Směrnice GDPR
vyplývající z Nařízení evropského parlamentu a rady (EU) 2016/679 ze dne
27.dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních
údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/es (obecné
nařízení o ochraně osobních údajů), dále jen Nařízení.
Obsah
1. Zásady, právní důvody a účely zpracování osobních údajů
2. Souhlas subjektu se zpracováním osobních údajů
3. Evidence OÚ u Pracovněprávních vztahů
4. Evidence OÚ u Akciové společnosti
5. Evidence OÚ u obchodních i neobchodních vztahů
6. Zpracovatelé, smluvní partneři mající přístup k OÚ
7. Porušení zabezpečení OÚ, ohlašovací povinnost a informační povinnost
8. Analýza rizik zpracování, technická a organizační opatření
Přílohy
1. Slovníček pojmů
2. Metodický postup k vyřizování žádostí
3. Záznam o činnostech zpracování
3.1. Pracovněprávní listiny
3.2. Listiny s osobními údaji akcionářů
3.3. Obchodní a neobchodní smlouvy související s pozemky
3.4. Ostatní
4. Dopadové analýzy rizik a opatření činěná v rámci ochrany OÚ –
pravidelné záznamy
5. Záznamy o provedeném školení odpovědných zaměstnanců
6. Záznamy o provedeném informování všech zaměstnanců
7.
7.1. Struktura zodpovědností
7.2. Seznam zaměstnanců a jimi převzatých klíčů
8. Vzory listin
9. Přehled smluv
10.Vnitřní předpis úpravy práce s listinami obsahujícími osobní údaje
2
PALOMO, a.s., (dále jen správce) je subjekt, který určuje účely a prostředky
zpracování osobních údajů (dále jen OÚ) a odpovídá za ně. Správce OÚ
zpracovává pro účely vyplývající z jeho činnosti (zákonem stanovené povinnosti).
1. Zásady, právní důvody a účely zpracování
Nařízení a jeho praktická implementace v PALOMO, a.s. jsou založeny na těchto
zásadách:
a) ZÁKONNOST A SPRAVEDLNOST: zpracování OÚ je prováděno na základě
zákonného důvodu zpracování. Těmito důvody jsou:
i. udělení souhlasu subjektu pro jeden či více konkrétních účelů, přičemž
obsahově musí informovaný souhlas obsahovat tyto údaje: totožnost
konkrétního správce, účel, právní důvod a doba zpracování OÚ, rozsah
zpracovávaných OÚ a informace o právu subjektu údajů svůj souhlas
odvolat.
ii. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je
subjekt.
iii. zpracování je nezbytné pro splnění právní povinnosti, která se na
správce vztahuje.
iv. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném
zájmu, nebo při výkonu veřejné moci, kterým je správce pověřen
v. zpracování je nezbytné pro účely oprávněných zájmů příslušného
správce či třetí strany, kromě případů, kdy před těmito zájmy mají
přednost zájmy nebo základní práva a svobody subjektu údajů
vyžadující ochranu osobních údajů.
b) KOREKTNOST A TRANSPARENTNOST: údaje jsou zpracovávány
transparentně a korektně (správce je schopen poskytnout srozumitelné
informace o tom, jakým způsobem a v jakém rozsahu OÚ zpracovává a
jaké oprávněné osobě /subjekt osobních údajů/ je předává. Mezi povinné
informace patří: totožnost a kontaktní údaje správce, účely zpracování,
právní důvod, oprávněné zájmy správce, případný úmysl správce předat
OÚ do třetí země, údaje o době, po kterou budou osobní údaje zpracovány
a uloženy, informace o existenci práva subjektu na přístup k OÚ týkajících
se tohoto subjektu a právo na jejich opravu, výmaz, popřípadě omezení
zpracování či vznesení námitky proti zpracování, jakož i práva na
přenositelnost údajů, informace o existenci práva odvolat souhlas a
informace o existenci práva podat stížnost u dozorového úřadu)
3
c) OMEZENÍ ÚČELU ZPRACOVÁNÍ: OÚ jsou shromažďovány pro konkrétní a
legitimní účely a způsobem, který není neslučitelný s účelem zpracování
(například zpracování OÚ nezbytných pro splnění smlouvy je právním
důvodem zpracování plnění smlouvy)
d) MINIMALIZACE ÚDAJŮ: OÚ jsou přiměřené a relevantní ve vztahu k účelu,
pro který jsou zpracovávány
e) PŘESNOST: zpracovávané údaje jsou v přesné podobě a aktualizované
f) OMEZENÍ ULOŽENÍ ÚDAJŮ: OÚ jsou uloženy ve formě umožňující
identifikaci subjektu údajů jen po nezbytnou dobu nutnou pro zpracování
k danému účelu
g) INTEGRITA A DŮVĚRNOST: OÚ jsou dostatečně technicky a organizačně
zabezpečeny proti zneužití, ztrátě, zničení nebo poškození a krádeži.
