Informácie o spracovaní osobných údajov
1. Hlavné povinnosti Prevádzkovateľa osobných údajov, jeho zamestnancov, prípadne iných osôb pri nakladaní s osobnými údajmi.
1.1 Každý zamestnanec Prevádzkovateľa osobných údajov je povinný konať tak, aby neohrozil ochranu osobných údajov spracúvaných Prevádzkovateľom osobných údajov.
1.2 Ďalej je každý zamestnanec Prevádzkovateľa osobných údajov povinný:
– zabrániť náhodnému a neoprávnenému prístupu k osobným údajom zamestnancov a iných osôb, ktoré Prevádzkovateľ spracúva
– ak zistí porušenie ochrany osobných údajov, neoprávnené použitie osobných údajov, zneužitie osobných údajov alebo iné neoprávnené konanie súvisiace s ochranou osobných údajov, bezodkladne zabrániť ďalšiemu neoprávnenému zaobchádzaniu, najmä zabezpečiť jeho znemožnenie, a túto skutočnosť oznámi štatutárnemu orgánu alebo poverenej osobe Prevádzkovateľom osobných údajov alebo inému príslušnému zamestnancovi.
1.3 Štatutárny orgán Prevádzkovateľa osobných údajov je povinný:
– bez zbytočného odkladu informovať zamestnancov o všetkých významných skutočnostiach, postupoch alebo udalostiach súvisiacich s nakladaním s osobnými údajmi,
– zabezpečiť, aby zamestnanci Prevádzkovateľa boli riadne poučení o právach a povinnostiach pri ochrane osobných údajov,
– zabezpečiť, aby zamestnanci Prevádzkovateľa boli vzdelávaní alebo školení o ochrane osobných údajov podľa možností a potrieb Prevádzkovateľa osobných údajov.
2. Pri nakladaní s osobnými údajmi sa Prevádzkovateľ, jeho zamestnanci a ďalšie osoby riadia nasledujúcimi zásadami:
– Postupovať pri nakladaní s osobnými údajmi v súlade s právnymi predpismi,
– Zaobchádzať s osobnými údajmi rozumne, nezneužívať nadmerne súhlas so spracovaním osobných údajov,
– Spracúvať osobné údaje na stanovený účel a v stanovenom rozsahu a zabezpečiť, aby boli pravdivé a presné,
– Spracúvať osobné údaje v súlade so zásadou zákonnosti – na základe právnych predpisov, pri plnení zmluvy, pri plnení zákonnej povinnosti prevádzkovateľa, pri ochrane životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby (najmä deti požívajú vyššiu ochranu), pri ochrane oprávnených záujmov Prevádzkovateľa osobných údajov, pri ochrane verejného záujmu a spracúvaní osobných údajov na základe súhlasu,
– Rešpektovať práva osoby, ktorá je dotknutou osobou, najmä právo udeliť a odvolať súhlas so spracúvaním, právo na vymazanie, právo namietať rozsah spracúvania a pod.,
– Poskytovať osobitnú ochranu deťom pri spracúvaní osobných údajov,
– Poskytovať informácie o spracovaní osobných údajov, komunikovať,
– Pri uzatváraní zmlúv a pri právnych úkonoch postupovať s ohľadom na povinnosť ochrany osobných údajov pred zneužitím,
– Spolupracovať s poverencom na ochranu osobných údajov.
3. Postupy Prevádzkovateľa, jeho zamestnancov, prípadne iných osôb pri nakladaní s osobnými údajmi
3.1 Prevádzkovateľ chráni všetky osobné údaje, s ktorými nakladá a spracúva ich, vhodnými a dostupnými prostriedkami pred zneužitím. Pritom Prevádzkovateľ najmä uchováva osobné údaje v priestoroch, miestach, v prostrediach alebo v systémoch, ku ktorým je prístup obmedzený, vopred určený a vždy známy aspoň štatutárnemu orgánu alebo osobe poverenej Prevádzkovateľom osobných údajov; iné osoby môžu získať prístup k osobným údajom len so súhlasom štatutárneho orgánu Prevádzkovateľa osobných údajov alebo ním poverenej osoby.
