Podmínky ochrany osobních údajů

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ A JEJICH ZPRACOVÁVÁNÍ

vydaná Czech Cowboy Jerky s.r.o., IČ: 09236121, se sídlem Bílkova 855/19, 110 00, Praha 1 - Staré město (dále jen „CCJ“) mající vztah výlučně k produktové řadě výrobků „JERKY'S“.

 

I. Úvodní ustanovení

  1. Tato Směrnice o ochraně osobních údajů a jejich zpracovávání (dále jen „Směrnice“) je ústředním, generálním a základním vnitřním předpisem upravující podmínky ochrany osobních údajů a nakládání s nimi.
  2. Tato Směrnice stanoví základní podmínky (povinnosti) a odpovědnost při zpracování osobních údajů, a to v souladu s nařízením Evropského parlamentu a Rady EU 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen „GDPR“), jakož i se souvisejícími předpisy.
  3. Vzhledem k tomu, že CCJ zpracovává osobní údaje, je CCJ správcem osobních údajů.
  4. Směrnice si klade za cíl stanovit základní podmínky o povinnostech vyplývajících z GDPR a souvisejících právních předpisů a dosáhnout toho, aby v rámci CCJ bylo nakládáno s osobními údaji v souladu s GDPR.
  5. Odpovědné osoby, jakož i všichni zaměstnanci, jsou povinni spolupracovat a sdělovat si všechny podstatné informace tak, aby bylo dosaženo souladu zpracování osobních údajů s GDPR a pravidly stanovenými touto Směrnicí.

II. Základní pojmy

Pro účely této Směrnice se rozumí:

  1. „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor, nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
  2. „zvláštní kategorií osobních údajů“ osobní údaje vypovídající o etnickém původu, politických názorech, náboženském vyznání, filozofickém přesvědčení nebo členství v odborech, jakož i genetické údaje, biometrické údaje, údaje o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby;
  3. „subjektem údajů“ fyzická osoba, které se osobní údaje týkají (může se jednat o zaměstnance, zákazníka CCJ apod.);
  4. „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů; jedná se např. o shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení (toto však není vyčerpávající seznam);
  5. „dalším zpracováním“ zpracování osobních údajů za jiným účelem, než pro který byly původně shromážděny, např. další zpracování volně dostupných údajů (veřejných údajů z katastru nemovitostí, které byly původně shromážděny za účelem vedení evidence katastru nemovitostí apod.);
  6. „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám, nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; Správcem se pro účely této Směrnice rozumí i CCJ;
  7. „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
  8. „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli; např. OSSZ, FÚ, daňové či celní orgány apod.;
  9. „dozorovým úřadem“ nezávislý orgán veřejné moci zřízený členským státem podle článku 51 GDPR, v případě České republiky Úřad pro ochranu osobních údajů;
  10. „automatizovaným zpracováním“ forma zpracování osobních údajů za použití výpočetní techniky;
  11. „profilováním“ jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu; profilováním je např. monitorování chování návštěvníků webových stránek za účelem sledování jejich preferencí a následného zasílání obchodních nabídek;
  12. „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
  13. „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jenž je oprávněna ke zpracování osobních údajů;
  14. „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
  15. „dítětem“ fyzická osoba mladší 18 let, která dosud nenabyla plné svéprávnosti ve smyslu zákona č. 89/2012 Sb., občanského zákoníku;
  16. „zaměstnancem“ zaměstnanec vykonávající práci v pracovním poměru, případně osoby konající práci na základě dohod o pracích konaných mimo pracovní poměr.

  17. III. Základní zásady ochrany osobních údajů

1. CCJ a všichni jeho případní zaměstnanci jsou povinni dbát na to, aby byly při zpracování osobních údajů dodržovány následující zásady:

  1. Zákonnost, korektnost, transparentnost: Zpracovávat osobní údaje je možné pouze korektním, zákonným a transparentním způsobem, a to pouze na základě právních titulů definovaných v této Směrnici. Správci je uložena povinnost zajišťovat v co největší míře informovanost subjektů údajů a postupovat při zpracování osobních údajů otevřeně a v souladu s GDPR.
  2. Účelové omezení: Účel zpracování osobních údajů určuje rámec operací, které lze v daném účelu zpracování provádět. Vymezení účelu je přitom klíčovou povinností správce. Je zakázáno zpracovávat osobní údaje za jinými účely, než za kterými byly shromážděny. Z tohoto existují výjimky (např. pokud k tomu dá subjekt údajů souhlas, pokud je nový účel zpracování slučitelný s původním apod.). Zpracování za jinými účely je tzv. dalším zpracováním.
  3. Minimalizace údajů: Zpracovávají a shromažďují se pouze ty osobní údaje, které jsou relevantní a přiměřené vzhledem k účelu zpracování, a pouze v takovém rozsahu, který je nezbytný pro naplnění vymezeného účelu. Pokud by bylo možné dosáhnout účelu i bez zpracování některých osobních údajů, je nutné tyto nadbytečné osobní údaje přestat zpracovávat (např. pokud je správce schopen ztotožnit subjekt údajů i bez rodného čísla apod.).
  4. Přesnost: Zpracované údaje musí být přesné a musí odpovídat skutečnosti a v případě potřeby (dle povahy daného zpracování) je správce povinen provádět jejich aktualizaci. Jakmile správce či zpracovatel zjistí, že údaje jsou nepřesné, přijme veškerá rozumná opatření k tomu, aby nepřesné údaje opravil nebo zlikvidoval. Přesnost musí být zajišťována v průběhu zpracování i shromažďování údajů v rozsahu rizika případné újmy subjektu údajů. Subjektům údajů musí být uložena povinnost hlásit případné změny dříve uvedených osobních údajů. Správce neodpovídá za nepřesnost údaje, pokud mu subjekt údajů poskytne údaj nepravdivý.
  5. Omezení a forma uložení: Osobní údaje se uchovávají pouze po dobu, která je nezbytná pro účely, pro které jsou osobní údaje zpracovávány. Po skončení této doby se správci ukládá povinnost osobní údaje zlikvidovat (vymazat či anonymizovat), to neplatí, pokud je dána některá z výjimek stanovených v GDPR. Osobní údaje jsou uchovávány ve formě, která neumožňuje přístup neoprávněných osob k těmto údajům.
  6. Integrita a důvěrnost: Osobní údaje se zpracovávají takovým způsobem, který zajistí jejich zabezpečení před neoprávněným či protiprávním zpracováním a dále také zničením, poškozením či ztrátou apod.

    2. Za účelem naplnění zásady odpovědnosti je nutné každému jednotlivému zpracování osobních údajů stanovit odpovědnou osobu stanovenou konkrétní pracovní pozicí. Tuto odpovědnou osobu určí osoba zastávající pracovní pozici, která je odpovědná za vedení registru zpracování dle čl. VII. odst. 6. Směrnice.