Výše uvedené zásady, jejich implementace a dodržování je prokázáno
v následujících částech této směrnice.
2. Souhlas subjektu se zpracováním osobních údajů
Podmínky souhlasu
Souhlas subjektu údajů s jejich zpracováním je vždy svobodný, konkrétní,
informovaný a jednoznačný projev vůle, kterým subjekt údajů dává svým
prohlášením či jiným svým zjevným potvrzením své svolení správci ke zpracování
svých OÚ. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému není
nucen. Nařízení stanoví požadavek na dodržení všech vlastností souhlasu
najednou, jinak není souhlas dán.
Souhlasy u dětí do věku 16ti let (15ti po schválení prováděcího zákona ČR) –
zpracování OÚ je možné pouze s rodičovským souhlasem zákonného zástupce
dítěte.
Souhlas může mít formu písemného prohlášení, prohlášení učiněného
elektronicky nebo ústního prohlášení subjektu.
Souhlas je jedním z právních důvodů, na základě kterého může správce OÚ
zpracovávat a nastupuje tehdy, pokud zpracování nelze podřadit pod jiné právní
důvody, pro které není nutné souhlas vyžadovat.
4
Svoboda a odvolatelnost souhlasu
Svoboda souhlasu znamená zohlednění, zda je či není plnění smlouvy (poskytnutí
plnění) podmíněno udělením tohoto souhlasu, které není pro plnění objektivně
nutné. Subjekt údajů není za neudělení souhlasu jakkoliv trestán.
Souhlas je odvolatelný.
V případě odvolání souhlasu správce přestane zpracovávat OÚ pro účely
definované v souhlasu a pokud souhlas byl jediným právním důvodem
zpracování, bude následovat i likvidace OÚ.
Odlišitelnost souhlasu se zpracováním OÚ
Souhlas je odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje.
Souhlas tak je oddělený např. od smlouvy či obchodních podmínek, není-li
možné, aby byl jejich nedílnou součástí.
Žádost správce o souhlas je odlišitelná od jiného textu v podepisované listině a
dále srozumitelná, snadno přístupná a jasně a jednoduše vyjádřena jazykovými
prostředky.
Uzavření např. smlouvy není podmiňováno poskytnutím souhlasu se
zpracováním OÚ.
Odvolatelnost souhlasu
Subjekt údajů má právo svůj souhlas kdykoliv odvolat.
Odvoláním souhlasu není dotčena zákonnost zpracování do okamžiku jeho
odvolání.
Současné souhlasy a nařízení
Nařízení předpokládá přechod souhlasu, avšak s podmínkou, že souhlas byl
udělen způsobem a v souladu s podmínkami nařízení. Pokud již vyslovený
souhlas nesplňuje podmínky Nařízení, bude jej třeba získat znovu.
3. Evidence OÚ u Pracovněprávních vztahů
U zpracování OÚ zaměstnanců v souvislosti se zaměstnáním dochází k provázání
Nařízení se stávající právní úpravou.
Z platných pracovněprávních předpisů dopadá na zpracování OÚ především
příslušná ustanovení zákoníku práce, zákona č. 262/2006 Sb., v platném znění, a
to zejména ustanovení upravující požadování údajů před vznikem pracovního
5
poměru (§ 30), úprava vedení osobních spisů (§ 312) a úprava ochrany soukromí
zaměstnance (zejména § 316 odst. 4). V širších souvislostech pak na zpracování
OÚ dopadá celé ustanovení § 316 upravující ochranu soukromí zaměstnanců.
Dále se zpracování OÚ týká zákon o zaměstnanosti č. 435/2004 Sb., konkrétně
ustanovení § 12 odst. 2 upravující zákaz získávání OÚ zaměstnavatelem.
Dalšími zákony upravujícími zpracování OÚ v souvislosti se zaměstnáním jsou
zejména zákon o organizaci a provádění sociálního zabezpečení č. 582/1991 Sb.,
zákon o veřejném zdravotním pojištění č. 48/1997 Sb., zákon o pojistném na
všeobecné zdravotní pojištění č. 592/1992 Sb., další předpisy o organizaci a
provádění sociálního zabezpečení (§ 46 zákona č. 582/1991 Sb., o organizaci a
provádění sociálního zabezpečení), zákon o inspekci práce č. 251/2005 Sb.
