Ochrana osobních údajů
Vnitřní předpis o ochraně osobních údajů obchodních partnerů, zákazníků a zaměstnanců
Společnost BURKOŇ s.r.o., IČ: 259 34 945, se sídlem Dašická 347, Chrudim IV, 537 01 Chrudim, zapsaná v obchodním rejstříku vedeném Krajským soudem v Hradci Králové, oddíl C, vložka 15733 (dále jen „Společnost“) stanoví v souladu s Nařízením Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) a dalších právních předpisů vztahujících se k ochraně osobních údajů tato pravidla týkající se zpracovávání a ochrany osobních údajů obchodních partnerů a zákazníků Společnosti (dále jen „vnitřní předpis“ nebo „předpis“).
Tento předpis jsou povinni dodržovat všichni zaměstnanci, kteří jsou u zaměstnavatele v pracovněprávním nebo obdobném vztahu a další třetí osoby, které mají přístup k osobním údajům obchodních partnerů či klientů Společnosti, případně zaměstnanců Společnosti.
1. Úvodní ustanovení
1.1 Tento vnitřní předpis stanoví klíčová pravidla pro zpracování a ochranu osobních údajů fyzických osob - obchodních partnerů, zákazníků a zaměstnanců Společnosti v rámci činnosti Společnosti v souladu s ustanoveními Nařízení Evropského Parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení o ochraně osobních údajů“) a dalších platných právních předpisů vztahujících se k ochraně osobních údajů.
1.2 Oprávněné osoby mající přístup k osobním údajům klientů, obchodních partnerů Společnosti a zaměstnanců Společnosti jsou povinni dodržovat tento předpis, a to s přihlédnutím k platným právním předpisům, a to jak v interních vztazích a postupech ve Společnosti, tak v externích vztazích vůči třetím osobám.
1.3 Společnost vyvíjí kroky k ochraně osobních údajů subjektů v maximální možné míře.
2. Účel
2.1 Účelem toho vnitřního předpisu je upravit zpracování a ochranu osobních údajů obchodních partnerů, zákazníků a zaměstnanců Společnosti (dále jen „subjekt“), stanovit zejména jaké osobní údaje Společnost zpracovává, kdo k nim má přístup, jak jsou osobní údaje zabezpečeny a chráněny, na základě jakých důvodů jsou zpracovávány, jaká práva má subjekt osobních údajů a po jakou dobu se osobní údaje uchovávají.
3. Oprávněné osoby
3.1 K osobním údajům zaměstnanců Společnosti mají přístup pouze osoby ve vedení Společnosti.
3.2 K osobním údajům obchodních partnerů a zákazníků Společnosti mají přístup osoby ve vedení Společnosti a dále určení zaměstnanci – obchodní asistentky.
3.3 Odpovědnou osobou za zpracování osobních údajů subjektů je Ing. Milena Burkoňová, jednatelka Společnosti.
3.4 Kontaktní osobou ve věci zpracování osobních údajů je Ing. Milena Burkoňová, jednatelka Společnosti (dále jen „kontaktní osoba“).
4. Pojmy
4.1 Osobním údajem se rozumí veškeré informace o subjektu, na základě kterých může být tato osoba identifikována, jako např. jméno, příjmení, datum narození, kontaktní údaje apod. („osobní údaje“).
4.2 Údaje o zdravotním stavu jsou takové osobní údaje, které vypovídají o zdravotním stavu subjektu jako zaměstnance, a to jak fyzickém, tak psychickém, včetně údajů o poskytnutí zdravotních služeb („údaje o zdravotním stavu“).
4.3 Zpracováváním osobních údajů se rozumí jakákoliv operace s osobními údaji, zejména jejich shromáždění, zaznamenání, uspořádání, vyhledání, jejich výmaz, zničení apod. („zpracovávání osobních údajů“).
4.4 Správcem osobních údajů je ten, kdo určuje účel a prostředky zpracování osobních údajů, provádí jejich zpracování a odpovídá za něj, tedy Společnost („správce“).