    IV. Povinnost mlčenlivosti

    Každý, kdo se jakýmkoli způsobem podílí na zpracování osobních údajů nebo s nimi přichází do styku, či se o nich jakkoliv jinak dozví, je povinen zachovávat o těchto údajích mlčenlivost. To neplatí, pokud se jedná o informace jinak zveřejněné, nebo pokud to ukládají právní předpisy. Povinnost mlčenlivosti trvá také po ukončení pracovněprávního vztahu. Podrobnosti stanoví pracovní smlouva, případně další smlouvy (např. s externími zpracovateli osobních údajů apod.)

    V. Právní tituly

    1. Zpracování osobních údajů probíhá vždy na základě právního titulu uvedeného v čl. V. odst. 3. této Směrnice. Bez právního titulu nelze osobní údaje zpracovávat, resp. jednalo by se o zpracování nezákonné.
  7. Právní titul musí být stanoven nejpozději spolu s účelem daného zpracování. Právní titul navrhne osoba odpovědná za dané zpracování, tedy osoba dle čl. III. odst. 2. Směrnice. Dále se postupuje dle čl. VII. odst. 2. Směrnice. Za průběžné sledování existence právního titulu je odpovědná osoba odpovědná za dané zpracování dle čl. III. odst. 2. Směrnice.
  8. Osobní údaje lze zpracovávat vždy pouze v odpovídajícím rozsahu a pouze na základě těchto právních titulů:
  9. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
  10. zpracování je nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  11. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
  12. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektů údajů nebo jiné fyzické osoby;
  13. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů;
  14. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (tento titul se zřejmě v rámci CCJ neužije).
  15. Na základě souhlasu subjektu údajů lze osobní údaje zpracovávat pouze v případě, že pro dané zpracování s ohledem na účel zpracování není možno využít jiný právní titul uvedený v odst. 3. písm. b) až f) tohoto článku Směrnice. Souhlas jako právní titul daného zpracování by tedy měl být užíván pouze jako krajní řešení zachování zákonnosti daného zpracování.
  16. Pod právní titul uvedený v odst. 3. písm. b) tohoto článku Směrnice (tj. „zpracování je nezbytné pro plnění smlouvy, jejíž stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů“) lze podřadit pouze uzavření či plnění smluvního závazku. Aby mohl být tento právní titul využit, musí být stranou dané smlouvy sám subjekt údajů, anebo žádost o uzavření smlouvy musela vzejít přímo od subjektu údajů. Tento právní titul se nevztahuje na zpracování osobních údajů v důsledku nesplnění závazku.
  17. O právní titul uvedený v odst. 3. písm. c) tohoto článku Směrnice ( „zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje“) lze zpracování osobních údajů opřít pouze v případě povinnosti stanovené evropským či tuzemským právním předpisem natolik určitě, že z ní lze určit, jaké zpracování má být prováděno a správce (zpracovatel) nemá na výběr, jak a zda tuto povinnost splní.
  18. Na základě právního titulu uvedeného v odst. 3. písm. d) tohoto článku Směrnice (tj. „zpracování je nezbytné pro ochranu životně důležitých zájmů subjektů údajů nebo jiné fyzické osoby“) lze zpracovávat osobní údaje jedině tehdy, pokud je zpracování nutné k předejití vzniku újmy subjektu údajů či třetí osoby na zdraví či životě.
  19. V případě zpracování osobních údajů na základě právního titulu uvedeného v odst. 3. písm. e) tohoto článku Směrnice (tj. „zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů“) musí být před zahájením zpracování osobních údajů provedeno tzv. komplexní posouzení.

Komplexní posouzení se skládá z těchto kroků:

  1. Definování oprávněného zájmu.
  2. Posouzení kritéria nezbytnosti (tj. posouzení, zda nelze sledovaného cíle dosáhnout jinými, méně invazivními prostředky).
  3. Balanční test.

Balanční test se skládá z následujících kroků:

  1. a) Posouzení váhy oprávněného zájmu
    • zájmy správce vč. základních práv a svobod (svoboda projevu, podnikání apod.), vždy je však třeba zkoumat, zda je zpracování nezbytné a proporcionální
    • veřejné zájmy a zájmy komunity – veřejnosti (dobročinné činnosti, odhalování korupce, předcházení podvodům) jeho existence může posílit oprávněný zájem správce a přidat mu na váze
    • ostatní oprávněné zájmy (subjektivní zájmy správce, síťová bezpečnost, přímý marketing)
    • právní, kulturní nebo společenské uznání oprávněného zájmu – jeho existence je schopná přidat na váze oprávněnému zájmu správce
  1. b) Posouzení důsledků zpracování pro subjekty
  • veškerá přímá i nepřímá újma, které může vzniknout, ale i emociální dopad (např. stres ze ztráty kontroly nad osobními údaji apod.)
  • identifikace a nutnost zhodnotit pozitivní i negativní dopady kvantitativně, ale zejména kvalitativně
  • nejen újma, kterou způsobí správce sám, ale i jednáním třetí osoby (po předání apod.)
  1. c) Vyvážení zájmu s důsledky, které může zpracování na subjekt mít
  • nutno povážit zájmy
  • pováží se i výhoda oproti pravděpodobnosti a velikosti újmy
  • výsledkem by ideálně mělo být, že zájem subjektů nepřevýší zájmy správce, tedy že výhody převáží dopad do práv a svobod subjektu údajů
  1. d) Posouzení dostatečnosti plánovaných opatření a záruk
  • při provádění testu je nezbytné vzít v úvahu opatření, která má správce v plánu provést podle GDPR (účelové omezení apod.)
  • nejistý až neuspokojivý výsledek testu je možné zvrátit přijetím dodatečných záruk, díky kterým oprávněný zájem správce nakonec převáží zájmy subjektu údajů
  • čím významnější je dopad zpracování na subjekt údajů, tím větší musí být věnována pozornost relevantním zárukám.
  1. Osobní údaje smí být z titulu oprávněných zájmů správce či třetí strany uvedeného v odst. 3. písm. e) tohoto článku Směrnice zpracovávány jedině tehdy, když na základě komplexního posouzení a balančního testu bude zjištěno, že zájmy nebo základní práva a svobody subjektu údajů nepřeváží nad oprávněnými zájmy správce či třetí strany. V případě neuspokojivého výsledku balančního testu je nutné přijmout další opatření k nápravě nedostatků a test opakovat nebo od zpracování osobních údajů upustit. Dokud nebude výsledek balančního testu uspokojivý, nelze osobní údaje z titulu oprávněných zájmů správce či třetí strany zpracovávat.
  2. Komplexní posouzení včetně balančního testu musí být provedeno ještě před zahájením zpracování z titulu oprávněných zájmů správce či třetí strany. O provedení komplexního posouzení a balančního testu se vyhotoví písemný záznam, který obsahuje popis a výsledek provedení jednotlivých kroků. Komplexní posouzení včetně balančního testu a vyhotovení záznamu o tomto komplexním posouzení provede CCJ. U již prováděných zpracování je tato osoba povinna vyhotovit komplexní posouzení bez zbytečného odkladu po přidělení této odpovědnosti, resp. po přijetí této Směrnice.