(kontrolní pravomoci inspekce práce dle § 24 a).
Účelem zpracování OÚ v souvislosti se zaměstnáváním je uzavírání
pracovněprávních vztahů jako prostředku pro naplnění předmětu podnikání –
činnosti společnosti.
Pracovními důvody zpracování OÚ jsou plnění smlouvy (smluvní pracovněprávní
vztah), plnění zákonných povinností zaměstnavatele, případně souhlas
uchazeče o zaměstnání se zpracováním jeho OÚ (pokud se nestane
zaměstnancem).
Dalším právním důvodem je, že zpracování je nezbytné pro účely oprávněných
zájmů správce, konkrétně zpracování nezbytné pro určení, výkon nebo obhajobu
právních nároků, nebo při jednání soudů (např. pracovněprávní spory či plnění
povinností daňového poplatníka).
Výjimečně je důvodem zpracování OÚ, které nelze podřadit pod předchozí
důvody, souhlas subjektu údajů (u jiné než předepsané evidence vedené
zaměstnavatelem).
Osobní spis zaměstnance (§ 312 zákoníku práce) je veden v kombinaci
elektronické a písemné podobě.
Do osobního spisu mohou nahlížet vedoucí zaměstnanci, kteří jsou zaměstnanci
nadřízeni. Právo nahlížet do osobního spisu má dále orgán inspekce práce – Úřad
práce ČR, úřad pro ochranu osobních údajů, soud, státní zástupce, policejní
orgán, národní bezpečnostní úřad a zpravodajské služby. Dále do spisu nahlíží
zaměstnanec vedoucí spis, právní zástupce zaměstnavatele a zaměstnanec
podnikové kontrole.
6
Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něj výpisky a
pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady
zaměstnavatele. Nahlížet do osobního spisu znamená oprávnění vzít fyzicky spis,
v něm listovat či sledovat elektronický záznam spisu.
Doba uchování zpracování osobních údajů zaměstnanců, tato doba zpravidla
zaniká se skončením pracovního poměru (výjimku tvoří právní povinnosti
zaměstnavatele např. v případě vedení sporu). Po uplynutí doby kdy lze
uchovávat informace obsažené v osobním spisu je tento zlikvidován.
4. Evidence OÚ u Akciové společnosti
Akciová společnost vede tyto evidence či listiny s osobními údaji akcionářů:
seznam akcionářů, akcie na jméno, listina přítomných na valné hromadě a
pozvánka na volební valnou hromadu.
Povinné osobní údaje u akcií na jméno jsou obsaženy v zákoně o korporacích (§
264, odst. 2), tj. jméno akcionáře, bydliště akcionáře a číslo bankovního účtu.
Přestane-li akcionář být akcionářem, společnost jej ze seznamu akcionářů bez
zbytečného odkazu vymaže.
Pokud jde o výpisy či opisy ze seznamu akcionářů a jejich poskytování
akcionářům nebo jiným osobám dle zákona o korporacích (§ 266), platí zde
pravidlo, že číslo bankovního účtu zapsané v tomto seznamu poskytne
společnost pouze na základě souhlasu akcionáře s takovým použitím tohoto jeho
osobního údaje. Použití výpisu ze seznamu akcionářů akcionářem nebo jinou
osobou není zpracováním osobních údajů a nepodléhá Nařízení.
Pokud jde o akcie na jméno, zde zákon o korporacích stanoví požadavek
jednoznačné identifikace akcionáře povinné osobní údaje akcionářů (§ 259 odst.
1) jméno akcionáře a rodné číslo (jako jiný nezaměnitelný údaj identifikující
akcionáře).
Obdobné osobní údaje jako seznam akcionářů je zákonem o korporacích
požadován i v listině přítomných akcionářů na valné hromadě (§ 413).
7
5. Evidence OÚ u obchodních i neobchodních vztahů
V rámci běžné činnosti zemědělských závodů dochází k uzavírání písemných
smluvních vztahů včetně těch, kde druhou smluvní stranou jsou fyzické osoby
(nepodnikatelé) a k vedení souvisejících evidencí smluv.
Smlouvy používané ve společnosti jsou uvedeny v Příloze č.4 této směrnice.