4.5 Zaměstnancem se rozumí subjekt zpracování osobních údajů, tedy fyzická osoba, jejíž osobní údaje jsou zpracovávány, a která je v pracovním nebo obdobném poměru se zaměstnavatelem, tedy Společností („zaměstnanec“).
4.6 Obchodním partnerem Společnosti, jehož osobní údaje jsou chráněny dle toho předpisu se rozumí fyzické osoby, s nimiž Společnost obchoduje, uzavírá smlouvy či udržuje styk v rámci její podnikatelské činnosti, zejména členové statutárních orgánů právnických osob a fyzické osoby – podnikatelé („obchodní partner“).
4.7 Zákazníkem Společnosti se rozumí fyzické osoby – spotřebitelé, se kterými uzavírá Společnost smlouvy v rámci její obchodní činnosti („zákazník“).
(Zákazník, obchodní partner a zaměstnanec, dále společně rovněž jako „subjekt“, není-li třeba užít označení konkrétního z nich.)
5. Použití obecných zásad pro ochranu osobních údajů
5.1 Při zpracování osobních údajů subjektů dodržuje Společnost a zejména její oprávněné osoby následující pravidla, která jsou upřesněna tímto vnitřním předpisem:
- Zásada legitimity
Společnost je oprávněna zpracovávat osobní údaje subjektů, pokud tak činí v souladu s právními předpisy nebo proto, že je zpracování nezbytné pro plnění smlouvy, kterou Společnost se subjektem uzavřela či má v úmyslu uzavřít, případně pokud k tomu má jejich výslovný souhlas. - Zásada proporcionality
Při zpracování osobních údajů subjektů postupuje Společnost tak, aby byla dodržena zásada proporcionality (přiměřenosti). Způsob zpracování osobních údajů je proporcionální zejména tehdy, pokud daného účelu nelze dosáhnou jiným způsobem, čehož se Společnost vždy snaží docílit. - Zásada transparentnosti
Osobní údaje subjektů jsou zpracovávány nejtransparentnějším možným způsobem. Za tímto účelem Společnost sděluje zaměstnancům tímto předpisem, které jejich osobní údaje budou předmětem zpracování, jakým způsobem budou zpracovávány, zda budou předávány třetím osobám, a kdy budou záznamy o těchto údajích zničeny a rovněž poskytuje tyto informace i svým obchodním partnerům a zákazníkům v Podmínkách zpracování osobních údajů, které jsou k dispozici na www.strechyburkon.cz nebo v písemné podobě v sídle Společnosti. - Zásada integrity a důvěrnosti
Osobní údaje subjektů jsou zpracovávány způsobem, který zajišťuje náležité zabezpečení osobních údajů tak, aby nemohly být zneužity, neoprávněně zpracovány, náhodně ztraceny, zničeny či poškozeny. - Zásada omezeného uložení
Osobní údaje subjektů jsou uchovávány pouze po nezbytnou či zákonem stanovenou dobu, po jejím uplynutí musí být zničeny. - Zásada kvality údajů
Zaměstnavatel zpracovává osobní údaje bezchybné a kompletní, přičemž za tímto účelem provádí průběžnou aktualizaci osobních údajů subjektů.
6. Zpracovávání osobních údajů
6.1 Společnost přistupuje ke zpracovávání osobních údajů restriktivně a vždy zvažuje, zda není možné zpracování předejít zcela.
6.2 Veškeré zpracovávání osobních údajů subjektů může být prováděno pouze v souladu s tímto vnitřním předpisem a platnými právními předpisy.
6.3 Společnost zpracovává osobní údaje zákazníků a obchodních partnerů Společnosti zejména z těchto důvodů:
- zpracovávání je nezbytné pro splnění smlouvy mezi Společností a zákazníkem nebo obchodním partnerem, zejména v případě uzavírání obchodních smluv, či nabídky a její akceptace ze strany zákazníka nebo obchodního partnera Společnosti,
- zpracovávání je nezbytné pro splnění právních povinností Společnosti,
- zpracovávání je nezbytné pro účely oprávněných zájmů Společnosti,
- zpracování je nezbytné pro účely ochrany životně důležitých zájmů zákazníka nebo obchodního partnera Společnosti.