 

  1. Účely zpracování osobních údajů
  2. Každému zpracování osobních údajů musí být stanoven určitý, výslovně vyjádřený a legitimní účel. Účel nesmí být stanoven obecně a neurčitě. Účel musí být stanoven natolik určitě, aby z něj bylo patrné, jaká konkrétní zpracování na základě něj budou probíhat.
  3. Bez stanovení určitého, výslovně vyjádřeného a legitimního účelu nelze osobní údaje zpracovávat.
  4. Účel musí být stanoven nejpozději při shromažďování osobních údajů. Účel navrhne osoba odpovědná za dané zpracování, tedy osoba dle čl. III. odst. 2. Směrnice. Dále se postupuje dle čl. VII. odst. 2. Směrnice. Za průběžné sledování existence a účelu je odpovědná osoba odpovědná za dané zpracování dle čl. III. odst. 2. Směrnice.
  5. Osobní údaje lze pro určitý účel zpracovávat pouze v nezbytném rozsahu a po nezbytně dlouhou dobu. Pokud není po uplynutí nezbytně dlouhé doby prováděno další zpracování za účelem slučitelným s původním účelem, nelze osobní údaje dále zpracovávat a musí být zlikvidovány.
  6. Má-li dojít ke zpracování osobních údajů za jiným účelem, než ke kterému byly osobní údaje původně shromážděny (dále jen „další zpracování“), musí být takové další zpracování založeno na souhlasu subjektu údajů nebo právu členského státu či Unie. Pokud další zpracování není založeno na souhlasu subjektu údajů nebo na právu Unie či členského státu, musí být provedeno tzv. posouzení slučitelnosti účelů, které musí být provedeno před zahájením dalšího zpracování.
  7. V rámci posouzení slučitelnosti účelů jsou zvažovány zejména tyto otázky:
  • jakákoli vazba mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování;
  • okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a správcem;
  • povaha osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů;
  • možné důsledky zamýšleného dalšího zpracování pro subjekty údajů;
  • existence vhodných záruk (např. šifrování nebo pseudonymizace).
  1. Další zpracování, které je posuzováno v rámci testu slučitelnosti účelů, smí být provedeno jedině tehdy, pokud účel dalšího zpracování v posouzení slučitelnosti účelů obstojí a bude vyhodnocen jako slučitelný s původním účelem.
  2. Posouzení slučitelnosti účelů provádí a záznam o tomto posouzení vyhotovuje CCJ, a to před zahájením dalšího zpracování. CCJ je povinen o tomto dalším zpracování informovat subjekty údajů; o kladném výsledku testu slučitelnosti informuje osoba uvedená v tomto odstavci osobu odpovědnou za plnění informační povinnosti.

 

  • Společná ustanovení k právním titulům a účelům
  1. Na zpracování osobních údajů pouze na základě právních titulů předpokládaných GDPR a za určitým, výslovně vyjádřeným a legitimním účelem dohlíží CCJ. Tato osoba je povinna také pravidelně kontrolovat i existenci právního titulu, jeho případnou změnu apod. Po provedení kontroly je tato osoba odpovědná za neprodlené stanovení dalšího postupu v případě zjištění nedostatků.
  2. V případě, že dojde při zpracování osobního údaje ke změně právního titulu či účelu zpracování, informuje CCJ o této změně neprodleně subjekt údajů.
  3. Právní titul i účel každého zpracování jsou uvedeny v registru zpracování[1], za jehož vedení odpovídá CCJ. Všichni zaměstnanci jsou povinni poskytovat osobě uvedené v předchozí větě součinnost potřebnou pro řádné vedení registru zpracování a kontrolu souladu zpracování osobních údajů s GDPR.
  4. Pokud právní titul a/nebo účel daného zpracování osobních údajů odpadne či dojde k naplnění účelu, jsou zaměstnanci povinni informovat odpovědnou osobu daného zpracování dle čl. III. odst. 2. Směrnice, která zajistí, aby bylo zpracování příslušných osobních údajů okamžitě ukončeno a tyto údaje byly zlikvidovány.

 

  • Souhlas subjektu údajů se zpracováním osobních údajů
  1. Má-li být zpracování osobních údajů založeno na souhlasu subjektu údajů, musí tento souhlas splňovat všechny náležitosti dle čl. 7 GDPR, zejména musí být svobodný, konkrétní, informovaný a jednoznačný. Nesplňuje-li souhlas požadavky dle čl. 7 GDPR, nelze na jeho základě osobní údaje zpracovávat.
  2. Aby mohl souhlas sloužit jako právní titul pro zpracování osobních údajů, musí být udělen písemně či elektronicky a musí být oddělen od ostatních skutečností, tedy musí tvořit samostatný dokument (tedy nesmí být například součástí obchodních podmínek).
  3. Před udělením souhlasu je subjekt údajů informován o všech skutečnostech a okolnostech zpracování, aby byl souhlas skutečně informovaný. Zejména je subjekt údajů obeznámen s:
  4. totožností správce,
  5. účelem zpracování,
  6. operacemi zpracování a jejich důsledky pro subjekt údajů,
  7. možností souhlas kdykoli odvolat.
  8. Souhlas subjektu údajů se zpracováním osobních údajů je archivován v databázi souhlasů po celou dobu zpracování osobních údajů. Databázi souhlasů vede CCJ, který je odpovědný kdykoliv prokázat všechny skutečnosti každého souhlasu dle odst. 6. tohoto článku Směrnice.
  9. V databázi souhlasů je ke každému souhlasu evidováno:
  10. kdo je subjektem údajů,
  11. kdy byl souhlas udělen,
  12. k jakému zpracování a za jakým účelem byl souhlas udělen,
  13. jaké informace měl subjekt údajů k dispozici před udělením souhlasu,
  14. v jaké formě byl souhlas udělen a jaký byl jeho obsah,
  15. údaj o tom, zda a případně kdy byl souhlas odvolán.
  16. Po uplynutí doby, na níž byl souhlas udělen, nebo poté, co byl souhlas odvolán, musí být souhlas i osobní údaje, k jejichž zpracování byl souhlas udělen, bez zbytečného odkladu zlikvidovány (vymazány nebo anonymizovány). Výmaz nebude proveden pouze u těch osobních údajů, které jsou dále zpracovávány na základě jiného právního titulu.
  17. V případě odvolání souhlasu je dokument, v němž subjekt údajů svůj souhlas odvolává bez zbytečného odkladu předán osobě odpovědné za dané zpracování, tedy osobě dle čl. III. odst. 2. Směrnice, která prostřednictvím informování příslušných osob (osoby odpovědné za informační povinnost, likvidaci apod.) zajistí, aby bylo zpracování příslušných osobních údajů okamžitě ukončeno a tyto údaje byly zlikvidovány a aby byly neprodleně vyzváni k likvidaci těchto osobních údajů také všichni zpracovatelé, kterým byly osobní údaje předány.

