý nový nebo stávající produkt nebo službu, která zahrnuje zpracování osobních údajů, musí Společnost zajistit, aby příslušný produkt nebo služba byla navržena s ohledem na dodržování ochrany osobních údajů. Společnost by například měla provádět příslušná technická a organizační opatření, která jsou určena k implementaci základních principů v GDPR ("standardní ochrana údajů").
13.2 Kromě toho musí Společnost jako správce provádět příslušná technická a organizační opatření, která zajistí, aby byly standardně zpracovávány pouze ty osobní údaje, které jsou nezbytné pro účely zpracování ("standardní ochrana údajů"). Například s ohledem na množství shromážděných údajů, rozsah zpracování, dobu uchovávání a dostupnost dat.
13.3 Další informace viz Směrnice o záměrné a standardní ochraně osobních údajů.
14. POSOUZENÍ DOPADŮ OCHRANY OSOBNÍCH ÚDAJŮ
14.1 V případě, že typ zpracování (např. při zavádění nových technologií) pravděpodobně povede k vysoké míře rizika pro osoby, musí Společnost nejprve provést posouzení dopadů ochrany údajů. Provedení posouzení dopadu ochrany údajů je důležitým nástrojem pro dodržování předpisů a umožní Společnosti řešit a zmírnit rizika ochrany údajů před zahájením jejich zpracování.
14.2 Společnost vytvořila dočasný postup pro posouzení dopadu ochrany osobních údajů, který je podrobněji popsán ve Vzorovém postupu pro posouzení dopadu ochrany osobních údajů.
15. ANALÝZA DAT A PROFILACE
15.1 Analýza dat umožňuje společnosti provést spojení, identifikovat vzorce, předvídat chování a přizpůsobit interakce, a umožňuje zjistit další informace o zaměstnancích a spotřebitelích, které nevyplývají z přezkoumání základních údajů. Při zjišťování a používání tohoto typu osobních údajů, profilování pro spotřebitele nebo zaměstnance atd. je však třeba zvážit aspekty ochrany údajů, včetně uplatňování základních zásad v GDPR a technik, jako je například záměrná ochrana údajů k (viz Oddíl 13 výše).
15.2 Osoba může být pouze předmětem rozhodnutí Společnosti založeném pouze na automatizovaném zpracování, v případě, že daná osoba výslovně souhlasí se zpracováním, nebo je-li toto zpracování nezbytné pro uzavření nebo plnění smlouvy mezi Společností a danou osobou. Z toho vyplývá, že aby mohla činit rozhodnutí učiněná na základě analýzy dat a profilování, musí Společnost zajistit, aby osoba souhlasila s takovým zpracováním, nebo že je její souhlas nutný pro uzavření nebo plnění smlouvy s touto osobou. Automatizovaným rozhodnutím by mohlo být například automatické odmítnutí online kreditní aplikace nebo procesy elektronického náboru bez lidského zásahu.
16. BEZPEČNOST OSOBNÍCH ÚDAJŮ
16.1 Technická a organizační opatření
16.1.1 Společnost musí mít vždy k dispozici vhodná technická a organizační opatření k zajištění trvalé důvěrnosti, souvislosti, dostupnosti a odolnosti jejích zpracovatelských činností. Při implementaci těchto technických a organizačních opatření by mělo dojít k zohlednění nejmodernějších technologií, nákladů na realizaci, a povahy, rozsahu, kontextu a účelu zpracování. V závislosti na povaze zpracování mohou tato opatření zahrnovat.
(vii) anonymizace nebo pseudonymizace a šifrování osobních údajů;
(viii) schopnost zajistit důvěrnost, souvislost, dostupnost a odolnost systémů a služeb zpracování;
(ix) schopnost udržovat a obnovovat dostupnost a přístup k osobním údajům; a
(x) postup pro pravidelné testování, posuzování a hodnocení účinnosti technických a organizačních opatření.
16.2 Úniky osobních informací
16.2.1 Únik osobních údajů je porušením bezpečnosti, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zveřejnění nebo přístupu k osobním údajům, které společnost předává, uchovává nebo zpracovává (např. hackerský útok). V případě úniku osobních údajů musí společnost oznámit tento únik orgánu ochrany údajů v souladu s platnými zákonnými požadavky.
16.2.2 Pokud se zaměstnanec dozví o úniku osobních údajů, které by mohlo ohrozit práva a svobody osob, musí příslušný subjekt v rámci Společnosti neprodleně informovat příslušný orgán pro ochranu údajů, a v některých případech případů rovněž informovat subjekty údajů. Tam, kde je to možné, musí být únik osobních údajů oznámen příslušnému orgánu pro ochranu údajů nejpozději do 72 hodin po jeho zjištění.
16.2.3 Pokud má zaměstnanec podezření, že došlo k úniku osobních údajů, měl by okamžitě informovat místního koordinátora GDPR. Více informací viz Postup v případě úniku osobních údajů.
17. ŠKOLENÍ
17.1 Každý subjekt v rámci Společnosti poskytne svým zaměstnancům dle potřeby školení dle aktuální potřeby. Tato školení se budou týkat politiky, směrnice, manuálu, příslušných dodatků, praktických pokynů a platných zákonných ustanovení týkajících se ochrany osobních údajů. Tato školení budou vždy, kromě jiného:
(i) Poskytovat dostatečné znalosti o politice, směrnici, manuálu, příslušných dodatcích, praktických pokynech a platných zákonných ustanoveních týkajících se ochrany osobních údajů;
(ii) Zvyšovat povědomí o situacích, ve kterých je třeba kontaktovat manažera nebo místního koordinátora GDPR, a předávat způsoby komunikace s těmito osobami; a
(iii) Poskytnuta všem novým zaměstnancům a budou opakována každé dva roky.
18. DODATKY
18.1 Následující dodatky obsahují další informace o ochraně osobních údajů v rámci Společnosti.
(i) Směrnice o použití Souhlasu
(ii) Směrnice o použití souhlasu (Zaměstnanci)
(iii) Oznámení o důvěrnosti osobních údajů pro zaměstnance
(iv) Oznámení o důvěrnosti osobních údajů pro kandidáty na pracovní místo
(v) Vzorové oznámení o důvěrnosti osobních údajů a politika souborů cookie
(vi) Obvyklý postup u práv subjektu údajů
(vii) Směrnice upravující uchovávání osobních údajů
(viii) Směrnice o záměrné a standardní ochraně osobních údajů
(ix) Vzorový postup pro posouzení dopadu ochrany osobních údajů
(x) Směrnice o outsourcingu a využívání cloudových služeb
(xi) Postup v případě úniku osobních údajů
(xii) Směrnice pro shodu s externími partnery v oblasti zpracování osobních údajů
(xiii) Vzorové dohody zpracovatelů osobních údajů
(xiv) Dohoda společných správců
(xv) Komunikační směrnice týkající se osobních údajů