6.4 Společnost zpracovává osobní údaje zaměstnanců Společnosti zejména z těchto důvodů:
- zpracovávání je nezbytné pro splnění smlouvy mezi Společností jako zaměstnavatelem a zaměstnancem, zejména v případě uzavírání pracovních smluv, dohod o provedení prací konané mimo pracovněprávní poměr a jiných pracovněprávních dokumentů,
- zpracovávání je nezbytné pro splnění právních povinností zaměstnavatele, zejména v souvislosti s vyplácením mezd a obdobných plnění,
- zpracovávání je nezbytné pro účely oprávněných zájmů zaměstnavatele,
- zpracovávání je nezbytné pro ochranu životně důležitých zájmů zaměstnanců.
6.5 V případě, že dochází ke zpracovávání osobních údajů Společnosti za jiným účelem, než který je uveden v čl. 6.3 a 6.4 tohoto předpisu, je k takovému zpracovávání nezbytný výslovný souhlas subjektu.
6.5 Společnost jako zaměstnavatel zpracovává rovněž osobní údaje rodinných příslušníků zaměstnanců za daňovými účely a komunikací s orgány státní správy, s takovými osobními údaji Společnost nakládá obdobně jako s osobními údaji zaměstnanců, přičemž se jedná zejména o jméno, příjmení a datum narození rodinných příslušníků zaměstnance.
6.6 V případě, že dojde k úniku osobních údajů či takový únik hrozí, oznámí tuto skutečnost jednatel Společnosti do 72 hodin dozorovému úřadu dle platných právních předpisů.
7. Rozsah zpracovávání osobních údajů
7.1 Společnost zpracovává tyto osobní údaje obchodních partnerů a zákazníků Společnosti:
- identifikační údaje subjektu: jméno, příjmení, adresa trvalého i přechodného pobytu, telefonní číslo, e-mailová adresa.
7.2 Společnost zpracovává tyto osobní údaje zaměstnanců Společnosti:
- identifikační údaje zaměstnance: jméno, příjmení, datum a místo narození, rodné číslo, adresa trvalého i přechodného pobytu, státní příslušnost, národnost, číslo bankovního účtu, telefonní číslo, e-mailová adresa,
- identifikační údaje zákonného zástupce, pokud je zaměstnancem nezletilá osoba, tyto identifikační údaje jsou stejné jako identifikační údaje zaměstnance uvedené v čl. 7.2 odst. a) tohoto předpisu,
- údaje o zdravotním stavu zaměstnance pouze v takovém rozsahu, v jakém jsou mu sděleny lékařem zaměstnance, zejména mezinárodní čísla diagnóz a dobu léčení,
- údaje o pracovních úrazech a nemocech z povolání dle platných právních předpisů.
7.3 Společnost je oprávněna zpracovávat i jiné údaje o subjektech než uvedené v čl. 7.1 a v čl. 7.2 tohoto předpisu, zejména pokud tak vyžaduje jiný právní předpis či pokud s tím subjekt souhlasí.
7.4 Osobní údaje uvedené v čl. 7.1 písm. a) tohoto předpisu získává Společnost zejména z originálních písemností, ze smluv, či jsou Společnosti přímo sděleny zákazníkem nebo obchodním partnerem Společnosti.
7.5 Osobní údaje uvedené v čl. 7.1 písm. a) a b) tohoto předpisu získává Společnost zejména z originálních písemností, z pracovněprávních dokumentů, či jsou Společnosti jako zaměstnavateli přímo sděleny zaměstnancem. Tyto údaje zpracovává zaměstnavatel z důvodu, že jejich zpracování je nezbytné pro splnění zákonných povinností Společnosti jako zaměstnavatele.