 

  1. Obecně k právům subjektů údajů a komunikaci s nimi
  2. CCJ odpovídá za dodržování způsobu komunikace se subjekty údajů, za plnění informační a oznamovací povinnosti vůči subjektům údajů a jiným externím subjektům a vyřizování veškerých žádostí subjektů údajů dle této Směrnice. Tato osoba odpovídá rovněž za výmaz a likvidaci osobních údajů, a to v souladu s touto Směrnicí. Odpovědná osoba stanovená v tomto odstavci spolupracuje zejména s osobami odpovědnými za dané zpracování dle čl. III. odst. 2. Směrnice a osobou odpovědnou za vedení registru zpracování dle čl. VII. odst. 6. Směrnice.
  3. Správce (osoba stanovená v předchozím odstavci) musí se subjekty údajů komunikovat a informace jim sdělovat stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků. Takové komunikace lze dosáhnout např. strukturováním textu, užíváním jednoduchých vět a nikoliv odborných termínů, využití grafů či jiných grafických prvků apod.
  4. Správce musí přijmout vhodná opatření, aby se na něho subjekt údajů mohl obrátit alespoň:
  5. písemně (poštou),
  6. elektronicky (např. přes webový formulář) a
  7. ústně (osobní návštěvou nebo telefonicky).
  8. Způsob komunikace musí být zvolen tak, aby byl vhodný a přiměřený okolnostem zpracování. Správce musí respektovat způsob komunikace zvolený subjektem údajů.
  9. Veškerá komunikace (vč. jejího obsahu a doby jejího provedení) se subjekty údajů musí být zaznamenána pro účely jejího pozdějšího doložení. Za toto doložení je odpovědná osoba dle odst. 1. tohoto článku Směrnice.

 

  1. Informační povinnost v případě získání osobních údajů přímo od subjektu údajů
  2. V případě, kdy správce získává osobní údaje přímo od subjektu údajů (sdělí mu je osobně, telefonicky, vyplní žádost apod.), musí být subjektu údajů v okamžiku získání těchto osobních údajů poskytnuty alespoň následující informace:
  3. totožnost a kontaktní údaje správce (a jeho případného zástupce) ve věcech ochrany osobních údajů;
  4. kontaktní údaje pověřence pro ochranu osobních údajů, byl-li v CCJ jmenován;
  5. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
  6. oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na právním titulu oprávněného zájmu;
  7. příjemce nebo kategorie příjemců osobních údajů;
  8. způsob a rozsah zpracování a případné dopady tohoto zpracování do práv a svobod subjektů údajů;
  9. doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
  10. existence a způsob uplatnění práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
  11. pokud je zpracování založeno na souhlasu subjektu údajů, existenci práva odvolat kdykoli souhlas, aniž by tím byla dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
  12. existenci práva podat stížnost u dozorového úřadu;
  13. skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů;
  14. skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
  15. Informace dle předchozího odstavce této Směrnice nemusí být subjektu údajů poskytnuty, pokud je správce schopen prokázat, že tyto informace subjekty údajů již mají. V případě výslovné žádosti subjektu údajů však musí být informace poskytnuty i opětovně.

 

  1. Informační povinnost v případě získání osobních údajů jinak než od subjektu údajů
  2. Jestliže osobní údaje nebyly získány přímo od subjektu údajů, poskytne správce subjektu údajů tyto informace:
  3. informace uvedené v čl. X. odst. 1. této Směrnice, a to kromě informací dle čl. X. odst. 1. písm. k) této Směrnice;
  4. kategorie osobních údajů, o jejichž získání a zpracovávání správce informuje;
  5. zdroj osobních údajů.
  6. Informace dle odst. 1. tohoto článku Směrnice musí být poskytnuty v následujících lhůtách:
  7. bez zbytečného odkladu, a to nejpozději do jednoho měsíce od získání osobních údajů;
  8. v případě navázání komunikace se subjektem údajů, nejpozději v okamžiku, kdy poprvé dojde k uvedené komunikaci;
  9. v případě zpřístupnění osobních údajů jinému příjemci, nejpozději při prvním takovém zpřístupnění osobních údajů.
  10. Informace dle odst. 1. tohoto článku Směrnice nemusí být subjektu údajů poskytnuty v následujících případech:
  11. správce je schopen prokázat dřívější poskytnutí informací subjektu údajů; v případě výslovné žádosti subjektu údajů však musí být informace poskytnuty i opětovně;
  12. poskytnutí informací není možné nebo by vyžadovalo nepřiměřené úsilí (např. pokud nejsou známy kontaktní údaje subjektů údajů a tyto kontaktní údaje je nemožné nebo velmi obtížné získat);
  13. poskytnutí informací by zmařilo cíl daného zpracování (např. odhalení podvodu apod.);
  14. získávání nebo zpřístupnění osobních údajů je výslovně stanoveno právním řádem;
  15. osobní údaje jsou správcem zpracovávány jako důvěrné a všechny osoby, které s nimi přijdou do styku, jsou povinny zachovávat služební nebo profesní tajemství, včetně zákonné povinnosti mlčenlivosti.

 

  • Informační povinnost v případě dalšího zpracování
  1. Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před dalším zpracováním informace o tomto jiném účelu a dále;
  2. informace uvedené v čl. X. odst. 1. této Směrnice, pokud byly osobní údaje získány přímo od subjektu údajů, nebo
  3. informace uvedené v čl. XI. odst. 1. této Směrnice, pokud osobní údaje nebyly získány přímo od subjektu údajů.
  4. Informace dle předchozího odstavce této Směrnice nemusí být subjektu údajů poskytnuty v případech
  5. uvedených v čl. X. odst. 2. této Směrnice, pokud byly osobní údaje získány přímo od subjektu údajů, nebo
  6. uvedených v čl. XI. odst. 3. této Směrnice, pokud osobní údaje nebyly získány přímo od subjektu údajů.

 

  • Oznamovací povinnost vůči příjemcům osobních údajů
  1. Správce (osoba uvedená v čl. IX. odst. 1. Směrnice) oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.
  2. Správce (osoba uvedená v čl. IX. odst. 1. Směrnice) informuje subjekt údajů o příjemcích dle čl. X. odst. 1. a čl. XI. odst. 1. této Směrnice.

 

  • Práva subjektů údajů
  1. Správce stanoví jednoduché postupy, jak se na něj subjekty údajů mohou obracet za účelem uplatnění svých práv. Správce, resp. osoba uvedená v čl. IX. odst. 1 Směrnice, je povinen v rámci informační povinnosti aktivně upozorňovat případně zajistit aktivní upozornění subjektů údajů o jejich právech a o tom, jak a kde je mohou uplatňovat.
  2. Při vyřizování žádostí i při informování subjektů údajů o postupech vyřizování žádostí musí být vždy dodrženy zásady komunikace se subjekty údajů uvedené v čl. X. až XIII. této Směrnice. Postup při vyřizování žádostí, včetně odůvodnění způsobu vyřízení žádosti, musí být zaznamenán.

