Směrnice o ochraně osobních údajů

Vnitřní směrnice č. 1/2004

Společnost Vítovec corp. a.s. vydává tímto:

Směrnici k ochraně osobních údajů a nakládání s citlivými údaji

Základní právní normou upravující ochranu osobních údajů v naší organizaci je Zák. č. 101/2000 Sb. o ochraně osobních údajů se všemi pozdějšími dodatky a úpravami. Dalšími právními normami upravujícími ve své příslušné části tuto oblast příp. vztahujícími se k ní je Zákoník práce, Zák. č. 133/00 o evidenci obyvatel a další zákonné normy zmíněné v b. 5).

1) Účel úpravy

Účelem vydání této směrnice je aplikace Zák. o ochraně osobních údajů v naší úč. jednotce, tak, aby bylo dosaženo požadované ochrany údajů při jejich zpracování u:

- fyzických osob – zaměstnanců, osob ucházejících se o zaměstnání (žáků - brigádníků)

- fyzických osob- spolupracujících jako PPZ, či jiných spolupracujících na základě smluv 

                             podle zákona 38/2004 Sb v platném znění

- fyzických osob- klientů získaných na základě nabídek či uzavřených smluv v oblasti 

                             pojišťovnictví, penzijních připojištění, stavebních spoření a podobných

                             finančních produktů

- fyzických osob – současných či budoucích obchodních partnerů

- dalších osob, za něž organizace při své činnosti získává jejich osobní údaje (např. účastníci výherních soutěží pořádaných organizací aj.).

Organizace tyto údaje zpracovává a proto je dle zákona správcem osobních údajů. Směrnice stanovuje práva a povinnosti zaměstnanců a ost. fyzických osob při veškerém zpracování (shromažďování, evidenci) osobních údajů a to jak při ručním, tak automatizovaném zpracování. Ke zpracování osobních údajů jí se týkajících je nutný souhlas jednotlivých fyzických osob výše uvedených.

Tento souhlas není nutný, pokud jsou údaje zpracovávány na základě zvláštního zákona, nebo jsou nezbytně nutné pro vstoupení fyzické osoby do jednání o smluvním vztahu či plnění uzavřené smlouvy se správcem a dále rovněž v situaci jedná-li se o oprávněně zveřejňované údaje v souladu se zvláštním zákonem. Osobní údaje, které jsou výhradně nutné pro účely zprostředkování zaměstnání, jsou uvedeny v §23 a§5 a)1. Zák. o zaměstnanosti. Os. údaje se vyskytují v organizaci buď ve formě originálních písemností (či jejich kopií), v elektronické podobě ve formě počítačové databáze a na archivních médiích (CD, FD. ..).

2) Definice používaných pojmů

- správce os. údajů – tím, je dle zákona subjekt určující účel a prostředky zpracování osobních údajů, zpracování provádí a odpovídá za něj

- osobní údaj – jím je jakákoliv informace naplňující podmínku vztahu k fyzické osobě – subjektu údajů, jakýkoli údaj týkající se této osoby. Na základě tohoto údaje je subjekt přímo či nepřímo identifikován, určen (např. jméno, příjmení, adresa, dat. narození, r.č., telefon, mailová adresa). Osobní údaje jsou zpracovávány v podobě „evidence“ či „datového souboru“

- zpracovatel os. údajů – na základě zmocnění či pověření správcem za něj provádí zpracování osobních údajů (případně na základě zvláštního zákona)

- zpracování osobních údajů – jím je jakákoli operace správce či zpracovatele s osobními údaji, zejména shromažďování (získání za účelem jejich uložení pro další zpracování), ukládání na nosiče dat, uchovávání, úprava, vyhledávání, zveřejňování, likvidace

- subjekt údajů – jím je osoba, ke které se osobní údaje vztahují. V případě, kdy je vyžadován souhlas subjektu údajů, jde vždy o jednostranný právní úkon tohoto subjektu, jehož obsahem je svolení se zpracováním svých osobních údajů

- uchovávání, likvidace os. údajů – uchováváním údajů se rozumí jejich udržování v podobě umožňující další zpracování. Likvidace pak představuje jejich fyzické zničení (např. skartovačem) či vymazání datových nosičů aj.