Evidence nájemních smluv (pachtu) probíhá prostřednictvím softwaru a
v listinné podobě, ostatní smlouvy jsou evidovány pouze v listinné podobě.
Pro identifikaci osob v takových evidencích a listinách (nově pořízených) pak
dostačuje dle § 3019 občanského zákoníku (identifikace člověka pro
občanskoprávní vztahy, tj. jméno a příjmení, datum narození a bydliště).
Pro identifikaci osoby v návrzích na vklad do katastru nemovitostí (KN) je
potřebné rodné číslo a správce jej od subjektu osobních údajů může vyžadovat,
pokud se zavázal návrh na vklad práva zpracovat (podat). Rodné číslo pak zůstává
správci na kopii návrhu na vklad jako dokladu o zahájení správního řízení (po
dobu uchování vlastní smlouvy).
Právními důvody zpracování OÚ je plnění smlouvy (nájemní či pachtovní). Dalším
právním důvodem může být, že zpracování je nezbytné pro účely oprávněných
zájmů příslušného správce, konkrétně zpracování nezbytné pro určení, výkon
nebo obhajobu právních nároků, nebo při jednání soudů (např. spory), případně
povinnosti daňového poplatníka. Právním důvodem může být také souhlas
subjektu OÚ jako smluvní strany ke zpracování OÚ nad rámec důvodu plnění
smlouvy.
Zpracované OÚ budou uchovávány pouze po dobu existence smluvního vztahu a
poté po dobu existence posledního právního důvodu zpracování na straně
správce.
6. Zpracovatelé, smluvní partneři mající přístup k OÚ
Zpracovatelé
Správce přibírá ke zpracování OÚ jiné subjekty, které pro něj OÚ zpracovávají.
Děje se tak na základě uzavřené písemné smlouvy/dodatku/všeobecných
obchodních podmínek o zpracování osobních údajů, v níž bude stanoven
předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů
8
a kategorie subjektu údajů, povinnosti a práva správce. Smlouva bude zaručovat
okolnosti zpracování určené Nařízením.
Smluvní partneři
Správce umožňuje na základě uzavřených smluv provádět smluvním stranám
nezbytné servisní zásahy v rámci aktualizací poskytovaného softwaru,
poradenství v souvislosti s obsluhou softwaru a dále v rámci technologického
zajištění (např. kamerové systémy, navigace GPS (monitorovací systém),
webhosting, IT zajištění správy serveru apod.).
V těchto případech jsou přístupy k OÚ definovány v uzavřených obchodních
smlouvách event. dodatcích. Veškeré takto uzavřené smlouvy jsou v kopiích
uloženy v Příloze.
Mezi další smluvní strany mající možnost styku s OÚ subjektu patří externí služby
pro bezpečnost a ochranu zdraví při práci, externí školení, služby pracovnělékařské a další činnosti definované taktéž Přílohou č.9.
Kopie uzavřených obchodních smluv tvoří Přílohu č. 9 této směrnice.
7. Porušení zabezpečení osobních údajů, ohlašovací povinnost a
informační povinnost
Za porušení zabezpečení OÚ se považuje porušení zabezpečení, které vede
k náhodnému protiprávnímu zničení, ztrátě, změně nebo neoprávněnému
poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak
zpracovávaných osobních údajů.
Porušením zabezpečení je také porušení důvěrnosti OÚ (neautorizované či
náhodné prozrazení), porušení jejich dostupnosti (náhodná či neautorizovaná
(neplánovaná) trvalá ztráta přístupu k OÚ) nebo cílená krádež.
Dojde-li k porušení zabezpečení OÚ (bezpečnostní incident), správce zváží, zdali nejde o okolnost, kterou je nutné ohlásit dozorovému úřadu, resp. oznámit
subjektu údajů.
Reakci správce na porušení zabezpečení bude vždy přijetí adekvátních
bezpečnostních opatření (např. pseudonymizace OÚ nebo šifrování OÚ).
9
Ohlašovací povinnost správce nastane tehdy, pokud porušení zabezpečení
představuje riziko, resp. vysoké riziko pro práva a svobody fyzických osob.
Pokud dojde k porušení zabezpečení OÚ, musí správce toto porušení bez
zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm
dozvěděl, ohlásit dozorovému úřadu, ledaže je nepravděpodobné, že by toto
porušení mělo za následek riziko pro práva a svobody fyzických osob.
V případě, že porušení zabezpečení představuje vysoké riziko pro práva a
svobody subjektu údajů, vzniká správci povinnost zpravit o této události subjekt
údajů.