 

  • Identifikace subjektů údajů
  1. Před vyřízením každého uplatněného práva musí být bezpečně identifikován subjekt údajů tak, aby neoprávněná osoba nemohla získat, smazat či pozměnit osobní údaje jiného subjektu údajů.
  2. Konkrétní způsoby identifikace subjektů údajů musí být stanoveny individuálně, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob. Požadavky na ověření totožnosti je možno stanovit dle konkrétních uplatněných práv (např. u žádosti o potvrzení o zpracování údajů je riziko nižší než u žádosti o poskytnutí kopie údajů. Z toho důvodu může být u prvního druhu žádosti vyžadovány nižší nároky na ověření totožnosti subjektu údajů apod.).
  3. Pokud nelze subjekt údajů bezpečně identifikovat na základě jím poskytnutých údajů, může být po subjektu údajů požadováno poskytnutí dalších dodatečných údajů. Nesmí však být vyžadovány identifikační údaje, které nejsou pro stanovený účel zpracování nezbytné.
  4. Pokud nelze subjekt údajů identifikovat ani podle odst. 3. tohoto článku Směrnice může být vyřízení žádosti odepřeno, o čemž musí být subjekt údajů informován.

 

  •  Lhůta pro vyřízení žádosti subjektů údajů a způsoby jejího vyřízení
  1. Do jednoho měsíce od obdržení žádosti subjektu údajů musí být:
  2. žádosti vyhověno, nebo
  3. žádost odmítnuta, nebo
  4. lhůta pro vyřízení žádosti prodloužena.
  5. Žádosti je vyhověno, pokud jsou provedena požadovaná opatření a subjekt údajů je o těchto opatřeních informován, případně pokud je subjekt údajů informován o skutečnostech, o které žádal apod.
  6. Žádost je odmítnuta, pokud je odmítnuto provedení požadovaných opatření a subjekt údajů je informován o důvodech takového odmítnutí spolu s poučením o možnosti podat stížnost u dozorového úřadu a o možnosti žádat soudní ochranu.
  7. Prodloužení lhůty dle odst. 1 písm. c) tohoto článku Směrnice je možné až o dva měsíce. Současně s prodloužením lhůty musí být subjekt údajů informován o jejím prodloužení a důvodech tohoto prodloužení. Pokud byla lhůta prodloužena, musí být žádosti následně v prodloužené lhůtě vyhověno.
  8. Žádosti může být vyhověno i zčásti. Ve zbylé části musí být žádost odmítnuta.

 

  • Poplatky za vyřízení žádosti
  1. Vyřizování žádostí je zásadně bezplatné. Poplatky spojené s vyřízením žádosti mohou být požadovány pouze výjimečně dle odst. 2. tohoto článku Směrnice.
  2. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené může být:
  3. uložen přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů;[2] nebo
  4. odmítnuto žádosti vyhovět.
  5. Zjevně nedůvodnou je taková žádost, která zcela postrádá odůvodnění (pokud je odůvodnění nezbytné) a nelze ani výkladem dovodit, o co se subjektu údajů jedná (to neplatí např. u práva na přístup) apod.
  6. Zjevně nepřiměřenou je taková žádost, která se např. opakuje apod.
  7. Zjevnou nedůvodnost nebo nepřiměřenost musí být správce schopen doložit.

 

  • Právo na přístup
  1. Subjekt osobních údajů má právo požadovat po správci,
  2. aby mu poskytl informaci o tom, zda správce zpracovává osobní údaje, které se ho týkají, a /nebo
  3. aby mu případně zpracovávané osobní údaje zpřístupnil.
  4. Na žádost subjektu údajů musí být poskytnuty následující informace:
  5. informace (potvrzení) o tom, zda správce zpracovává osobní údaje;
  6. kopie zpracovávaných osobních údajů;
  7. informace o zpracováních prováděných v minulosti;
  8. účely zpracování;
  9. kategorie dotčených osobních údajů;
  10. příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny;
  11. plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
  12. existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
  13. právo podat stížnost u dozorového úřadu;
  14. veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
  15. skutečnost, že dochází k automatizovanému rozhodování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
  16. Žádost může být subjektem údajů omezena pouze na některé informace. Pokud však žádost omezena nebude, je nutné poskytnout všechny informace a údaje dle odst. 2. tohoto článku Směrnice.
  17. Zpřístupněním údajů dle odst. 1. písm. b) tohoto článku Směrnice se rozumí poskytnutí kopie zpracovávaných osobních údajů. Poskytnutí první kopie zpracovávaných osobních údajů je vždy bezplatné. Bezplatné je také poskytnutí kopie po každé změně osobních údajů nebo po uplynutí doby, za kterou lze důvodně očekávat změnu osobních údajů.
  18. Kopie zpracovávaných osobních údajů nebudou poskytnuty, jestliže by tím byla nepříznivě dotčena práva a svobody jiných osob.

 

  • Právo na opravu
  1. Subjekt údajů má právo požadovat:
  2. opravu nepřesných osobních údajů a
  3. doplnění neúplných osobních údajů.
  4. V případě, že subjekt údajů podá žádost dle odst. 1 písm. a) tohoto článku Směrnice, musí správce bezodkladně ověřit, zda jsou osobní údaje skutečně nepřesné, a po tuto dobu omezit zpracování dotčených osobních údajů.
  5. V případě, že subjekt údajů podá žádost dle odst. 1 písm. b) tohoto článku Směrnice, doplní správce požadované údaje pouze, pokud je to vhodné vzhledem k účelu zpracování. Správce není povinen provést požadované rozšíření, pokud subjektem údajů doplňované údaje nejsou relevantní k danému účelu.

 

  • Právo na výmaz
  1. Subjekt údajů má právo na vymazání (zlikvidování) svých osobních údajů, pokud vznese žádost o výmaz a zároveň je dán alespoň jeden z následujících důvodů:
  2. osobní údaje nejsou potřeba pro účel, pro který jsou zpracovávány;
  3. osobní údaje jsou zpracovávány výhradně na základě souhlasu a subjekt údajů odvolá souhlas se zpracováním;
  4. subjekt údajů vznese námitku proti zpracování a při jejím posouzení vyjde najevo, že zájem subjektu údajů převažuje nad zájmem správce, nebo subjekt údajů vznese námitku proti zpracování;
  5. osobní údaje byly zpracovány protiprávně;
  6. na správce se vztahuje povinnost vyplývající z právního řádu, která mu ukládá osobní údaje vymazat;
  7. jedná se o osobní údaje dětí shromážděné správcem v souvislosti s nabídkou služby informační společnosti.
  8. I v případě, že je dán jeden z důvodů dle odst. 1. tohoto článku Směrnice, může správce osobní údaje dále zpracovávat, pokud je zpracování nezbytné:
  9. pro výkon práva na svobodu projevu a informace;
  10. pro splnění právní povinnosti správce, jenž vyžaduje zpracování podle právního řádu, nebo pro splnění úkolu správce provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
  11. z důvodů veřejného zájmu v oblasti veřejného zdraví;
  12. pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely, pokud je pravděpodobné, že by právo na výmaz znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
  13. pro určení, výkon nebo obhajobu právních nároků.
  14. Správce má nad rámec uvedeného v tomto článku Směrnice rovněž povinnost vymazat osobní údaje i bez žádosti subjektu údajů. Tato povinnost vzniká zejména při ztrátě právního titulu či účelu daného zpracování. Za zajištění splnění této odpovědnosti správce odpovídá osoba uvedená v čl. IX. odst. 1. Směrnice.

