GDPR

Směrnice o ochraně osobních údajů

Datum poslední změny směrnice: čtvrtek 5. dubna 2018

I. Úvodní ustanovení

Tato směrnice nastavuje principy ochrany získaných osobních údajů.

Zdeněk Hemala – Auto Hemala se touto směrnicí zavazuje dodržovat obecnou ochranu osobních údajů platnou od 25. 5. 2018, dle nařízení Evropské komise 679 / 2016, tzv. GDPR (dále jen GDPR) a vnitrostátních právních předpisů s ním souvisejících.

Dále se Zdeněk Hemala – Auto Hemala zavazuje provádět takové kroky, aby byla stále v souladu s GDPR a vnitrostátními předpisy s ním souvisejícími.

II. Definice pojmů

Subjekt údajů – je fyzická osoba, k níž se osobní údaje vztahují. tato osoba je identifikovaná nebo na základě údajů (např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby) identifikovatelná.

Osobní údaj – je jakýkoliv údaj sloužící k jednoznačné identifikaci konkrétní fyzické osoby.

Citlivý údaj – je zvláštní kategorie osobního údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických názorech, členství v odborech, náboženství a filozofickém přesvědčení, biometrických a genetických informacích, zdravotním stavu a sexuálním životě subjektu údajů.

Správce – je subjekt (podnikající fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt), který určuje účely a prostředky zpracování osobních údajů, získává a dále zpracovává osobní údaje fyzických osob a odpovídá za zpracování. Zpracováním může pověřit Zpracovatele, pokud tak stanoví zákon.

Zpracovatel – je jiný subjekt odlišný od Správce, který zpracovává osobní údaje fyzických osob pro Správce na základě předem sjednaného účelu, činí tak na základě zákona nebo pověření Správcem.

Příjemce – je fyzická nebo právnická osoba nebo jiný subjekt, která přijímá poskytnuté osobní údaje pro předem sjednaný účel, tyto údaje dále nijak nezpracovává. Orgán veřejné moci, který získává osobní údaje v rámci svých vyšetřovacích pravomocí, není považován za příjemce, jeho postup při zpracování však musí být v souladu s platnými pravidly pro ochranu osobních údajů podle účelu zpracování.

Umístění – je fyzické úložiště, kde jsou uložena osobní data (např. šanon, skříň, rack)

Právní titul – je právní základ, vyjmenovaný v GDPR, na základě kterého fyzická nebo právnická osoba, orgán veřejné moci nebo jiný subjekt eviduje osobní údaje.

Účel zpracování – je zdůvodnění, proč jsou osobní údaje vyžadovány a že budou využívány jen a pouze k takto definovanému účelu.

Doba zpracování – je doba, po kterou evidujeme konkrétní osobní údaje, tato doba má být přiměřená, pokud není stanovena zákonem.

Minimalizace osobních údajů – je proces, který vede k tomu, aby správce požadoval pouze takové osobní údaje, které jsou nezbytné pro výkon jeho činnosti.

Omezení zpracování – je vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat.