Informační povinnost
V rámci běžné činnosti zemědělských závodů dochází k plnění celé řady
informačních povinností (povinností poskytovat OÚ zejména zaměstnanců ale i
jiných osob) vyplývajících z veřejnoprávních předpisů.
Pro identifikaci osob v takových evidencích a listinách (nově pořizovaných) pak
jsou použity údaje požadované oprávněným státním či obdobným orgánem,
který podání informace požaduje.
Oprávněnými státními či obdobnými orgány jsou zejména soudy, státní
zastupitelství, správní orgány, policie, exekutoři, notáři nebo bezpečnostní
informační služba.
Zpracovávané OÚ (jejich nosiče a evidence) budou uchovávány po dobu
nezbytnou pro prokázání řádného splnění informační povinnosti na straně
správce (u zaměstnanců nejméně po dobu trvání pracovněprávního vztahu).
Zákon o rozpočtových pravidlech a o změně některých souvisejících zákonů
(rozpočtová pravidla) č. 218/2000 Sb. požaduje v § 14, aby žadatel (právnická
osoba – správce) o poskytnutí dotace nebo návratné finanční výpomoci uvedl
povinně ve své žádosti informaci o identifikaci osob s podílem v této právnické
osobě. Jde o poskytnutí informací v rozsahu určeném tímto zákonem a
minimálně v rozsahu zákona o obchodních korporacích a družstvech, případně
v obchodním rejstříku.
10
8. Analýza rizik zpracování, technická a organizační opatření
Analýzy rizik
Rizika nakládání s OÚ jsou různě pravděpodobná a závažná. Jde o rizika pro práva
a svobody fyzických osob, která mohou vyplynout ze zpracování OÚ a mohou
vést k fyzické, hmotné nebo nehmotné újmě, zejména diskriminaci, krádeži či
zneužití identity, finanční ztrátě, poškození pověsti, ztrátě důvěrnosti OÚ
chráněných služebním tajemstvím, neoprávněnému zrušení pseudonymizace
nebo k jakémukoliv jinému významnému hospodářskému či společenskému
znevýhodnění subjektu OÚ.
Riziky zpracování OÚ jsou náhodné nebo protiprávní zničení, ztráta, pozměnění,
neoprávněné zpřístupnění nebo zpřístupnění předaných, uložených nebo jiným
způsobem zpracovaných OÚ.
Stupně rizikovosti zpracování jsou definovány jako žádné riziko, riziko a vysoké
riziko.
Výstupem analýzy rizika zpracování je zjištění rizika souvisejícího se zpracováním,
posouzení rizika z hlediska původu a povahy rizika, pravděpodobnosti,
závažnosti a stanovení osvědčených postupů ke snížení rizika včetně jejich
následného přijetí.
Praktickým výsledkem analýzy rizika je zpracování pokynů pro zavádění
vhodných technických a organizačních opatření a pro prokázání souladu
zpracování.
Technická a organizační opatření
Účelem je zejména vymezení chráněných OÚ a jejich použití, určení bezpečného
umístění OÚ na listinných nosičích nebo v elektronické podobě, určení
počítačové a síťové bezpečnosti včetně kontroly stavu a stanovení opatření,
úprava přístupových práv uživatelů k OÚ, úprava práv osob seznámit se s OÚ a
práva pracovat s nimi podle své pracovní či řídící pozice ve společnosti, úprava
logování a profilů uživatelů, určení objektové bezpečnosti, stanovení základních
pravidel bezpečnostního chování uživatelů, úprava a realizace mlčenlivosti
zaměstnanců, úprava postupu vyřizování žádostí nositelů OÚ, úprava postupu
pro případ zjištěného porušení zabezpečení ochrany OÚ a úprava pravidel
likvidace OÚ.
11
1. Objektová bezpečnost představuje technickou ochranu objektů
v obvodové ochraně objektu (oplocení), plášťové ochraně (okna, dveře,
mříže), prostorové ochraně uvnitř objektu (zabezpečovací zařízení, mříže),
předmětové ochraně – zabezpečení úložišť dokumentů a dat (trezory,
bezpečnostní skříně), poplachové zabezpečovací a tísňové systémy
(alarmy, čidla), kamerové systémy se záznamem i bez něj, přístupové
systém (vstupy do areálů), protipožární ochrana, fyzická ostraha a
dodržování pravidel pro přístup do míst úložišť dokumentů a dat
(zamykání, klíče, přítomnost osob).