 

  • Právo na omezení zpracování
  1. Subjekt údajů má právo na omezení zpracování svých osobních údajů v těchto případech:
  2. subjekt údajů popírá přesnost osobních údajů;
  3. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich zpracování;
  4. správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  5. subjekt údajů vznesl námitku proti zpracování a probíhá posouzení oprávněných důvodů pro zpracování.
  6. Osobní údaje, jejichž zpracování bylo omezeno, nelze zpracovávat jinak než jejich uložením. Během trvání omezení zpracování tak nelze dotčené osobní údaje ani zlikvidovat.
  7. Musí být stanovena konkrétní technická řešení omezení zpracování (např. jejich označení v systému, znepřístupnění, dočasný přesun, dočasný výmaz apod.).
  8. Jiné zpracování osobních údajů, jejichž zpracování bylo omezeno na pouhé uložení, je možné pouze:
  9. se souhlasem subjektu údajů,
  10. z důvodu určení, výkonu nebo obhajoby právních nároků,
  11. z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo
  12. z důvodu důležitého veřejného zájmu EU nebo některého členského státu.
  13. O ukončení omezení zpracování musí být subjekt údajů předem informován.

 

  • Právo na přenositelnost
  1. Subjekt údajů má právo:
  2. obdržet osobní údaje ve strojově čitelném formátu a
  3. požadovat přímé předání osobních údajů ve strojově čitelném formátu jinému správci, pokud je to technicky možné.
  4. Strojově čitelným formátem se rozumí strukturovaný, běžně používaný a strojově čitelný formát, ve kterém jsou uloženy automatizovaně zpracovávané osobní údaje (např. formáty XML, JSON a CSV).
  5. Práva uvedená v odst. 1 tohoto článku Směrnice, má subjekt údajů pouze vůči osobním údajům splňujícím následující podmínky:
  6. osobní údaje jsou zpracovávány automatizovaně,
  7. osobní údaje jsou zpracovávány na základě souhlasu nebo za účelem plnění smlouvy a
  8. osobní údaje byly poskytnuty přímo subjektem osobních údajů (např. také údaje vysledované na základě využívání služby nebo zařízení příslušným subjektem).
  9. Osobní údaje ve strojově čitelném formátu nebudou poskytnuty ani předány, jestliže by tím byla nepříznivě dotčena práva a svobody jiných osob.

 

  • Právo vznést námitku
  1. Subjekt údajů má právo vznést námitku proti zpracování osobních údajů, které je prováděno:
  2. pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci,
  3. pro účely oprávněných zájmů správce či třetí strany,
  4. pro účely přímého marketingu[3] nebo
  5. pro účely vědeckého či historického výzkumu nebo pro statistické účely.
  6. V případě, že je vznesena námitka dle odst. 1 písm. a) nebo b) tohoto článku Směrnice musí být učiněny následující kroky:
  7. bez zbytečného odkladu musí být omezeno zpracovávání dotčených osobních údajů za jiným účelem, než je určení, výkon nebo obhajoba právních nároků;
  8. musí být provedeno posouzení spočívající v tom, zda má správce pro další zpracovávání oprávněné důvody, které převáží nad zájmy a svobodami subjektu údajů (balanční test);
  9. v případě, že správce nemá oprávněné důvody pro dané zpracovávání dotčených osobních údajů, musí být příslušné zpracovávání osobních údajů ukončeno.
  10. V případě, že je vznesena námitka dle odst. 1. písm. c) tohoto článku Směrnice musí být bez zbytečného odkladu zpracovávání osobních údajů za účelem přímého marketingu ukončeno.
  11. V případě, že je vznesena námitka dle odst. 1. písm. d) tohoto článku Směrnice musí být bez zbytečného odkladu zpracovávání osobních údajů za účelem vědeckého či historického výzkumu nebo pro statistické účely ukončeno, ledaže je zpracování nezbytné pro splnění úkolu prováděného z důvodu veřejného zájmu.

 

  • Záznamy o zpracování osobních údajů
  1. Správce je povinen vést záznamy o jednotlivých činnostech zpracování, které se vyhotovují písemně (i elektronickou formou).
  2. CCJ odpovídá za vedení záznamů o činnostech zpracování osobních údajů. Tyto záznamy jsou bezpečně uloženy v kanceláři CCJ po celou dobu daného zpracování osobních údajů. Po ukončení zpracování jsou záznamy o zpracování neprodleně zlikvidovány.
  3. Záznamy o zpracování obsahují následující informace:
  4. jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
  5. účely zpracování;
  6. popis kategorií subjektů údajů a kategorií osobních údajů;
  7. kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny;
  8. informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce GDPR doložení vhodných záruk;
  9. je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
  10. je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.

 

  • Posouzení rizik a posouzení vlivu na ochranu osobních údajů
  1. CCJ zabezpečuje posouzení rizik každého zpracování pro práva a svobody fyzických osob. Posouzení rizik musí být učiněno před zahájením zpracování osobních údajů, příp. u již zpracovávaných osobních údajů neprodleně po přijetí této Směrnice.
  2. V rámci posouzení rizik dle odst. 1. tohoto článku Směrnice je nutné pro každé zpracování určit míru rizika v některém z těchto stupňů, které je nutné stanovit s přihlédnutím ke všem okolnostem zpracování:
  • nízké riziko
  • střední riziko
  • vysoké riziko.
  1. V případě, že se jeví jako pravděpodobné, že určitý druh zpracování bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko pro práva a svobody fyzických osob, provede CCJ posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů.
  2. Posouzení vlivu na ochranu osobních údajů musí být provedeno zejména v těchto případech zpracování:
  3. systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
  4. rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 GDPR nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v článku 10 GDPR;
  5. rozsáhlé systematické monitorování veřejně přístupných prostorů.
  6. Odpovědná osoba uvedená v odst. 3 tohoto článku Směrnice provede posouzení vlivu na ochranu osobních údajů také u všech operací zpracování, která dozorový úřad zveřejní v seznamu operací zpracování, které podléhají posouzení vlivu na ochranu osobních údajů.
  7. Posouzení vlivu na ochranu osobních údajů musí splňovat náležitosti dle čl. 35 GDPR a obsahovat alespoň:
  8. systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce;
  9. posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
  10. posouzení rizik pro práva a svobody subjektů údajů;
  11. plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob.