7.6 Údaje o zdravotním stavu uvedené v čl. 7.2 písm. c) a d) tohoto předpisu získává Společnost z předložené zdravotní dokumentace zaměstnance, zejména z dokladů o pracovní neschopnosti zaměstnance, z posudků o zdravotní způsobilosti zaměstnance či protokolů o zdravotní prohlídce zaměstnance prováděné pro pracovní účely. Tyto údaje zpracovává Společnost jako zaměstnavatel v souladu s čl. 9 odst. 2 písm. h) GDPR.
8. Způsob zpracovávání a zabezpečení osobních údajů
8.1 Veškeré dokumenty a písemnosti, na nichž jsou uvedené osobní údaje subjektů, jsou uchovávány v prostorách Společnosti, k nimž nemají přístup třetí osoby.
8.2 K osobním údajům subjektů mají přístup pouze osoby dle čl. 3.1 a dle čl. 3.2 tohoto předpisu.
8.3 Společnost uchovává osobní údaje subjektů v elektronické i tištěné podobě.
8.4 Osobní údaje, které jsou uchovávány elektronicky, jsou chráněny proti přístupu třetích osob a případného zneužití přístupovými hesly. Obrazovka počítače se v případě nečinnosti automaticky zamyká po uplynutí 10 minut. Fyzické nosiče elektronických informací jsou chráněny před neoprávněným přístupem třetích osob a osobní údaje uložené na nosičích jsou chráněny rovněž antivirovou ochranou a systémem bezpečnostních kopií.
8.5 Osobní údaje zaměstnanců uchovávané v tištěné podobě jsou chráněny proti přístupu třetích osob a případnému zneužití tak, že k nim mají přístup jen osoby určené dle čl. 3.1 tohoto předpisu. Osobní údaje uchovávané v tištěné podobě jsou uloženy v šanonech v uzamykatelných skříních, do kterých je omezen přístup neoprávněným osobám.
8.6 Osobní údaje zákazníků a obchodních partnerů uchovávané v tištěné podobě jsou chráněny proti přístupu třetích osob a případnému zneužití tak, že k nim mají přístup jen osoby určené dle čl. 3.2 tohoto předpisu. Osobní údaje uchovávané v tištěné podobě jsou uloženy v uzamčeném archivu, do kterého je omezen přístup neoprávněným osobám.
8.7 V případě, že dojde k bezpečnostnímu incidentu, případně jsou osobní údaje subjektů ohroženy, je s příslušnými státními orgány oprávněn jednat jednatel Společnosti.
8.8 Zaměstnanci Společnosti nejsou oprávněni vytvářet si kopie či opisy osobních údajů subjektů, a to ani tištěných, tak osobních údajů uchovávaných v elektronické podobě, a jsou o nich povinni zachovávat mlčenlivost.
8.9 Zaměstnanci jsou povinni mít počítače, mobilní telefony a další elektronická zařízení užívaná k pracovní činnosti chráněny heslem, toto heslo alespoň jednou za šest měsíců měnit.
9. Souhlas zaměstnance se zpracováním osobních údajů
9.1 Společnost jako zaměstnavatel je oprávněna zpracovávat také osobní údaje na základě souhlasu zaměstnance.
9.2 Takto udělený souhlas zaměstnance se zpracováváním jeho osobních údajů musí být svobodný, informovaný, konkrétní a jednoznačný projev vůle, kterým zaměstnanec dává Společnosti jako zaměstnavateli prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Zaměstnanec má právo takto udělený souhlas kdykoliv odvolat.
9.3 Společnost jako zaměstnavatel tímto potvrzuje, že tento souhlas nebude od zaměstnance, jakkoliv vynucovat či podmiňovat nějakou případnou sankcí.
10. Práva subjektů
10.1 Subjektům zpracování osobních údajů náleží dle platné právní úpravy určitá práva, která jsou upravena tímto článkem předpisu.
10.2 Subjekt má právo na informace o tom, jaké osobní údaje a v jakém rozsahu Společnost zpracovává. Tyto informace může na vyžádání získat na emailové adrese: info@strechyburkon.cz.