3.2 Prevádzkovateľ vykoná také opatrenia, aby aspoň štatutárny orgán osobných údajov alebo ním poverená osoba a zodpovedná osoba mali prehľad o nakladaní s osobnými údajmi a ich spracovaní. Tieto opatrenia zahŕňajú napríklad ústne alebo písomné informácie, písomnú komunikáciu, určenie povinností v pracovnej zmluve, v dohode o vykonaní práce, v dohode o pracovnej činnosti, v zmluve, ktorú prevádzkovateľ uzatvára s treťou stranou (nájomná zmluva, zmluva o dielo, zmluva o poskytovaní služieb).
3.3 Prevádzkovateľ vykoná aspoň raz ročne hodnotenie postupov nakladania s osobnými údajmi a ich spracúvania. Hodnotenie môže byť vykonané podľa zvyklostí Prevádzkovateľa, spravidla sa vyhotoví stručný záznam napríklad v zápisnici zo stretnutia. Ak sa zistí, že niektoré postupy Prevádzkovateľa osobných údajov sú zastarané, zbytočné alebo sa nepreukázali ako účinné, Prevádzkovateľ to bezodkladne napraví.
3.4 Každý zamestnanec Prevádzkovateľa osobných údajov pri práci s osobnými údajmi rešpektuje ich povahu, t.j. že sú súčasťou súkromia osoby ako dotknutej osoby, a podľa toho prispôsobuje súvisiace konanie. Zamestnanec najmä nezverejňuje osobné údaje bez overenia, či je takýto postup možný, neposkytuje osobné údaje osobám, ktoré nepreukážu právo s nimi nakladať. Zamestnanec, ak takáto povinnosť vyplýva z iných dokumentov, je povinný informovať dotknutú osobu o jej právach na ochranu osobných údajov; inak odkáže na štatutárny orgán Prevádzkovateľa osobných údajov alebo ním určenú osobu alebo na poverenú osobu.
3.5 Prevádzkovateľ aktívne spolupracuje s poverenou osobou pri nakladaní a spracúvaní osobných údajov.
3.6 Prevádzkovateľ bezodkladne rieši akýkoľvek bezpečnostný incident týkajúci sa osobných údajov, a to aj v spolupráci s poverenou osobou. Ak je pravdepodobné, že incident povedie k vysokému riziku pre práva a slobody fyzických osôb, najmä konkrétneho zamestnanca, Prevádzkovateľ vždy informuje túto osobu a oznámi jej, aké nápravné opatrenia prijala. O každom incidente sa musí spísať záznam. Prevádzkovateľ informuje Úrad na ochranu osobných údajov o každom závažnom incidente.
3.7 Vzhľadom na to, že Prevádzkovateľ eviduje údaje o zamestnancoch stanovené zákonom (najmä Zákonníkom práce a pracovnoprávnymi predpismi), nemá oznamovaciu povinnosť voči Úradu na ochranu osobných údajov.
3.8 Organizačné opatrenia na ochranu osobných údajov
3.8.1 Materiály obsahujúce osobné údaje zamestnancov sú trvalo uložené v uzamykateľných skriniach.
3.8.2 Pri práci s elektronickými záznamami oprávnené osoby nesmú opustiť počítač bez odhlásenia, nesmú umožniť nahliadnutie žiadnej inej osobe a musia chrániť dôvernosť prihlasovacieho hesla; a v prípade rizika jeho zverejnenia ho okamžite zmeniť (v spolupráci so správcom siete). Prístup nastavuje oprávnený zamestnanec Prevádzkovateľa osobných údajov – správca počítačovej siete, ktorý nastavuje potrebné zabezpečenie dát a počítačovej siete (podľa pokynov Prevádzkovateľa).
3.8.3 Osobné spisy zamestnancov sú uložené v uzamykateľných skriniach, prístup k nim má štatutárny orgán Prevádzkovateľa osobných údajov, ním poverené osoby a osoby, pre ktoré poverenie vyplýva z ich pracovného zaradenia.
3.8.4 Zamestnanci majú právo nahliadnuť do obsahu svojich osobných spisov. Zamestnanci sú o tomto práve informovaní spravidla pri uzatváraní pracovného pomeru.