- anonymní údaj – je takovým údajem, který prošel procesem anonymizace a u něhož nelze zjistit subjekt údajů. V podmínkách organizace jde zejména o uveřejňování neadresných údajů o sumě pohledávek po splatnosti, věková struktura klientů uváděná ve statistických výstupech bez uvedení jednotlivých jmen a podobné souhrnné statistické údaje, které neidentifikují konkrétní osobu aj.

3) Citlivé údaje

     Citlivým údajem jsou údaje vypovídající o národnostním, rasovém, etnickém původu, politických postojích, členství v odborech, náboženství, filos. přesvědčení, odsouzení za trestný čin, údaje o zdravotním stavu, sex. životě, biometrické a genetické údaje. Citlivé údaje, kdy je vyžadován písemný souhlas zaměstnance, spolupracující osoby a  klienta a jsou zpracovávány v organizaci v těchto případech:

a) Údaje o trestní bezúhonnosti (vyžadovány u pokladní, dalších zaměstnanců a spolupracujících osob s hmotnou zodpovědností)

b) Podrobné údaje o zdravotním stavu, zdravotní testy, vše nad rámec běžné vstupní zdravotní prohlídky u klientů pojištěných ve všech případech pojištění osob.

Se sdělením citlivých údajů dávají zaměstnanci správci svůj písemný souhlas v uzavřené pracovní smlouvě.

Se sdělením citlivých údajů dávají klienti správni svůj písemný souhlas  v prováděné finanční analýze za účelem nabídky a sjednání pojistné Pojistné - Úplata za soukromé pojištění. ... Víceči jiné smlouvy.

4) Informační povinnost

Zejména v § 11 zákona je organizaci dána povinnost informovat subjekt údajů (zaměstnance, obch.  partnera-fyz. osobu) o tom, že jsou údaje o něm správcem shromažďovány, zpracovávány, v jakém rozsahu a pro jaký účel, kdo bude údaje zpracovávat a komu mohou být zpřístupněny.

Dále je subjekt informován o svém právu přístupu ke svým os. údajům a možnosti jejich opravy, příp. podání vysvětlení ze strany správce. V zákonem stanovených případech je subjekt údajů o výše uvedených skutečnostech informován při prvním kontaktu, při němž správce a subjekt údajů vstupují do právního vztahu (při nástupu zaměstnance do zaměstnání a při navázání vztahů s fyzickými osobami za účelem nabídky či uzavření pojistné Pojistné - Úplata za soukromé pojištění. ... Víceči jiné smlouvy dle činnosti správce).

5) Oznamovací povinnost

Režim Zák. o ochraně osobních údajů se na organizaci vztahuje z toho titulu, že je zpracovatelem osobních údajů (správcem) za své zaměstnance a dále v dalších případech dle b. 1). Povinnost registrovat se na Úřadu pro ochranu os. údajů, ale z tohoto titulu nemá, neboť zpracování os. údajů provádí pouze ze své povinnosti vyplývající ze zvláštních zákonů. Pokud tedy organizace provádí zpracování osobních údajů na základě zvláštních zákonů (zejména Zák. práce, zák. o soc. zabezpečení, zák. o zdr. pojištění, zák. o zaměstnanosti, zák. o služebním poměru...) a pro plnění povinností stanovených těmito zvláštními zákony, pak oznamovací povinnost nevzniká. Pokud jsou nad rámec splnění výše uvedeného účelu shromažďovány některé nadbytečné údaje, jde o porušení zákona. Oznamovací povinnost (povinnost registrovat se) má organizace v případě, že zpracovává osobní údaje nad rámec daný těmito zákony, např. paušálně vyžaduje výpis z rejstříku trestů od všech zaměstnanců (narozdíl od pokladní, kde je to považováno za nutnost), kompletně od všech spolupracovníků na základě smlouvy o PPZ dle zák. 38/2004Sb v platném znění, dále pořádá reklamní soutěže se zpracováním dat účastníků, shromažďuje informace o klientech, kterým zprostředkovává nabídky či uzavření smluv. Smyslem oznamovací povinnosti je zajistit výkon dozoru ze strany ÚOOÚ.