2. Interní organizační opatření – opatření přijímané správcem za účelem
zajištění souladu zpracování s Nařízením po organizační stránce – příprava
interní úpravy práce s OÚ – předpis, určení odpovědných osob u dílčích
agend, kde se OÚ zpracovávají a jedné osoby odpovědné za implementaci
Nařízení pro celou firmu, pracovněprávní úprava odpovědnosti
zaměstnanců za dodržování Nařízení, instruování a proškolení
odpovědných zaměstnanců, informování všech zaměstnanců o Nařízení a
jeho implementaci, realizace politiky a pravidel v praxi firmy, úprava
přístupu do míst, kde jsou OÚ uloženy (pravidla přístupu, soustavná
kontrola zpracování OÚ a dodržování technických a organizačních opatření
včetně proškolování odpovědných zaměstnanců).
3. Mlčenlivost – vnitropodniková úprava – odpovědní zaměstnanci podílející
se na zpracování OÚ, a to jak při technickém zpracování listin s OÚ, při práci
s OÚ a jejich použití, při vedení spisové služby a při archivaci dokumentace.
Součásti zajištění mlčenlivosti je poučení o mlčenlivosti, tj. proškolení
odpovědných zaměstnanců a založení závazku mlčenlivosti (mlčenlivost
jako pracovní povinnost). Také je zajištěna mlčenlivost jiných osob, které
se s OÚ seznámili, jako jsou členové orgánů správců.
4. Práce s listinnými dokumenty podniku – organizace spisové služby
Nastavení organizace spisové služby (stanovení pravidel organizace
odesílání a přijímání pošty /dokumentů s OÚ/, znemožnění seznámení
nepovolených osob s dokumenty s OÚ, postupy ukládání dokumentů s OÚ
a jejich evidence, fyzické uložení dokumentů s OÚ, evidence dokumentů a
jejich používání a likvidace konceptů listin s OÚ.
12
5. Práce s elektronickými dokumenty podniku – organizace spisové služby
Zahrnuje organizaci spisové elektronické služby (organizace práce s el.
dokumenty, organizace odesílání a přijímání dokumentů s OÚ – emaily a
datové zprávy, stanovení oběhu el. dokumentů s OÚ v rámci podnikové
informačního systému, záznamy o činnosti zpracování el. dokumentů s OÚ,
znemožnění seznámení nepovolených osob s dokumenty s OÚ, ukládání el.
dokumentů s OÚ a pravidla likvidace el. dokumentů s OÚ.
6. Externí organizační opatření
Opatření vně závodu přijímané správcem za účelem zajištění souladu
zpracování s Nařízením po organizační stránce, např. příprava a podepsání
smluvních doložek o ochraně OÚ ve smlouvách (pracovně-lékařské služby,
BOZP včetně šetření pracovních úrazů, IT služby, služby elektronických
komunikací, bezpečnostní služby, atd.).
7. Likvidace osobních údajů, archivace a skartace
Likvidace zpracovávaných OÚ je prováděna vždy po zániku (bez zbytečného
odkladu) oprávnění ke zpracování OÚ.
Důvody likvidace jsou:
– OÚ již nejsou potřebné pro účely, pro které byly shromážděny nebo
jinak zpracovávány
– subjekt údajů odvolal svůj souhlas se zpracováním OÚ
– subjekt údajů vznesl námitku proti zpracování OÚ, které se jej týkají
– z jiných důvodů zpracování OÚ, které jsou v rozporu s Nařízením.
Součástí opatření implementace Nařízení je přijetí archivačního plánu.
Archivací je třídění listin na archiválie (k uložení do státního archivu) a na
dokumenty k likvidaci (skartační lhůty dle zákona).
Způsoby likvidace OÚ jsou:
a) výmaz údajů z datových nosičů (disků v PC, serverů, úložišť dat, přenosných
discích, flash disků)
b) zničení datových nosičů (CD, CDR, DVD, diskety)
c) nevratná skartace listinných nosičů
d) vymazání odkazů (internet)
O archivaci a likvidaci jsou vedeny protokoly.
13
Pravidelné záznamy – průběžná kontrolní činnost – viz samostatná příloha č.
4 – zahrnuje aktualizace znalostí o aplikaci Nařízení a o dále přijímaných
prováděcích předpisech a doporučeních, aktualizace technických a
organizačních opatření, aktualizace vnitřní dokumentace k Nařízení, průběžné
proškolování odpovědných zaměstnanců a průběžné informování
zaměstnanců a subjektů OÚ o aktuálních změnách.
V Lošticích dne 24.5.2018