3.8.5 Zamestnanci Prevádzkovateľa neposkytujú osobné údaje iných zamestnancov cudzím osobám a inštitúciám v žiadnej forme bez právneho dôvodu, t.j. ani telefonicky, ani e-mailom ani pri osobných stretnutiach.
3.8.6 Písomné posudky a stanoviská, ktoré sú zasielané mimo spoločnosti alebo organizácie, napr. na účely súdneho konania, prijímacieho konania, spracúvajú zamestnanci určení štatutárnym zástupcom Prevádzkovateľa. Nie sú však oprávnení podpisovať, poskytovať a zasielať tieto posudky v mene Prevádzkovateľa osobných údajov a sú povinní zachovávať mlčanlivosť o danej veci.
3.8.7 Zoznamy zamestnancov sa nezverejňujú, neposkytujú sa bez vedomého súhlasu zamestnancov iným fyzickým alebo právnickým osobám alebo orgánom, ktoré nevykonávajú funkciu orgánu nadriadeného spoločnosti alebo organizácii, alebo ak to tak nevyplýva zo zákona.
3.8.8 V propagačných materiáloch Prevádzkovateľa, vo výročnej správe alebo ročenke Prevádzkovateľa osobných údajov, na firemnej webovej stránke a pod. môžu byť so všeobecným súhlasom zamestnancov zverejnené len textové alebo obrazové informácie o firemných akciách. Na publikovanie v tlači autor žiada o súhlas príslušného zamestnanca. Zamestnanec má právo požadovať okamžité zablokovanie alebo odstránenie informácií alebo fotografie alebo záznamu, ktoré sa ho týkajú, a ktoré si neželá zverejniť.
3.8.9 Psychologické, lekárske a iné prieskumy a testovanie medzi zamestnancami, ktoré by zahŕňali zverejnenie osobných údajov zamestnanca, sa môžu vykonávať len so súhlasom.
3.8.10 Ak sa na vedenie dokumentácie používajú formuláre a softvér, je potrebné skontrolovať, či nevyžadujú alebo neponúkajú evidenciu nadbytočných údajov a tieto údaje nespracúvať.
3.8.11 Spoločnosť alebo organizácia neprevádzkuje kamerové systémy monitorujúce priestory využívané zamestnancami Prevádzkovateľa osobných údajov v iných ako zákonných časoch – viď. GDPR Článok 6 ods. 1 písmeno (f).
3.8.12 Ak Prevádzkovateľ uzatvorí akúkoľvek zmluvu (nájomnú zmluvu, zmluvu o dielo, zmluvu o poskytnutí služieb, nepomenovanú zmluvu a pod.), ktorej plnenie si vyžaduje poskytnutie osobných údajov druhej zmluvnej strane, bude Prevádzkovateľ vždy a bezpodmienečne trvať na tom, aby zmluva ukladala druhej zmluvnej strane povinnosť:
– prijať všetky bezpečnostné, technické, organizačné a iné opatrenia s prihliadnutím na stav technológie, povahu spracúvania, rozsah spracúvania, kontext spracúvania a účely spracúvania, aby nedošlo k akémukoľvek narušeniu poskytovaných osobných údajov,
– nezapájať do spracúvania žiadne iné osoby bez predchádzajúceho písomného súhlasu Prevádzkovateľa osobných údajov,
– spracúvať osobné údaje len na plnenie zmluvy (vrátane prenosu údajov do tretích krajín a medzinárodných organizácií); výnimkou sú len prípady, keď sú určité povinnosti uložené priamo zákonom;
– zabezpečiť, aby osoby oprávnené spracovávať osobné údaje u dodávateľa boli viazané mlčanlivosťou alebo aby podliehali zákonnej povinnosti mlčanlivosti,
– zabezpečiť, aby dodávateľ bez zbytočného odkladu pomáhal Prevádzkovateľovi pri plnení povinností Prevádzkovateľa osobných údajov, najmä povinnosti reagovať na žiadosti o výkon práv dotknutých osôb, povinnosti oznamovať porušenie ochrany osobných údajov dozornému orgánu podľa čl. 33 Nariadenia, povinnosti oznamovať porušenie ochrany osobných údajov dotknutej osobe podľa čl. 34 Nariadenia, povinnosti posúdiť vplyv na ochranu osobných údajov podľa čl. 35 Nariadenia a povinnosti vykonať predchádzajúce konzultácie podľa článku 36 Nariadenia a zabezpečiť alebo prijať primerané technické a organizačné opatrenia na tento účel, o ktorých bezodkladne informuje Prevádzkovateľa,
