Zpracování a ochrana osobních údajů

Vnitřní směrnice společnosti ZM-TECH s. r. o. o zpracování a ochraně osobních údajů

 

Vnitřní směrnice o zpracování a ochraně osobních údajů řeší implementaci NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení o GDPR“) ve společnosti IVF Czech Republic s. r. o. (dále jen „Společnost“). Řeší tedy závazky Společnosti na poli GDPR, jednání a postavení Společnosti v roli správce osobních údajů.

1. SPRÁVCE A ZPRACOVATEL OSOBNÍCH ÚDAJŮ

Správcem osobních údajů je společnost ZM-TECH s. r. o., IČ 255 51 868, se sídlem Hlinky 48/122, 603 00 BRNO – PISÁRKY zapsaná u Krajského soudu v Brně pod spisovou značkou C 32858. Správce určuje, jak budou osobní údaje zpracovávány, za jakým účelem a po jak dlouhou dobu, pokud to nevyplývá z právních předpisů. Správce má právo vybírat případné další zpracovatele, kteří mu se zpracováním osobních údajů budou pomáhat.

Pověřenec pro ochranu osobních údajů

Dotazy a připomínky týkající se zpracování osobních údajů můžete zasílat písemně na uvedenou korespondenční adresu sídla Společnosti, nebo e-mailem na adrese Lenka.Brazdilova@ivfzlin.cz.

2. OSOBNÍ ÚDAJ

Jedná se o veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě (tj. osoba, kterou lze na základě souboru údajů přímo nebo nepřímo identifikovat). Osobní údaje mohou být slovní (např. jméno, rodné číslo, telefon), obrazové (např. fotografie) a síťové identifikátory (např. IP adresa, cookies).

3. SUBJEKT ÚDAJŮ

Subjektem údajů je fyzická osoba, jejíž osobní údaje Společnost zpracovává (uchazeči o zaměstnání, zaměstnanci, hoteloví hosté, dodavatelé a smluvní partneři).

4. ZÁSADY A PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ

Veškeré osobní údaje Společnost zpracovává v souladu s platnými a obecně závaznými právními předpisy České republiky a v souladu s Nařízením o GDPR.
Všichni zaměstnanci Společnosti jsou seznámeni s pravidly v oblasti ochrany dat, nakládání s daty a jejich zabezpečení. Jsou vázáni mlčenlivostí a dalšími interními pravidly. Ve Společnosti jsou pravidelně prováděny interní audity, které mj. sledují i dodržování pravidel pro práci s osobními údaji a naplňování politiky ochrany osobních údajů. Všechny přístupy k osobním údajům jsou řízené a založené na právech jednotlivých zaměstnanců dle vykonávaných pracovních pozic.

5. KATEGORIE SUBJEKTŮ ÚDAJŮ

V souladu s Nařízením o GDPR Společnost omezuje zpracování osobních dat na údaje, které jsou přiměřené a relevantní pro příslušný obchodní účel. Jedná se o osobní údaje, pomocí nichž Společnost osoby identifikuje a může s nimi komunikovat, dále zvláštní kategorie osobních údajů, které jsou potřebné pro obchodní činnost Společnosti.

5.1 Uchazeči o zaměstnání

5.1.1 Účel zpracovávání osobních údajů

  • Osobní údaje nezbytné k realizace výběrového řízení na určitou pracovní pozici
  • Ochrana osob, zdraví a majetku (kamerový systém)

5.1.2 Kategorie osobních údajů

  • Údaje sloužící k přesné, jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, tituly, datum narození, adresa trvalého bydliště atd.)
  • Údaje kontaktní (mobil, telefon, e-mail atd.)
  • Vizuální údaje z kamerového systému

5.1.3 Zdroje osobních údajů

  • Osobní údaje získané dobrovolně od uchazečů o zaměstnání
  • Záznamy z kamerového systému

5.1.4 Přijatá technická a organizační opatření

Technická opatření – uzamčené kanceláře, uzamčené skříně s osobními údaji uchazečů.