6) Oblasti nakládání s osobními údaji v organizaci, způsob jejich zpracování

K zpracování os. údajů dochází v organizaci našimi vlastními zaměstnanci v těchto útvarech, odborech: mzdová účetní, personální útvar, sekretariát, kontrolní oddělení, správa počítačové sítě. K zpracování os.údajů dochází v organizaci dále spolupracujícími osobami na základě uzavřených smluv o PPZ dle zák.38/20047 Sb. Organizace zpracovává pouze přesné a pravdivé osobní údaje, které za tím účelem průběžně (v případě změn) ověřuje. Právo (a zároveň povinnost) přijít do styku a nakládat s osobními údaji je zde uvedeným zaměstnancům vybraných útvarů, odborů stanoveno v prac. náplni, v rámci jejich pracovních úkolů určených vedoucím útvaru, odboru, případně přímo ředitelem. Na základě podepsané „dohody o mlčenlivosti“ jsou zaměstnanci i spolupracující PPZ přicházející při plnění svých prac. úkolů do styku s osobními údaji povinni se vyhýbat jakémukoliv jednání, které by mohlo být považováno za neoprávněné zveřejňování osobních údajů, a to jak na pracovišti, tak i mimo něj. Osobní údaje jsou předávány pouze tam, kde je to nezbytné pro plnění pracovních povinností (tzn. např. vůči nadřízenému, oprávněným externím uživatelům – VZP, OSSZ...) či povinností předávání údajů příslušným subjektům pro něž a jejím jménem je příslušná smlouva zpracovávána.

a) Osobní údaje zaměstnanců

Účelem shromažďování a zpracování osobních údajů zaměstnanců tedy je plnění zákonných povinností organizace plynoucích z pracovněprávních, daňových, bezpečnostních, hygienických předpisů a dále povinností plynoucích ze vztahů vůči OSSZ a zdr. pojišťovnám, z předpisů o zaměstnanosti. Zpracování os. údajů se dále provádí z hlediska interních potřeb organizace, jimiž je zejména výběr, zvyšování kvalifikace zaměstnanců, přeřazování na jiné funkce, program péče o zaměstnance a jejich rodinné příslušníky, vč. finanční pomoci.

Údaje jsou získávány přímo od dotčených zaměstnanců a to písemně (obč. průkazy – kontrola a opis dat, potvrzení o zaměstnání od předchozího zaměstnavatele, prac. posudky, dotazníky, žádosti, životopisy, žádosti o přijetí, zdravotní prohlídky, doklady o dosaženém vzdělání a praxi, výpisy z rejstříku trestů, písemná potvrzení o absolvování spec. školení, kurzů – např. registrace ČNB, osvědčení o odborné způsobilosti), nebo ústně (nahlašování změn, doplnění údajů při rozšíření požadavků plynoucích ze zvláštních zákonů). Ústní údaje jsou pověřeným zaměstnancem podchyceny a převedeny do písemné podoby.

Veškeré osobní údaje zaměstnanců v papírové podobě jsou shromažďovány v osobním spisu zaměstnanců v personálním útvaru (uložení v uzamčené skříni). Údaje v elektronické podobě se nacházejí na počítači u mzdové účetní a v personálním útvaru. Zálohy dat jsou prováděny denně na druhý pevný disk a rovněž měsíčně správcem sítě na CD a jsou archivovány v jeho kanceláři v uzavřené skříni (po uplynutí 12 měsíců jsou nosiče správcem sítě fyzicky zničeny).  Fyzicky jsou elektronická data umístěna na samostatném serveru (v samostatném adresáři), přístup k nim je možný pouze pro oprávněné osoby za pomoci přístupového hesla. Oprávněnou osobou za údaje zaměstnanců je mzdová účetní a personální útvar.

b) Osobní údaje fyzických osob v rámci smluvních vztahů

Účelem shromažďování údajů v této oblasti jsou uzavřené smlouvy o výkonu činnosti PPZ dle zák. 38/2004 Sb. Údaje jsou získávány formou dotazníků a písemných smluv. Samotnými doklady obsahujícími os. údaje pak jsou živnostenské listy, nabídky, návrhy smluv, obchodní smlouvy, výpisy z rejstříku a dalších evidencí.

Obdobně jako u zaměstnanců jsou os. údaje chráněny v oblasti vztahů s klienty, kdy k údajům v elektronické podobě je přístup prostřednictvím hesla oprávněné osoby, údaje v papírové podobě (smlouvy s obch. partnery – fyzickými osobami) jsou v uzavřených skříních s omezeným přístupem.   

Veškeré elektronické údaje jsou před napadením zvenčí chráněny firewallem, antivirovou ochranou a jsou vytvářeny bezpečnostní kopie.