– po ukončení zmluvy riadne nakladať so spracúvanými osobnými údajmi, napr. vymazať všetky osobné údaje alebo ich vrátiť Prevádzkovateľovi a vymazať existujúce kópie a pod.,
– poskytnúť Prevádzkovateľovi všetky informácie potrebné na preukázanie splnenia povinností stanovených Prevádzkovateľovi zákonom, umožniť kontrolu, audit alebo inšpekciu zo strany Prevádzkovateľa osobných údajov alebo príslušného orgánu podľa zákona,
– bez zbytočného odkladu alebo v lehote určenej Prevádzkovateľom poskytnúť súčinnosť nevyhnutnú na splnenie zákonných povinností Prevádzkovateľa osobných údajov spojených s ochranou osobných údajov, ich spracovaním,
– chrániť poskytnuté osobné údaje v súlade s právnymi predpismi,
– primerane uplatňovať túto smernicu, ktorá je pripojená k zmluve.
4. Pravidlá získavania, zhromažďovania, ukladania, používania, šírenia a uchovávania osobných údajov.
4.1 Prevádzkovateľ nakladá s a spracúva len osobné údaje, ktoré:
– súvisia s pracovným a mzdovým zaradením zamestnancov alebo zmluvných pracovníkov, sociálnym a zdravotným poistením (napr. ukončené vzdelanie, dĺžka praxe, pracovné pozície a pod.),
– súvisia s jednoznačnou identifikáciou zákonných zástupcov zamestnancov v súlade so zákonom (meno, priezvisko, bydlisko, kontakt, napr. telefónne číslo v prípade nevyhnutného kontaktu Prevádzkovateľa osobných údajov s rodinným príslušníkom v rámci ochrany zdravia, bezpečnosti a práv zamestnanca, ďalšie údaje potrebné napr. na vydanie správneho rozhodnutia a pod.
– súvisiace s identifikáciou zamestnanca podľa zákona (dátum narodenia, miesto narodenia, rodné číslo, štátna príslušnosť, miesto bydliska, potrebné zdravotné informácie atď.)
– sú nevyhnutné na plnenie zákonnej povinnosti, ochranu oprávnených záujmov Prevádzkovateľa osobných údajov alebo vo verejnom záujme,
– na spracúvanie ktorých Prevádzkovateľ získal súhlas dotknutej osoby.
4.2 Osobné údaje sú uchovávané len po dobu nevyhnutnú na dosiahnutie účelu ich spracúvania vrátane archivácie.
4.3 Osobné údaje sú prístupné osobám, ktoré sú na to oprávnené zo zákona alebo na základe zákona.
Do jednotlivých dokumentov Prevádzkovateľa osobných údajov, ktoré obsahujú osobné údaje, môžu nahliadnuť:
– v osobnom spise zamestnanca vedúci zamestnanci, ktorí sú nadriadenými zamestnanca. Právo nahliadnuť do osobného spisu má orgán inšpekcie práce, úrad práce, súd, štátny zástupca, príslušný orgán Polície Českej republiky, Národný bezpečnostný úrad a spravodajské služby. Zamestnanec má právo nahliadnuť do svojho osobného spisu, urobiť si z neho výpisy a vyhotoviť kópie dokumentov, ktoré sú v ňom obsiahnuté, na náklady zamestnávateľa (§ 312 Zákonníka práce),
– v spise vedenom v správnom konaní účastníkmi správneho konania, vedúci pracovníci Prevádzkovateľa alebo osoba, ktorá je oprávnená pracovať s úradným spisom počas konania.
Ďalšie informácie o spracovaní osobných údajov, obchodnom tajomstve a povinnosti mlčanlivosti:
A. Informácie o spracúvaní osobných údajov podľa článku (13) GDPR
B. Informačné memorandum