Ochrana osobních údajů podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), které je účinné od 25. května 2018.

Pravidla a podmínky pro zajištění ochrany osobních údajů je stanovena v části uzavřené příkazní smlouvy – DOLOŽKA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ – str. 5 mezi uživatelem (dále jen „příkazce“) a GUARD7, v.o.s. (dále jen „příkazník“)

POVAHA A ÚČEL ZPRACOVÁNÍ

  1. Příkazník zpracovává osobní údaje zaměstnanců příkazce jako zpracovatel, a to za těmito účely:
    • zajištění e-learningových kursů a vystavení certifikátů o absolvování e-learningového kursu,
    • vedení lhůtníků, neshod, a dalších osobních údajů potřebných pro vedení agendy BOZP a PO v kartě klienta (příkazce) pro jednotlivé pobočky v portálu GUARDIAN.
  2. Příkazník bude osobní údaje zpracovávat tímto způsobem:
    1. automatizovaně s užitím statistických a analytických metod s přispěním výpočetní techniky,
    1. ručním zpracováním při zadávání a editaci dat do portálu GUARDIAN
    1. příležitostně může docházet k ručnímu zpracování dat.

PŘEDMĚT ZPRACOVÁNÍ, KATEGORIE OSOBNÍCH ÚDAJŮ

  1. Předmětem zpracování jsou tyto kategorie osobních údajů shora uvedených subjektů údajů:
    1. identifikační údaje, kterými se rozumí zejména jméno, příjmení, titul, osobní číslo zaměstnance, datum narození zaměstnance;
    1. kontaktní údaje, kterými se rozumí zejména adresa místa výkonu práce, telefonní číslo, e-mailová adresa;
    1. údaje o zdravotním stavu – záznamy o úrazu a knihy úrazů umístěné v portálu GUARDIAN a metodická spolupráce při vyšetřování zdrojů a příčin pracovních úrazů, jejich evidenci.

DOBA ZPRACOVÁNÍ

  • Zpracování osobních údajů bude probíhat po dobu účinnosti této smlouvy. Příkazník se zavazuje plnit povinnosti týkající se ochrany osobních údajů po celou dobu účinnosti této smlouvy, pokud z ustanovení této smlouvy nebo z ustanovení právních předpisů nevyplývá, že mají trvat i po zániku její účinnosti.

POVINNOSTI PŘÍKAZNÍKA

  1. Příkazník nezpracovává jménem a na účet příkazce osobní údaje získané na základě této doložky pro své vlastní účely, především je pak žádným způsobem neoprávněně neukládá, nekopíruje, netiskne, neopisuje, nepozměňuje a nečiní z nich výpisky či opisy.
  2. Příkazník je při zpracovávání osobních údajů povinen:
    1. zpracovávat osobní údaje výlučně na základě doložených pokynů příkazce a v souladu se zásadami komunikace dle této smlouvy;
    1. řídit se instrukcemi příkazce v otázkách předání osobních údajů do třetí země nebo mezinárodní organizaci, pokud mu toto zpracování již neukládá právo Evropské unie nebo členského státu, které se na příkazníka vztahuje; v takovém případě příkazník příkazce informuje o tomto právním požadavku před zahájením zpracování, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu;
    1. zajišťovat, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti;
    1. nezapojit do zpracování žádného dalšího zpracovatele bez předchozího oznámení příkazci;
    1. zohledňovat povahu zpracování a být příkazci nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné, pro splnění povinnosti příkazce reagovat na žádosti o výkon práv subjektů údajů;
    1. být příkazci nápomocen, a to při zajišťování náležité úrovně zabezpečení zpracování, při ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a případně též subjektům údajů, při posuzování vlivu na ochranu osobních údajů a realizování předchozích konzultací s dozorovým úřadem;
    1. v souladu s rozhodnutím příkazce všechny osobní údaje do 30 dnů od ukončení zpracování buď vymazat, nebo vrátit příkazci a vymazat existující kopie, pokud právo Evropské unie nebo členského státu nepožaduje uložení daných osobních údajů; a
    1. poskytnout příkazci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené Předpisy na ochranu osobních údajů, a umožnit audity, včetně inspekcí, prováděné příkazcem nebo jiným auditorem, kterého příkazce pověří.
  3. V souvislosti se zpracováním osobních údajů vede příkazník záznamy o všech kategoriích činností zpracování prováděných pro příkazce, jež obsahují:
    1. jméno a kontaktní údaje příkazníka, příkazce a případně jejich zástupců;
    1. kontaktní údaje pověřence pro ochranu osobních údajů příkazníka (pokud jej příkazník má);
    1. kategorie zpracování prováděných pro příkazce;
    1. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci; a
    1. obecný popis technických a organizačních bezpečnostních opatření.
  4. Příkazník se na základě písemné výzvy příkazce zavazuje zpřístupnit příkazci vedené záznamy.

ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

  1. Příkazník přijal a udržuje taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů.
  2. Příkazník přijal a udržuje zejména následující opatření k zajištění přiměřené úrovně zabezpečení:
    1. provozování portálu GUARDIAN – protokol HTTPS.
    1. zajištění neustálé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování a pravidelné provádění kontrol zavedených opatření a jejich korektního fungování;
    1. zajištění schopnosti obnovit dostupnost osobních údajů a přístup k nim včas a v případě fyzických či technických incidentů;
    1. zavedení a zajištění procesu pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování;
    1. zajištění toho, aby systémy pro automatizovaná zpracování osobních údajů používaly pouze pověřené osoby;
    1. zajištění toho, aby přístup k osobním údajům a datovým nosičům měly pouze pověřené osoby příkazníka;
    1. pořizování elektronických záznamů, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány;
    1. zajištění toho, aby fyzické osoby oprávněné k používání systémů pro automatizovaná zpracování osobních údajů měly přístup pouze k osobním údajům odpovídajícím oprávnění těchto osob, a to na základě zvláštních uživatelských oprávnění zřízených výlučně pro tyto osoby;
    1. zajištění vysoké míry fyzického zabezpečení serverů s osobními údaji, servery s osobními údaji jsou uzamčeny v serverovně.
  3. V případě, že příkazník zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu příkazci.

Pověřenec pro ochranu osobních údajů není ustanoven v souladu s článkem 37 nařízení GDPR. Osobou odpovědnou za správu osobních údajů je v organizaci Bc. Miloš Eichler, tel. +420 605 246 604, eichler@guard_cz