Likvidace osobních údajů – je nenávratné zničení osobních údajů

III. Práva a povinnosti

  1. Naše organizace nejmenovala pověřence na ochranu osobních údajů.
  1. Právo pracovat s osobními údaji mají pouze pověření pracovníci Zdeněk Hemala – Auto Hemala
  1. Pověřenými pracovníky jsou: Majitel, Účetní, Prodejce Pohořelice, Prodejce Znojmo, Přijímací technik Pohořelice, Přijímací technik Znojmo, Asistent Pohořelice, Asistent Znojmo
  1. Pověření pracovníci se zavazují, že budou dodržovat zásady ochrany osobních údajů a těmi jsou:
    1. Informovat subjekt údajů o jeho právech a povinnostech správce
    2. Informovat subjekt údajů o stanoveném právní titulu, účelu zpracování a době zpracování jeho osobních údajů
    3. Požadovat pouze takové osobní údaje, které jsou nutné pro výkon jejich činnosti
    4. Evidovat osobní údaje pouze na určených dokumentech a v určených systémech
    5. Nepředávat žádné osobní údaje neoprávněným osobám
  1. Společnost se zavazuje nakládat s osobními údaji pouze ve vhodně zabezpečených budovách a místnostech.
Vhodně zabezpečenými budovami a místnostmi jsou:
  • 01 – Pohořelice s místnostmi 01-1 Kancelář účetní Pohořelice, 01-2 Kancelář prodejce Pohořelice, 01-3 Kancelář servisu Pohořelice, 01-4 Archív dokumentů v 2.NP, 01-5 Showroom Pohořelice
    • 02 – Znojmo s místnostmi 02-1 Kancelář účetní Znojmo, 02-2 Kancelář prodejce Znojmo, 02-3 Kancelář servisu Znojmo, 02-4 Showroom Znojmo
    1. Při opuštění místnosti, kde se nachází osobní údaje, je pověřený pracovník povinen zabezpečit jednotlivá umístění a místnost proti vniknutí neoprávněných osob.
    1. Tištěné dokumenty a IT zařízení, které obsahují osobní údaje a s nimiž se aktuálně nepracuje musí pověření pracovníci ukládat do k tomu určených úložišť.
      Těmito úložišti jsou:
    1. Každé IT zařízení, na kterém se pracuje s osobními údaji musí být vhodně zabezpečeno, a to minimálně dostatečně zabezpečeno nebo fyzicky i elektronicky zabezpečeno, aby nedocházelo k úniku dat.
    Vhodně zabezpečenými IT zařízeními jsou: Stolní počítač 01-SP01 účetní, Stolní počítač 01-SP02 recepce Pohořelice, Stolní počítač 01-SP03 příjem Pohořelice, Stolní počítač 01-SP04 servis Pohořelice, Notebook (Přenosný počítač) 01-NB prodejce Pohořelice, Notebook (Přenosný počítač) 02-NB prodejce Znojmo, Stolní počítač 02-SP01 recepce Znojmo, Stolní počítač 02-SP02 servis Znojmo, Mobilní zařízení (Tablet, telefon a jiné) 01-MT01- telefon majitel , Mobilní zařízení (Tablet, telefon a jiné) 01-MT02- telefon účetní, Mobilní zařízení (Tablet, telefon a jiné) 01-MT03- telefon servis Pohořelice, Mobilní zařízení (Tablet, telefon a jiné) 01-MT04- telefon asistentka Pohořelice, Mobilní zařízení (Tablet, telefon a jiné) 01-MT05- telefon prodejce Pohořelice, Mobilní zařízení (Tablet, telefon a jiné) 02-MT01 telefon servis Znojmo, Mobilní zařízení (Tablet, telefon a jiné) 02-MT02 telefon asistentka Znojmo, Mobilní zařízení (Tablet, telefon a jiné) 02-MT03- telefon prodejce Znojmo, Mobilní zařízení (Tablet, telefon a jiné) 01-TB01 – docházka Pohořelice, Mobilní zařízení (Tablet, telefon a jiné) 02-TB01 docházka Znojmo, Mobilní zařízení (Tablet, telefon a jiné) 01-TB01- wiAdvisor Pohořelice, Mobilní zařízení (Tablet, telefon a jiné) 02-TB02- wiAdvisor Znojmo.
    1. Při opuštění pracoviště je pověřený pracovník povinen zabezpečit IT zařízení, a to uzamčením obrazovky s následným vyžadováním hesla, případně též vypnutím daného zařízení.
    1. Data s osobními údaji se Zdeněk Hemala – Auto Hemala zavazuje pravidelně zálohovat. Zdeněk Hemala – Auto Hemala zálohuje data pravidelně na následující zálohovací zařízení: Záloha účetnictví
