Směrnice na ochranu osobních údajů společnosti atlantika spol. s r.o

  1. ÚVODNÍ USTANOVENÍ
    1. Společnost Atlantika, spol. s r.o., IČO 25332040, se sídlem Běhounská 22/24, 602 00 Brno, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, sp. zn. C 26238, jakožto správce osobních údajů, vydává tuto směrnici na ochranu osobních údajů, jež stanovuje způsob nakládání s Osobními údaji třetích osob, tj. zejména zákazníků Správce, které Správce zpracovává.
    2. Tato Směrnice upravuje práva a povinnosti Správce a subjektů Osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
    3. Tato Směrnice se vztahuje na všechny zaměstnance a spolupracující osoby při zpracovávání Osobních údajů nebo jiné činnosti související se zpracováním Osobních údajů.
  2. DEFINICE
    1. V této Směrnici mají níže uvedené pojmy následující význam:

Dozorový úřad

znamená nezávislý orgán veřejné moci zřízený členským státem za účelem dohledu a kontroly nad dodržováním ochrany osobních údajů v členském státě, zejména Úřad pro ochranu osobních údajů.

GDPR

znamená Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Osobní údaj

jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Směrnice

znamená tato směrnice na ochranu osobních údajů.

Správce

znamená společnost Atlantika, spol. s r.o., IČO 25332040, se sídlem Běhounská 22/24, 602 00 Brno, zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, sp. zn. C 26238.