 

  • Pravidla pro fyzické zabezpečení
  1. Přítomnost třetích osob (zejména v těch místnostech/kancelářích, kde jsou zpracovávány osobní údaje) může ohrozit bezpečnost zpracovávaných osobních údajů. Třetími osobami se kromě zákazníků/klientů/hostů rozumí zejména osoby vykonávající tyto činnosti:
  2. údržba technického či programového vybavení,
  3. konzultační činnost,
  4. úklidové, zásobovací, bezpečnostní a další služby.
  5. Podmínky, za kterých může třetí osoba přistupovat do místností, kde jsou zpracovávány osobní údaje, či přímo k těmto osobním údajům musí být upraveny v písemné smlouvě.
  6. Osobní údaje nesmějí být zpracovávány v těch prostorách, v nichž se mohou volně pohybovat zákazníci/klienti/hosté a další neoprávněné osoby. Jsou-li osobní údaje zpracovávány přímo v sídle, musí toto zpracování probíhat v zabezpečené místnosti, kam nemá volný přístup veřejnost.
  7. Přístup k osobním údajům mohou mít pouze zaměstnanci, jejichž přístup je nezbytný pro řádné plnění jejich povinností. Pokud zaměstnanec přístupem nedisponuje, a potřebuje k osobním údajům přistoupit, musí být jeho přístup schválen, případně evidován (např. zaznamenán do knihy apod.). Schválení nebo evidování přístupu musí být řádně vedeno a uloženo.
  8. Přístup k počítačovým zařízením, aplikacím a informačním systémům musí být upraven tak, aby byl přístup umožněn jen oprávněným uživatelům.
  9. Každá místnost musí poskytovat možnost ochrany (uzamčení) v ní se nalézajících osobních údajů, a to zejména po dobu, kdy v ní není přítomen žádný zaměstnanec. Vstupní dveře a zámky musí vykazovat určitý stupeň odolnosti vůči neoprávněnému vniknutí (bezpečnostní zámky, mříže na nízko umístěných oknech apod.).
  10. CCJ zajistí, aby byly zaměstnanci přiděleny klíče od těch místností, do nichž má mít zaměstnanec s ohledem na jemu svěřené činnosti přístup. Zaměstnanci nesmí klíče bez svolení vedoucího zaměstnance/managera předat další osobě.
  11. Při ukončení pracovního poměru zajistí CCJ odebrání klíčů a případných dalších obdobných přístupových prostředků zaměstnance. Zaměstnanec je také povinen vrátit všechny dokumenty, které mohou obsahovat osobní údaje, vč. jejich kopií. Případně se zaměstnanec zavazuje tyto kopie zlikvidovat.
  12. Všechny místnosti jsou pravidelně podrobovány požární revizi. Místnosti, v nichž se zpracovávají osobní údaje, nebo jejich bezprostřední okolí jsou vybaveny prostředky, které minimalizují rozsah případného požáru (např. detektory kouře, protipožární dveře, hasicí přístroje apod.).
  13. Veškeré dokumenty obsahující osobní údaje musí být po dobu, kdy se nepoužívají, uzamčeny v uzamykatelných zásuvkách či jiném bezpečném druhu nábytku či jinak zabezpečeny. To platí především tehdy, není-li v místnosti, v níž se dokument nachází, přítomen oprávněný zaměstnanec.
  14. Zaměstnanci nesmí v době své nepřítomnosti na pracovišti zanechávat volně přístupná (např. v kancelářích na stolech, na kopírkách v kancelářích či na chodbách, na recepci apod.) jakákoli elektronická či neelektronická média s osobními údaji či nezabezpečené počítače.
  15. Zaměstnanec si nesmí ukládat žádné dokumenty obsahující osobní údaje na plochu svého počítače a při odchodu z kanceláře se zaměstnanec zavazuje svůj počítač uzamknout.
  16. Zaměstnanci jsou povinni chránit dokumenty uložené ve svých počítačích unikátním heslem, které nesmí sdělit žádné další osobě.

 

  • Školení zaměstnanců
  1. Za účelem zajišťování souladu s GDPR přijímá Správce veškerá potřebná opatření, jejichž součástí jsou úvodní a následně i pravidelná školení všech případných zaměstnanců. Cílem školení je informovat zaměstnance o jejich povinnostech tak, aby jejich činnost odpovídala požadavkům GDPR a této Směrnice.

 

XXVIII. Ohlašování případů porušení zabezpečení

  1. Dozví-li se zaměstnanec o případu porušení zabezpečení osobních údajů, oznámí tuto skutečnost neprodleně CCJ. V případě, že se jeví jako pravděpodobné, že toto porušení může mít za následek riziko pro práva a svobody fyzických osob, ohlásí odpovědná osoba dle předchozí věty porušení zabezpečení osobních údajů dozorovému úřadu, a to nejpozději do 72 hodin, od okamžiku, kdy se o porušení dozvěděl. Pokud dané porušení neohlásí v této lhůtě, musí připojit k ohlášení též důvody tohoto zpoždění.
  2. Pokud bude vyhodnoceno, že je nepravděpodobné, že porušení dle odst. 1 tohoto článku Směrnice může mít za následek riziko pro práva a svobody fyzických osob, a tedy nebude porušení oznámeno dozorovému úřadu, je CCJ povinen zdokumentovat důvody tohoto neoznámení, resp. vysvětlení, proč nemá porušení za následek riziko pro práva a svobody fyzických osob.
  3. Ohlášení podle odstavce 1 tohoto článku Směrnice obsahuje především tyto informace:
    1. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
    2. jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
    3. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
    4. popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
  4. CCJ oznámí porušení zabezpečení osobních údajů bez zbytečných odkladů také subjektu údajů, jestliže je pravděpodobné, že takové porušení bude mít za následek vysoké riziko pro práva a svobody fyzických osob. Oznámení se provede za použití jasných a jednoduchých jazykových prostředků, které popíší povahu porušení zabezpečení osobních údajů a uvedou přijatá opatření.
  5. Oznámení dle předchozího odstavce se nevyžaduje, pokud správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví nebo pokud by to vyžadovalo nepřiměřené úsilí. I to je nutné písemně zachytit a uchovat.
  6. CCJ je povinen o veškerých porušeních zabezpečení osobních údajů vést dokumentaci, tedy i o těch, která nebyla hlášena nebo oznámena.

 

XXIX. Archivace a skartace osobních údajů

  1. Tato Směrnice se vztahuje i na zpracování osobních údajů spočívající v jejich archivaci.
  2. Osobní údaje se vždy uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich zpracování a po dobu trvání příslušného právního titulu.
  3. Osobou odpovědnou za likvidaci osobních údajů je osoba dle čl. IX. odst. 1. Směrnice.