    1. Zdeněk Hemala – Auto Hemala provozuje webové stránky http://www.auto-hemala.cz/, http://moto.auto-hemala.cz/, http://eshop.auto-hemala.cz, http://fiat.auto-hemala.cz/, http://fiatprofessional.auto-hemala.cz/ na které se zavazuje vložit informaci o zpracování cookies, zásady zpracování osobních údajů na webových stránkách a právech subjektu údajů, případně opatřit ta místa, kde dochází ke sběru osobních údajů informativní povinností.
    1. Zdeněk Hemala – Auto Hemala se zavazuje opatřit každý dokument a formulář, na kterém zahajuje zpracování osobních údajů fyzické osoby doplnit informativním dodatkem o zpracování osobních údajů s odkazem na plné znění Zásad zpracování osobních údajů.
    1. Zdeněk Hemala – Auto Hemala provozuje následující informační systémy, ve kterých eviduje osobní údaje. SB KOMPLET, ProCom – Mzdy. Všechny tyto informační systémy musí být zabezpečeny přístupovými právy a vhodně zabezpečeny proti neoprávněnému zneužití a přístupu.
    1. Veškeré informační systémy musí být zálohovány a zálohy musí být uloženy na zabezpečených místech.
    1. Každý dokument obsahující osobní údaje musí mít určen právní titul, účel zpracování a dobu zpracování. Zdeněk Hemala – Auto Hemala eviduje osobní údaje na základě následujících právních titulů: Plnění smlouvy, Zákonná povinnost, Oprávněný zájem.
    1. Zdeněk Hemala – Auto Hemala pracuje pro svou činnost s následujícími osobními údaji: 17 číslo OP, 10 jméno a přijmení, 31 číslo pojistné smlouvy, 50 jméno a přijmení, 52 rodné číslo, 20 IČO, 12 korespondenční adresa, 14 telefonní číslo, 18 číslo ŘP, 51 plná adresa, 11 plná adresa, 30 číslo úvěrové/leasingové smlouvy, 53 datum narození, 21 DIČ, 16 rodné číslo, 13 bankovní účet, 15 email, 54 zdravotní stav, 55 personální údaje, 56 doba zaměstnání, 57 údaje o dětech, 58 číslo OP, 59 bankovní účet, 60 telefonní kontakt, 61 email.
    1. Zdeněk Hemala – Auto Hemala může předávat osobní údaje svým smluvním partnerům (zpracovatelům). Těmito zpracovateli jsou: FIAT CHRYSLER AUTOMOBILES ČR s.r.o., Faber moto s.r.o., Cebia, spol. s r.o., Kooperativa pojišťovna, a.s., Vienna Insurance Group, Česká pojišťovna a.s., Česká podnikatelská pojišťovna, a.s., Vienna Insurance Group, Global Expert, s.r.o., ELIT CZ, spol. s r.o., ARVAL CZ s.r.o., ALD Automotive s.r.o., LeasePlan Česká republika, s.r.o., ČSOB Leasing, a.s., UniCredit Fleet Management, s.r.o., UniCredit Leasing CZ, a.s., UniCredit pojišťovací makléřská spol. s r.o., Raiffeisen – Leasing, s.r.o., AXA Management Services s.r.o., MOTORTEC spol. s r.o., Allianz pojišťovna, a.s., Direct pojišťovna, a.s., Slavia pojišťovna a.s., UNIQA pojišťovna, a.s., Generali Pojišťovna a.s., ČSOB Pojišťovna, a. s., člen holdingu ČSOB, Česká správa sociálního zabezpečení, Pojišťovna VZP, a.s., Oborová zdravotní pojišťovna zaměstnanců bank, pojišťoven a stavebnictví, Vojenská zdravotní pojišťovna České republiky, Zdravotní pojišťovna ministerstva vnitra České republiky, Česká průmyslová zdravotní pojišťovna, Finanční úřad pro Jihomoravský kraj. Takto předávané osobní údaje jsou definované v rozsahu záznamů o zpracování osobních údajů.
    1. Organizace je povinna sjednat s těmito zpracovateli dodatek ke smlouvě, případně smlouvu o nakládání s předávanými osobními údaji ve smyslu ochrany osobních údajů a provádět případnou kontrolu dodržování zásad ochrany osobních údajů u těchto zpracovatelů.
    1. Zdeněk Hemala – Auto Hemala může předávat osobní údaje také příjemcům. Těmito příjemci jsou: PPL CZ s.r.o., Česká pošta, s.p.. Takto předávané osobní údaje jsou definované v rozsahu záznamů o zpracování osobních údajů.