    1. Pokud není uvedeno jinak, pak v této Směrnici jednotné číslo zahrnuje též množné číslo a naopak, nevyplývá-li z kontextu něco jiného.
  1. Účel směrnice a zpracování osobních údajů
    1. Účelem této Směrnice je stanovit pravidla zpracování Osobních údajů Správcem tak, aby nedocházelo k porušení GDPR či jiných platných předpisů. Tato Směrnice je jedním z organizačních opatření ochrany Osobních údajů ve smyslu článku 32 GDPR.
    2. Správce určuje účel a prostředky zpracování Osobních údajů, zpracovává Osobní údaje a za toto zpracování nese plnou odpovědnost. Správce může pověřit třetí osoby, externí zpracovatele, aby pro něj prováděli zpracování Osobních údajů, a to na základě písemně uzavřené smlouvy o zpracování osobních údajů; za zpracování Osobních údajů zpracovatelem nese Správce odpovědnost, jako by zpracování prováděl sám.
    3. Osobní údaje jsou zpracovávány za účelem:
  1. uzavření a plnění smluv;
  2. zprostředkování provizního prodeje;
  3. zasílání marketingových sdělení;
  4. výběrového řízení;
  5. zprostředkování pojistných smluv souvisejících s poskytovanými službami.
  1. zásady zpracování osobních údajů
    1. Osobní údaje jsou zpracovávány výhradně manuálně.
    2. Správce, zaměstnanci a další spolupracující osoby jsou povinni zpracovávat Osobní údaje korektně a zákonným způsobem. Osobní údaje mohou být Správcem získávány a zpracovávány pouze v rámci plnění zákonné právní povinnosti Správce uložené na základě právního předpisu, při plnění smlouvy, oprávněného zájmu Správce či na základě souhlasu subjektu Osobních údajů uděleného v souladu s požadavky stanovenými v článku 7 GDPR.
    3. Správce zpracovává pouze přesné Osobní údaje získané v souladu s GDPR a jinými platnými právními předpisy. V případě jakýchkoli nepřesností či chyb v Osobních údajích Správce provede jejich opravu či Osobní údaje jinak aktualizuje.
    4. Správce zpracovává Osobní údaje pouze v rozsahu stanoveného účelu pro jejich zpracování a pouze Správcem určenými prostředky. V případě, že Správce zpracovává Osobní údaje na základě souhlasu subjektu Osobních údajů, provádí zpracování pouze v souladu s účelem a po dobu specifikovanou v takovém souhlasu.
    5. Poskytnutí Osobních údajů na základě souhlasu je dobrovolné a subjekt Osobních údajů nesmí být k udělení souhlasu žádným způsobem nucen.
    6. Osobní údaje jsou zpracovávány pouze po dobu nutnou k účelu jejich zpracování nebo po dobu, na kterou byl subjektem Osobních údajů udělen souhlas.
    7. Správce vede záznamy o činnostech zpracování dle článku 30 GDPR, kde mj. eviduje účel zpracování a dobu uchování Osobních údajů. Správce poskytne záznamy o činnostech zpracování Dozorovému úřadu na jeho žádost.
    8. Zaměstnanci Správce a spolupracující osoby jsou oprávněni zpracovávat Osobní údaje výhradně v souladu s pokyny Správce a v rozsahu nezbytném pro plnění svých povinností.
  2. Zpracování osobních údajů zpracovateli a dalšími pověřenými osobami
    1. Pokud Správce využije pro zpracování Osobních údajů služeb zpracovatele, je povinen za tímto účelem písemně uzavřít smlouvu o zpracování Osobních údajů. Předání Osobních údajů mimo území Evropské unie může proběhnout pouze v souladu s podmínkami stanovenými GDPR, vždy však pouze se souhlasem Správce. Zpracovateli můžou být zejména externí poradci, tj. účetní, daňoví a právní či poskytovatelé IT služeb.
    2. Každý zpracovatel je povinen se před započetím zpracování Osobních údajů zavázat k mlčenlivosti ohledně Osobních údajů a jejich zpracování a k ochraně Osobních údajů před jejich neoprávněným nakládáním či ztrátou a dalším závazkům vyplývajícím z GDPR.
    3. Další osoby oprávněné zpracovávat pro Správce Osobní údaje, tj. zejména zaměstnanci Správce a jiné spolupracující osoby jsou povinny dodržovat pravidla zpracování stanovená touto Směrnicí a platnými právními předpisy.
    4. Osoby uvedené v odst. 5.3 této Směrnice jsou zejména povinny:
          1. seznámit se s obsahem této Směrnice a dodržovat Směrnicí uložené povinnosti;
          2. zachovávat mlčenlivost ohledně všech Osobních údajů a informací spojených s jejich zpracováním či zabezpečením, a to i po skončení pracovního poměru či spolupráce se Správcem;
          3. zajistit, že neoprávněné osoby nemají přístup k Osobním údajům, zejména žádné jiné osobě nesdělovat své přihlašovací údaje do systémů Správce;
          4. upozornit Správce v případě podezření na porušení či v případě porušení této Směrnice či platných právních předpisů;
          5. zpracovávat Osobní údaje pouze v rozsahu nezbytném pro řádný výkon své činnosti pro Správce a v souladu s pokyny Správce, touto Směrnicí, GDPR a platnými právními předpisy.
  3. informování subjektu údajů
    1. Správce informuje stručným, transparentním, srozumitelným způsobem, za použití jasných a jednoduchých jazykových prostředků subjekt Osobních údajů o veškerém zpracování jeho Osobních údajů, o jeho právech spojených s ochranou těchto Osobních údajů, zejména o jeho právu na přístup k Osobním údajům, právu na opravu, právu na výmaz příp. právu kdykoliv odvolat souhlas, který subjekt Osobních údajů ke zpracování udělil (viz článek 7 této Směrnice); informace mohou být poskytnuty dle vhodnosti písemně, elektronicky či ústně.
    2. Správce je povinen ověřit dostatečným způsobem identitu subjektu Osobních údajů při jakémkoliv poskytnutí informací subjektu Osobních údajů; pokud na straně Správce vyvstane jakákoliv pochybnost o totožnosti subjektu Osobních údajů, může Správce po subjektu Osobních údajů požadovat poskytnutí dodatečných informací nezbytných k potvrzení totožnosti subjektu Osobních údajů.
    3. Všechny požadavky subjektů Osobních údajů související s jejich právy dle článku 7 této Směrnice musí být vyřízeny bez zbytečného odkladu, nikdy ne později než do jednoho (1) měsíce ode dne jejich obdržení. Lhůta dle přechozí věty může být prodloužena o další dva (2) měsíce, pokud je to potřebné s ohledem na složitost a počet vyřizovaných požadavků Správcem; o takovém prodloužení je Správce povinen informovat subjekt Osobních údajů nejpozději do jednoho (1) měsíce od obdržení požadavku spolu s důvody pro takové prodloužení.
    4. Informace Správce poskytuje a jiné požadavky subjektu Osobních údajů vyřizuje ve stejné formě, v jaké o ně subjekt Osobních údajů požádal, je-li to možné a nepožádal-li subjekt Osobních údajů o jiný způsob.
    5. Pokud Správce nevyhoví požadavku subjektu Osobních údajů, informuje o tom Správce bezodkladně subjekt Osobních údajů, ne však později než do jednoho (1) měsíce ode dne přijetí požadavku od subjektu Osobních údajů, a to spolu s důvody nevyhovění a upozorněním na možnost podat stížnost u Dozorového úřadu a žádat soudní ochranu.
    6. Informace a veškeré jiné požadavky se subjektu Osobních údajů poskytují a vyřizují bezplatně. Jsou-li požadavky subjektu Osobních údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může Správce:
          1. uložit subjektu Osobních údajů přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo s vyřízením jiných požadavků subjektu Osobních údajů; nebo
          2. odmítnout žádosti vyhovět.