 

XXX. Zapojení externích subjektů do zpracovávání osobních údajů

1. CCJ odpovídá za dodržování způsobu zapojení externích subjektů do zpracování osobních údajů dle této Směrnice.

2. U jakéhokoliv externího subjektu, který bude zapojen do zpracování osobních údajů, s výjimkou zaměstnanců správce, musí být před tímto zapojením posouzeno, zda:

  1. externí subjekt stanovuje vlastní účely a prostředky zpracování, a zda je tak ve vztahu k příslušnému zpracování samostatným správcem; nebo
  2. správce a externí subjekt stanovují účely a prostředky zpracování společně, a zda jsou tak ve vztahu k příslušnému zpracování společnými správci; nebo zda
  3. externí subjekt zpracovává osobní údaje pro správce na základě pověření (pokynů) správce, a zda je tak ve vztahu k příslušnému zpracování zpracovatelem osobních údajů.

    Společní správci musí mít mezi sebou uzavřenou písemnou smlouvu, ve které si proporcionálně rozdělí odpovědnost za plnění povinností vyplývajících z této Směrnice a GDPR (zejména informační povinnost a povinnosti vztahující se k právům subjektů údajů). Při rozdělení odpovědnosti společných správců musí být zohledněny úlohy jednotlivých správců v rámci zpracování, a především jejich vztahy vůči subjektům údajů. Subjekty údajů musí být o podstatných prvcích způsobu spolupráce společných správců informovány. Subjekt údajů může vykonávat svá práva u každého ze společných správců i vůči každému z nich.
  1. Správce musí se zpracovatelem uzavřít písemnou zpracovatelskou smlouvu. Zpracovatelská smlouva zejména stanoví:
  2. Předmět zpracování. Předmětem zpracování se míní vymezení okruhu osobních údajů, které mají být na základě zpracovatelské smlouvy zpracovávány. Předmět zpracování musí být vymezen dostatečně konkrétně tak, aby byly zřejmé alespoň
    1. konkrétní typy osobních údajů (např. jméno, příjmení, e-mail, kontaktní adresa),
    2. kategorie osobních údajů a
  • kategorie subjektů údajů (např. zákazníci/klienti/hosté, zaměstnanci, dodavatelé).
  1. Dobu zpracování. Doba zpracování musí být stanovena jako přesný časový úsek nebo prostřednictvím kritérií, na základě kterých se přesný časový úsek určí (např. po dobu platnosti a účinnosti smlouvy apod.).
  2. Povahu a účel zpracování. Povaha zpracování uvedená ve zpracovatelské smlouvě musí být přiměřená účelu, pro který jsou osobní údaje zpracovávány správcem, a nesmí tomuto účelu odporovat. Účel zpracování uvedený ve zpracovatelské smlouvě nesmí být v rozporu s účelem zpracování na straně správce a nesmí ani tento účel svým rozsahem přesahovat. Smlouva by měla rovněž obsahovat upozornění, že v případě, kdy zpracovatel určí sám prostředky či účel zpracování, přestává být zpracovatelem a stává se správcem.
  3. Způsob řízení zpracovatele správcem. Osobní údaje mohou být zpracovatelem zpracovávány pouze na základě doložitelných pokynů správce. Zpracovatel informuje správce o zpracování, které je mimo pokyny správce povinen provést, jelikož mu tak stanoví právní řád.
  4. Mlčenlivost. Zpracovatel musí zajistit, aby se osoby zpracovávající svěřené osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.
  5. Bezpečnostní opatření. Zpracovatel musí být zavázán k přijetí dostatečných organizačních a technických opatření k zabezpečení zpracování osobních údajů dle této Směrnice a GDPR. Zpracovatel musí být zavázán k periodickým vnitřním auditům přijatých organizačních a-technických opatření na základě provedené analýzy rizik. Průběh vnitřních auditů a odůvodnění přijatých opatření musí být řádně zdokumentovány pro potřeby případného doložení plnění povinností.
  6. Podmínky zapojení dalšího zpracovatele. Zpracovatel musí být zavázán k tomu, že bez předchozího písemného souhlasu správce nezapojí do zpracování žádného dalšího zpracovatele. Případný další zpracovatel musí být písemně zavázán ke zpracování osobních údajů způsobem souladným se zpracovatelskou smlouvou a dále k ochraně osobních údajů na alespoň takové úrovni, jaká je stanovena ve zpracovatelské smlouvě.
  7. Poskytování součinnosti. Zpracovatel musí být zavázán k poskytování součinnosti v takovém rozsahu, aby správce mohl
    1. vyřizovat žádosti o výkon práv subjektů údajů způsobem a ve lhůtách dle této Směrnice a GDPR;
    2. zajistit dostatečnou úroveň zabezpečení zpracování a ohlašovat bezpečnostní incidenty v souladu s touto Směrnicí a čl. 32 až 36 GDPR;
  • doložit plnění povinností dle této Směrnice a GDPR a
  1. provádět audity u zpracovatele, a to buď sám, nebo prostřednictvím pověřeného auditora.
  1. Opatření při ukončení zpracování. Zpracovatel musí být zavázán na základě rozhodnutí správce veškeré osobní údaje
    1. zlikvidovat (vymazat), vč. existujících kopií osobních údajů s výjimkou případů, kdy právní řád stanoví jinak, nebo
    2. vrátit správci.
  2. Smlouvy dle odst. 2. a 3. tohoto článku Směrnice nemusí výslovně upravovat stanovené náležitosti v tom rozsahu, v jakém jsou již pro příslušné zpracovaní dostatečně upraveny právním řádem.
  3. Správce do zpracování osobních údajů nezapojí externí subjekt, pokud by v důsledku tohoto zapojení nebyl správce schopen plnit své povinnosti dle této Směrnice a GDPR.
  4. Za kontrolu v oblasti řízení spolupráce s externími subjekty a v oblasti způsobu zpracování osobních údajů externími subjekty je odpovědný CCJ. Kontrola spočívá zejména v pravidelném přezkumu, zda zpracování údajů externími subjekty probíhá v souladu s uzavřenými smlouvami, Směrnicí a právním řádem.

 

XXXI. Kontrola

  1. Efektivitu a praktické fungování systému ochrany osobních údajů a bezpečnosti dat, jakož i plnění povinností CCJ dle GDPR a této Směrnice v dané CCJ přezkoumává CCJ, a to alespoň čtyřikrát ročně v pravidelných intervalech. O výsledcích přezkumu sepíše písemnou zprávu, a to bez zbytečného odkladu po skončení přezkumu, v níž bude zhodnocen zejména stav preventivních opatření, zranitelnosti a hrozby, závěry měření účinnosti přijatých opatření a doporučení pro zlepšení systému.

 

XXXII. Přechodná a závěrečná ustanovení

  1. Poměry týkající se předmětu úpravy této Směrnice vzniklé přede dnem její účinnosti se ode dne nabytí její účinnosti řídí touto Směrnicí.
  2. Tato Směrnice nabývá účinnosti dne 31.03.2020.

 

 

Zpět do obchodu