10.3 Subjekt má právo na přístup k osobním údajům, které Společnost zpracovává. Toto právo může subjekt uplatnit na emailové adrese: info@strechyburkon.cz, kde bude subjektu na požádání vydán výpis z interní evidence osobních údajů subjektu a na požádání mu bude rovněž vydáno potvrzení, zda, jakým způsobem jsou jeho osobní údaje zpracovávány. Subjekt má rovněž právo na upřesnění informací z tohoto předpisu ve vztahu k jeho osobě.
10.4 Subjekt má právo podat stížnost u Úřadu pro ochranu osobních údajů proti zpracovávání osobních údajů Společností.
10.5 Subjekt má právo na opravu a doplnění chybných osobních údajů zpracovávaných Společností, toto právo uplatní subjekt tak, že upozorní kontaktní osobu, že jsou jeho osobní údaje chybné nebo neúplné. Tato bez zbytečného odkladu poté údaje buď opraví nebo doplní.
10.6 Subjekt má právo na to, aby byly jeho osobní údaje beze zbytku zničeny, toto právo uplatňuje subjekt u kontaktní osoby nebo na emailové adrese: info@strechyburkon.cz, pokud je dán alespoň jeden z těchto důvodů:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo zpracovávány,
- subjekt odvolá souhlas, na základě kterého byly osobní údaje zpracovávány,
- osobní údaje byly zpracovávány protiprávně,
- osobní údaje musí být vymazány za účelem splnění právní povinnosti vztahující se na Společnost.
10.7 Subjekt má právo na to, aby Společnost omezila zpracovávání osobních údajů, pokud:
- subjekt popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby mohla Společnost přesnost osobních údajů ověřit,
- zpracování je protiprávní a subjekt odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
- subjekt vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu,
- Společnost již osobní údaje nepotřebuje pro účely zpracování, ale subjekt je požaduje pro určení, výkon nebo obhajobu právních nároků.
11. Doba uchovávání osobních údajů subjektů
11.1 Společnost je v souladu s platnými právními předpisy oprávněna zpracovávat osobní údaje obchodních partnerů a zákazníků Společnosti uvedené v čl. 7.1 tohoto předpisu po dobu 10 let ode dne jejich poskytnutí Společnosti, v případě vystavení daňového dokladu s uvedením těchto osobních údajů pak po dobu 10 let od konce zdaňovacího období, ve kterém se plnění uskutečnilo. V případě uzavření smlouvy je Společnost oprávněna osobní údaje subjektu uložit a zpracovávat po dobu trvání předmětné smlouvy a dále po dobu dalších 10 let následujících po dni ukončení této smlouvy a splnění veškerých závazků, které z ní vyplývají. Při stanovení této lhůty vychází Společnost z maximální délky promlčecí doby pro případné uplatňování vzájemných práv Společnosti či subjektů vyplývajících z uzavřené smlouvy.
11.2 Po uplynutí doby uvedené v čl. 11.1 toho předpisu Společnost osobní údaje zákazníků a obchodních partnerů Společnosti beze zbytku zničí, ledaže je pro Společnost nezbytné jejich osobní údaje nadále zpracovávat, například za účelem ochrany oprávněných zájmů Společnosti či splnění právní povinnosti, která se na Společnost vztahuje.
11.3 Společnost jako zaměstnavatel je v souladu s platnými právními předpisy povinna uchovávat tyto dokumenty obsahující osobní údaje zaměstnanců:
- evidenční listy po dobu 3 let,
- záznamy o pojistném na sociálním zabezpečení a příspěvku na státní politiku zaměstnanosti po dobu 6 let,
- mzdové listy a účetní záznamy pro účely důchodového pojištění, např. doklady o vzniku, druhu nebo skončení pracovního poměru, záznamy o pracovních úrazech a nemocech z povolání, záznamy o evidenci pracovní doby apod. po dobu 30 let.