Zjevnou nedůvodnost nebo nepřiměřenost požadavku dokládá Správce.

  1. práva subjektu osobních údajů
    1. Subjekt Osobních údajů má právo na přístup ke svým Osobním údajům v souladu s článkem 15 GDPR. Subjekt Osobních údajů může kdykoliv požádat Správce o potvrzení, zda Osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud jsou, pak za jakým účelem, v jakém rozsahu, komu jsou zpřístupněny, jak dlouho je bude Správce zpracovávat, zda má subjekt Osobních údajů právo na opravu, výmaz, omezení zpracování či právo vznést námitku, odkud Správce Osobní údaje získal a zda dochází na základě zpracování Osobních údajů k automatickému rozhodování, včetně případného profilování.
    2. Subjekt údajů má právo požadovat po Správci opravu či doplnění svých Osobních údajů, a to kdykoliv, pokud se dozví, že jeho Osobní údaje jsou nepřesné či neúplné.
    3. Subjekt údajů má právo na výmaz svých Osobních údajů pokud:

(a) již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;

(b) zpracování je protiprávní;

(c) pokud jsou subjektem Osobních údajů vzneseny námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;

(d) výmaz je Správci uložen na základě zákonné povinnosti.

    1. Subjekt údajů má právo na omezení zpracování v souladu s článkem 18 GDPR, právo vznést námitku ve smyslu článku 21 GDPR a právo na přenositelnost údajů v souladu s článkem 20 GDPR.
    2. Subjekt Osobních údajů je oprávněn kdykoliv odvolat udělený souhlas se zpracováním Osobních údajů; zákonnost zpracování Osobních údajů založená souhlasem před odvoláním souhlasu tímto není dotčena. O právu odvolat udělený souhlas musí být subjekt Osobních údajů poučen vždy před poskytnutím Osobních údajů Správci. Souhlas nesmí být součástí dokumentů nezbytných pro uzavření jiných vztahů.
  1. zabezpečení osobních údajů
    1. Správce při volbě vhodného zabezpečení Osobních údajů zohledňuje rizika, jež pro Osobní údaje vyplývají z jejich zpracování, a to zejména rizika náhodného či protiprávního zničení, ztráty či neoprávněného přístupu.
    2. V případě že Správce zjistí výskyt rizik dle odst. 8.1, přijme vhodná opatření k jejich zamezení.
    3. Správce přijme taková organizační a technická opatření, která zamezí neoprávněnému nebo nahodilému přístupu, zpracování, přenosu, zničení, ztrátě, nebo jinému zneužití Osobních údajů a prostředků pro jejich zpracování, a to vždy odpovídající riziku spojenému s daným zpracováním Osobních údajů. Správce zejména přijme následující organizační opatření:
          1. pravidelné školení zaměstnanců a spolupracujících osob Správce oprávněných ke zpracování Osobních údajů na zásady a principy ochrany Osobních údajů a kybernetickou bezpečnost;
          2. přijetí této Směrnice a seznámení zaměstnanců a spolupracujících osob ať současných nebo budoucích s jejím obsahem;
          3. uzavření příslušných smluv o zpracování osobních údajů se zpracovateli;
          4. zavázání zaměstnanců a spolupracujících osob mlčenlivostí ohledně Osobních údajů a jejich zabezpečení, a to i po ukončení příslušných smluv;

a

následující technická opatření:

          1. přístup do prostor, zařízení a nosičů obsahujících Osobní údaje pouze oprávněným osobám na základě přihlašovacích údajů, hesel či za použití přístupových kódů, karet či zámků;
          2. pravidelná údržba zařízení užívaných pro zpracování Osobních údajů;
          3. využívání vhodného a aktualizovaného antivirového a firewall softwaru.
  1. Oznamování případů porušení zabezpečení osobních údajů
    1. Jakékoli porušení zabezpečení Osobních údajů dle ustanovení čl. 4 odst. 12 GDPR Správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí Dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení Dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
    2. Ohlášení Dozorovému úřadu podle tohoto článku 9 musí přinejmenším obsahovat:
          1. popis povahy daného případu porušení zabezpečení Osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů Osobních údajů a kategorií a přibližného množství dotčených záznamů Osobních údajů;
          2. jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
          3. popis pravděpodobných důsledků porušení zabezpečení Osobních údajů;
          4. popis opatření, které Správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení Osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
    3. Není-li možné poskytnout informace dle odst. 9.2 současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.
    4. Pokud je pravděpodobné, že určitý případ porušení zabezpečení Osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Správce toto porušení bez zbytečného odkladu subjektu Osobních údajů. V oznámení popíše Správce za použití jasných a jednoduchých jazykových prostředků povahu porušení zabezpečení Osobních údajů a dále uvede informace uvedené v odst. 9.2 písm. (b) až (d).
    5. Oznámení dle odst. 9.4 se nevyžaduje, pokud:
          1. Správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u Osobních údajů dotčených porušením zabezpečení Osobních údajů, zejména taková, která činí tyto Osobní údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;
          2. Správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů Osobních údajů se již pravděpodobně neprojeví;
          3. vyžadovalo by to nepřiměřené úsilí.

V takovém případě musí být subjekty Osobních údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

    1. Správce je povinen dokumentovat veškeré případy porušení zabezpečení Osobních údajů, přičemž současně uvede detaily týkající se daného porušení, jeho následky a přijatá nápravná opatření. Tyto záznamy musí být schopné umožnit Dozorovému úřadu ověření souladu s tímto článkem 9 a článkem 33 GDPR.
  1. dohled nad dodržováním ochrany osobních údajů
    1. Dohled nad dodržováním této Směrnice a závazných právních předpisů vykonává Lenka Jirgalová, Atlantika, spol. s r.o., Běhounská 22/24, 602 00 Brno, telefon: +420 542 217 718, e-mail jirgalova@atlantika.cz.
    2. Lenka Jirgalová, slouží jako kontaktní osoba zaměstnanců či spolupracujících osob Správce v otázkách bezpečnosti a ochrany osobních údajů. V případě jakýchkoli pochybností o výkladu této Směrnice či rozsahu a obsahu zákonných povinností poskytuje Lenka Jirgalová závazný výklad, kterým jsou tyto osoby povinny se řídit.
  2. závěrečná ustanovení
    1. Tato Směrnice nabývá platnosti a účinnosti dne 25. května 2018 a nahrazuje všechny předcházející předpisy Správce týkající se ochrany osobních údajů.

Správce seznámí všechny své zaměstnance a spolupracující osoby s obsahem této Směrnice bezodkladně, nejpozději k datu její účinnosti. Noví zaměstnanci a spolupracující osoby budou s obsahem této Směrnice seznámeni vždy nejpozději ke dni jejich nástupu do zaměstnání u Správce příp. ke dni zahájení spolupráce se Správcem

Přihlaste se k odběru novinek
Na těchto webových stránkách jsou k vylepšování služeb využívány soubory cookies.