Organizační opatření – dodržování vnitřní směrnice, nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům (personalistka, vedení Společnosti), kromě případů uložených nebo umožněných zákonem nebo dohodnutých s uchazečem nesdělujeme informace o osobních údajích třetím osobám.

5.1.5 Plánované lhůty pro výmaz osobních údajů

Po skončení výběrového řízení, pokud nebude uchazeč o zaměstnání přijat do pracovního poměru, budou jeho osobní údaje řádně zlikvidovány v souladu se zákonem, vyjma případů, kdy od uchazeče obdržíme výslovný písemný souhlas, že mohou být jeho osobní údaje uchovávány v personální databázi. Pokud bude chtít uchazeč souhlas se zpracováním svých osobních údajů odvolat, je to možné písemně na e-mailové adrese Ludmila.Presnajderova@ivfzlin.cz nebo na korespondenční adrese Hotel a Restaurace Tomášov, U Lomu 638, 760 01 ZLÍN.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.2 Zaměstnanci

5.2.1 Účel a kategorie zpracovávání osobních údajů

  • Kontaktní údaje – telefon, mobilní telefon, e-mail
  • Ze zákona zpracovávané osobní údaje
  • Údaje k vedení docházkového systému
  • Ochrana života, zdraví, majetku zaměstnanců a prevence nežádoucích činů prostřednictvím kamerových systémů


Ze zákona zpracovávané osobní údaje

  • Pracovní smlouva (dohoda o pracovní činnosti, dohoda o provedení práce) – uzavírá se při nástupu do zaměstnání, dle zákoníku práce smlouva obsahuje identifikační údaje jméno, příjmení, datum narození, místo trvalého pobytu.
  • Evidenční listy důchodového pojištění zasílané na OSSZ – dle § 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení datum a místo narození, všechna dřívější příjmení, rodném číslo, místo trvalého pobytu. Byl – li občan účasten důchodového pojištění v cizině, rovněž údaj o názvu a adrese cizozemského nositele pojištění a cizozemském čísle pojištění.
  • Mzda – pro správný výpočet mzdy dosažené vzdělání a eventuálně předchozí praxe
  • Hlášení zaměstnávání cizinců – státní občanství
  • Daňové zvýhodnění – dle zákona č. 280/2009 Sb., daňový řád, pokud zaměstnanec uplatňuje daňové zvýhodnění a manžel/ka je zaměstnán/a, shromažďujeme jméno a příjmení manžela/ky, název a adresu zaměstnavatele. Pokud zaměstnanec uplatňuje zvýhodnění na vyživované dítě jméno, příjmení a rodné číslo dítěte.
  • Zdravotní pojištění – dle § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění pro placení zdravotního pojištění zdravotní pojišťovnu
  • Výpočet měsíčních záloh na daně – dle zákona č. 280/2009 Sb., daňový řád druh pobíraného důchodu
  • Datum odchodu do důchodu – dle zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení pro zjištění přesného data nároku na odchod do starobního důchodu počet dětí u žen
  • Osoby se zdravotním postižením – dle zákona č. 435/2004 Sb., o zaměstnanosti pro plnění povinného podílu osob se zdravotním postižením na celkovém počtu zaměstnanců zdravotní znevýhodnění zaměstnance
  • Lékařská prohlídka – dle zákona č. 372/2011 Sb., o zdravotních službách potvrzení lékaře nebo zdravotnického zařízení (vstupní, preventivní, mimořádná a výstupní lékařská prohlídka) o tom, zda pracovník je nebo není schopen vykonávat svoji práci
  • Pracovní úrazy – vedení a evidence pracovních úrazů (záznam o úraze, lékařská zpráva)
  • Výpis z rejstříku trestů – pro ověření způsobilosti pro výkon určitého typu zaměstnání (např. u lékařských profesí)
  • Docházkový systém – zaměstnavatel je povinen v souladu s § 96 zákona č. 262/2006 Sb., zákoníku práce vést u jednotlivých zaměstnanců evidenci pracovní doby. Společnost k tomuto účelu využívá elektronický systém ACS-line, který pracuje na principu biometrické identifikace. Při načtení otisku prstu čtečkou je vytvořena datová šablona, která zaručuje bezpečné uložení otisku pro potřeby systému. Z této šablony nelze otisk zpětně rekonstruovat a nehrozí jeho zneužití. Toto řešení zajišťuje naprostou bezpečnost osobních údajů. Při identifikaci se porovnává shoda klíčových znaků načtené šablony se šablonami v databázi. Při zjištění shody je jednoznačně rozpoznána procházející osoba.
    K využití otisku prstu v docházkovém systému dává každý zaměstnanec výslovný souhlas v Kartě zaměstnance.
    Dle původního stanoviska Úřadu na ochranu osobních údajů č. 3/2009 k docházkovým systémům vyplývá, že pokud dojde např. při použití jednosměrného hashování k vytvoření číselného údaje, jehož zpětná rekonstrukce na biometrický údaj není možná, nelze již tento údaj považovat za biometrický a využití takového systému může být v určitých případech přípustné, a to při splnění zásad zpracování osobních údajů a při splnění dalších zákonných podmínek i bez souhlasu subjektu údajů, protože nedochází k uchovávání citlivého údaje.
    Dle nejnovějšího stanoviska ÚOOÚ došlo ke změně v hodnocení úrovně právní ochrany biometrických údajů mj. z důvodu proměn a rychlého rozvoje technologií. Čl. 9 Nařízení EP a Rady, č. 2016/679 upravuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Tato úprava přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických šablon a jejich zpracování za účelem identifikace osob považuje za zpracování zvláštní kategorie osobních údajů.