    1. Jako bezpečnou formu předávání osobních údajů Zdeněk Hemala – Auto Hemala zvolila následující možnosti: Předaní probíhá v místě organizace, Soukromý e-mail, Pracovní e-mail, Datová schránka, Dopis, Doporučený dopis.
    1. Zdeněk Hemala – Auto Hemala se zavazuje po uplynutí doby zpracování osobních údajů provést likvidaci osobních údajů.
    1. Zdeněk Hemala – Auto Hemala se zavazuje provádět pravidelná školení pověřených pracovníků, alespoň 1x ročně.
    1. Zdeněk Hemala – Auto Hemala se zavazuje provádět kontrolu dodržování pravidel ochrany osobních údajů, alespoň 1x ročně, reagovat na zjištění a hrozby, provádět optimalizaci procesu zpracování, uchování a zabezpečení osobních údajů a zaznamenávat změny.
    1. Zdeněk Hemala – Auto Hemala se zavazuje vést evidenci o požadavcích na výmaz, opravu a o námitkách proti zpracování. Dále se zavazuje vést evidenci písemností týkajících se reakcí a odpovědí na zpracování osobních údajů fyzických osob.
    1. Zdeněk Hemala – Auto Hemala se zavazuje vést evidenci bezpečnostních incidentů a nápravných opatření. V případě, že by mělo dojít, případně dojde k vážnému bezpečnostnímu incidentu, uvědomí každý zaměstnanec, který zjistí takovou skutečnost odpovědnou osobu organizace, která má na starosti ochranu osobních údajů v organizaci.
    1. Organizace je v případě zjištění závažného bezpečnostního incidentu povinna hlásit každý takový bezpečnostní incident dozorovému orgánu nejpozději do 72 hodin od takového zjištění.
    1. Každý subjekt údajů, fyzická osoba, má právo na informaci o evidovaných osobních údajích k jeho osobě. Pokud taková osoba využije svého práva, postoupí se tato žádost odpovědné osobě, která zajistí informativní povinnost nejpozději do 30 dnů. Zdeněk Hemala – Auto Hemala bude přihlížet k přiměřenosti a četnosti takových žádostí od stejného žadatele. O této skutečnosti se provede záznam, s udáním data žádosti, jména žadatele, popisu řešení a s uchováním následné přílohy kopie odpovědního dopisu žadateli pro další průkaznost.
    1. Subjekt údajů má právo na opravu evidovaných osobních údajů ke své osobě. Pokud dojde k požadavku na opravu, bude taková oprava provedena s přihlédnutím k dalším okolnostem a možnostem. O této skutečnosti se provede průkazný záznam.
    1. Subjekt údajů má právo na výmaz evidovaných osobních údajů, které byly uděleny souhlasem nebo výslovným souhlasem, případně těm, kterým vypršela doba pro zpracování, případně, pokud organizace uzná, že je již není třeba dále zpracovávat. O této žádosti a případném výmazu osobního údaje se provede průkazný záznam, s udáním data žádosti, jména žadatele, popisu řešení a zajištěním, že požadovaný údaj bude skutečně vymazán pro budoucí zpracování ze všech aktivních systémů.
    1. Subjekt údajů má právo na námitku ke zpracování osobních údajů. Pokud námitku podá, je Zdeněk Hemala – Auto Hemala povinen provést úkony nebo zavést opatření k omezení zpracování takových osobních údajů. O této skutečnosti bude proveden průkazný záznam s datumem žádosti, jménem žadatele a popisem řešení pro případnou kontrolu.

    IV. Sankce

    1. Každému smluvnímu partnerovi nebo subjektu v obdobném právním vztahu, který poruší tuto směrnici, bude jednorázově uložena sankce ve výši 10 000,- Kč.
    2. Každému smluvnímu partnerovi nebo subjektu v obdobném právním vztahu, který opakovaně, či zvlášť významným způsobem poruší tuto směrnici bude uložena pokuta ve výši až 50 000,- Kč.
    3. Vůči každému zaměstnanci, který poruší tuto směrnici, bude zaměstnavatelem vymáhána náhrada škody, kterou tím zaměstnavateli způsobil, a to za každý jednotlivý případ a to až do výše 4,5 násobku průměrného platu.