11.4 Společnost jako zaměstnavatel dále uchovává i po skončení pracovního nebo obdobného poměru dokumenty obsahující osobní údaje zaměstnanců za účelem ochrany práv a oprávněných zájmů zaměstnavatele, včetně dohody o hmotné odpovědnosti zaměstnance, a to po dobu 10 let od skončení pracovněprávního vztahu.
11.5 Osobní údaje, které Společnost jako zaměstnavatel zpracovává na základě souhlasu zaměstnance, uchovává dle doby uvedené v konkrétním souhlasu zaměstnance.
11.6 Po uplynutí lhůt uvedených v čl. 11.3 toho předpisu jsou osobní údaje zaměstnanců beze zbytku zničeny, a to jak údaje uchovávané elektronicky, tak v tištěné podobě, nedohodne-li se Společnost se zaměstnancem jinak z důvodu ochrany oprávněných zájmů zaměstnance.
12. Předávání osobních údajů subjektů třetím osobám
12.1 Společnost jako zaměstnavatel je povinna v souladu s platnými právními předpisy a za účelem naplnění svých zákonných povinností předávat osobní údaje zaměstnanců třetím osobám, zejména orgánům státní správy, veřejné moci apod.
12.2 Osobní údaje zákazníků a obchodních partnerů Společnosti nejsou předávány třetím osobám.
12.3 K osobním údajům subjektů může mít přístup třetí osoba napomáhající chodu Společnosti, a to externí IT společnost jako podpora Společnosti, se kterou je však Společnost smluvně zavázána smlouvou o ochraně osobních údajů či povinností mlčenlivosti. Tato třetí osoba je povinna chránit osobní údaje stejným způsobem jako Společnost.
13. Postup pro vyřizování stížností subjektů
13.1 Subjekt má právo podat stížnost u Společnosti, pokud jsou jeho osobní údaje zpracovávány v rozporu s tímto předpisem či platnými právními předpisy. Tuto stížnost podává subjekt e-mailem na info@strechyburkon.cz, případně písemně na adresu Společnosti.
13.2 O stížnosti rozhodne Společnost do 30 dnů a rozhodnutí zašle subjektu stejným způsobem, jakým žádost obdržela.
14. Závěrečná ustanovení
14.1 Společnost odpovídá za jakékoli porušení tohoto předpisu, ledaže by byl porušen svévolným jednáním jednotlivce, v tomto případě odpovídá konkrétní jednotlivec. Aby k takovému porušení nevedlo, seznámí Společnost s tímto předpisem všechny své zaměstnance a osoby mající přístup k osobním údajům subjektů.
14.2 Společnost jednou ročně provede interní kontrolu, zda je tento předpis dodržován, a případně jej aktualizuje dle nových postupů v jeho interní struktuře.
14.3 Společnost proškolí veškeré zaměstnance, jejichž náplň práce obsahuje zpracovávání osobních údajů, seznámí je s platnými právními předpisy, tímto i dalšími vnitřními předpisy týkajícími se ochrany osobních údajů. Pokud mají přístup k osobním údajům subjektů další osoby uvedené v čl. 3 tohoto předpisu, kteří nejsou zaměstnanci Společnosti, ani jednatelé Společnosti, seznámí je Společnost s tímto vnitřním předpisem a uzavře s nimi smlouvu o zpracování osobních údajů.
14.4 Zaměstnanci a oprávněné osoby uvedené v čl. 3 tohoto předpisu mají kdykoliv právo nahlížet do tohoto předpisu, který je k dispozici v sídle Společnosti.
14.5 Tento předpis nabývá účinnosti dnem 25. května 2018 a je platný do 24.května 2019 Po uplynutí této doby může být změněn, prodloužen nebo nahrazen novým předpisem.
V Chrudimi dne 24.5.2018
Ing. Milena Burkoňová
jednatelka společnosti
Nenašli jste?
Vážení zákazníci, nenašli jste hledanou informaci, pospícháte nebo si nevíte rady? Nezoufejte, jednoduše nás kontaktujte a společně Vám poradíme či pomůžeme s výběrem.