Ke styku s osobními údaji dochází rovněž v sekretariátu při rozdělování došlé pošty, u zaměstnanců kontrolního odboru při výkonu interní kontroly v jednotlivých odborech organizace, které nakládají s osobními údaji a rovněž při nakládání s os. údaji v elektronické podobě správcem poč. sítě. Všechny tyto osoby jsou rovněž vázány mlčenlivostí a jsou povinny při plnění svých povinností zabránit jakémukoli úniku os. údajů, s kterými přicházejí do styku.

7) Povinnosti dotčených zaměstnanců a dalších osob

Touto směrnicí jsou povinni se řídit v rámci svých pracovních povinností všichni zaměstnanci organizace a rovněž tak další osoby, které jsou k organizaci v obdobném právním vztahu (zaměstnanci na dohodu, vedoucí zaměstnanci podnikatelských subjektů na mandátní smlouvy) a také spolupracujícím na základě smlouvy o PPZ dle zák. 38/2004 Sb.

V případě, že je nakládání s osobními údaji přeneseno na základě písemné smlouvy ke zpracovateli mimo organizaci (např. zpracování mezd, účetnictví, postoupení smlouvy subjektu jejímž jménem a na jejíž účet je smlouva vyhotovena), je tato organizace - zpracovatel rovněž povinna se řídit uvedeným zákonem a touto směrnicí. Ve smlouvě je definován rozsah, účel, doba platnosti smlouvy, zodpovědné osoby, technické a organizační zabezpečení ochrany os. údajů a to jak při vzájemném předávání těchto údajů, tak při jejich zpracování u dodavatele této služby – zpracovatele.

8) Ochrana osobních údajů a její ukončení

Dle výše uvedených ustanovení je ochrana os. údajů zabezpečena: u os. údajů ve fyzické podobě formou jejich uzamčení oprávněnou osobou (uzamykání kanceláří a skříní obsahujících data) a obdobně u archivovaných nosičů dat, u údajů v elektronické podobě formou přístupových hesel k jednotlivým datovým skladům. U údajů předávaných ústně formou jasně vymezených kompetencí a prac. povinností určených v prac. náplni a podvázaných „dohodami o mlčenlivosti“.

Organizace - zaměstnavatel je povinna provést likvidaci os. údajů, jakmile pomine účel, pro který byly os. údaje shromažďovány, anebo pokud o tuto likvidaci požádá zaměstnanec. Výjimkou jsou ale údaje, které organizace zpracovává na základě zvláštního zákona. Zde jsou údaje archivovány v souladu se Směrnicí k archivaci a to odděleně od ostatních archivovaných písemností a pod samostatným uzavřením. Za likvidaci archivovaných údajů v oblasti personální zodpovídá ved. personálního útvaru, za likvidaci v oblasti mzdové zodpovídá mzdová účetní.

Klient či jiná spolupracující osoba – možnost kdykoliv písemně  souhlas se zpracováním odvolat

9) Součinnost s kontrolními orgány

Zaměstnanci organizace, spolupracující na základě uzavřených smluv– pokud poruší „smlouvu o mlčenlivosti v oblasti osobních údajů“, mohou být pokutováni dle zákona až do výše Kč 100000,-. Organizaci pak může být udělena pokuta za porušení jejích povinností až Kč10 mil. Pro ochranu svých zákonných práv se naopak zaměstnanci mohou obracet přímo na ÚOOÚ s žádostí o zajištění nápravy, pokud organizace sdělila neoprávněně jinému jeho osobní údaje.

10)   Předání os. údajů do jiných států

V těchto výjimečných případech je předávání prováděno dle § 27 zákona (např. v případě zaměstnávání cizích státních příslušníků při ukončení jejich prac. poměru).

Dne 2.2.2004

ředitel společnosti                                                                

Pojištění
pro podnikatele

Podnikání přináší celou řadu rizik.
Pomůžeme Vám je eliminovat.

Nabídka pojištění

Pojištění
pro občany

Buďte odpovědní k sobě i k svým blízkým.
Připravte se na životní zkoušky.

Nabídka pojištění

377 970 704

Potřebujete poradit?

Napište nám

  • Medica pojištění
  • Pojištění odpovědnosti
  • Pojištění podnikatelů
  • Pojištění domácnosti a domu
  • Pojištění úrazu
  • Pojištění osob
  • Pojištění auta
  • Pojištění kybernetických rizik
  • Pomoc s orientací ve světě pojišťovnictví
  • Pojištění lékaren a zdravotních zařízení
Rozšiřte náš tým