5.2.2 Zdroje osobních údajů

  • Osobní údaje získané přímo od zaměstnanců
  • Osobní údaje získané v souvislosti s komunikací s úřady
  • Záznamy z kamerového systému

5.2.3 Přijatá technická a organizační opatření

Většina osobních údajů zaměstnanců je součástí osobního spisu. Osobní spisy jsou uloženy v uzamčené kartotéce, ke které mají přístup pouze oprávněné osoby stanovené zaměstnavatelem ve vnitřním předpise (personalistka, vedoucí ekonomického oddělení, vedení Společnosti). V souladu se zákoníkem práce jsou součástí osobního spisu jen dokumenty, které jsou nezbytné pro výkon práce (životopis, pracovní posudek od předchozího zaměstnavatele, karta zaměstnance, pracovní smlouva, mzdový výměr, potvrzení o dosaženém vzdělání, absolvovaných kurzech, školeních, dohoda o hmotné odpovědnosti, náplň práce atp.). Informace o mzdě a odměnách jsou osobní údaje, které nejsou zpřístupňovány třetím osobám.

K osobním údajům, které jsou elektronicky zpracovány, má přístup rovněž úzký okruh oprávněných osob (personalistka, vedoucí ekonomického oddělení, vedení Společnosti). Přístup do systému je zaheslován, hesla nejsou sdílena. Data jsou zálohována a zabezpečena antivirovou ochranou.

5.2.4 Plánované lhůty pro výmaz osobních údajů

Společnost zpracovává osobní údaje po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v příslušných právních předpisech České republiky pro skartaci a archivaci dokumentů, případně tak dlouho, jak je potřebuje k vypořádání vzájemných práv a povinností zaměstnavatele a zaměstnance.

Po skončení pracovního poměru Společnost zpracovává osobní údaje zaměstnance pouze v omezeném rozsahu. Jedná se o údaje, jejichž uchování je stanoveno platnými právními předpisy (např. pro účely důchodového a sociálního pojištění) a k jejich uchování tedy není třeba výslovného souhlas zaměstnance.
Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.3 Hoteloví hosté

5.3.1 Účel zpracovávání osobních údajů

• Zajištění platby za ubytovací služby

• Získání nového hosta

• Ochrana osob, zdraví a majetku (kamerový systém)

• Zlepšení služeb pro návštěvníky webových stránek (www.hotel-tomasov.cz) a Facebooku

5.3.2 Kategorie osobních údajů

  • Kontaktní údaje – jméno, příjmení, adresa, telefon, mobil
  • Číslo bankovního účtu
  • Cookies – IP adresa, typ prohlížeče, nastavený jazyk, operační systém, poskytovatel internetového připojení, termín a doba pobytu návštěvníka na uvedených stránkách. Cookies pro účely direct marketingu budou zpracovávány jen na základě souhlasu subjektu údajů. Webové stránky lze procházet také v režimu, který neumožňuje sbírání osobních údajů.
  • Služby Google Analytics – sledování počtu návštěvníků a jejich chování na webových stránkách
  • Vizuální údaje z kamerového systému

5.3.3 Kategorie příjemců osobních údajů

  • Zdravotní pojišťovny a další veřejné instituce
  • Státní orgány při plnění zákonných povinností (např. Policie ČR při podezření ze spáchání přestupku nebo trestného činu)
  • Právní poradci

5.3.4 Zdroje osobních údajů

  • Osobní (telefonický, e-mailový) kontakt s hostem
  • Údaje z webových stránek a Facebooku
  • Záznamy z kamerového systému

5.3.5 Přijatá technická a organizační opatření

Technická opatření – vstup přes hotelovou recepci, uzamykatelné pokoje, kamerový systém, zálohování dat, antivirová ochrana.
Organizační opatření – dodržování vnitřní směrnice, nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům, kromě případů uložených nebo umožněných zákonem nebo dohodnutých s hostem nesdělujeme informace o osobních údajích třetím osobám.

5.3.6 Plánované lhůty pro výmaz osobních údajů

Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.4 Dodavatelé a smluvní partneři

Osobní údaje Společnost zpracovává v takovém rozsahu, v jakém mu byly subjektem údajů poskytnuty v souvislosti s uzavřením smlouvy. Dále zpracovává údaje, které jsou volně přístupné ve veřejných registrech.

5.4.1 Účel zpracování osobních údajů

  • Uzavření smluvního vztahu
  • Plnění smlouvy mezi Společností a smluvním partnerem (evidence, kontrola činnosti, statistické účely…)
  • Určení, výkon nebo obhajoba právních nároků
  • Plnění zákonných povinností z platných právních předpisů (účetnictví, regulace reklamy, daňové povinnosti...)
  • Zasílání obchodního sdělení (direct marketing)
  • Ochrana osob, zdraví a majetku (záznamy z kamerového systému)

5.4.2 Kategorie osobních údajů

• Údaje pro jednoznačnou, nezaměnitelnou a přesnou identifikaci subjektů údajů (jméno, příjmení, název společnosti, IČ...)

  • Kontaktní údaje (telefon, mobil, e-mail, adresa)
  • Ostatní údaje uvedené ve smlouvě, na fakturách
  • Rodné číslo pouze v případech, kdy ho subjekt údajů sám dobrovolně sdělí, nebo tak vyžaduje zákon. Souhlas může být zpracováván pouze za účely výše uvedenými a může být kdykoli odvolán (Lenka.Brazdilova@ivfzlin.cz).
  • Technické údaje z komunikace se subjektem údajů (IP adresa, čas komunikace)
  • Vizuální údaje z kamerového systému

5.4.3 Kategorie příjemců osobních údajů

  • Státní orgány při plnění zákonných povinností
  • Veřejné instituce (např. zdravotní pojišťovny)
  • Právní, ekonomičtí a daňoví poradci a auditoři za účelem poskytování poradenských služeb
  • Zpracovatelé na základě smlouvy v přiměřeném rozsahu

5.4.4 Zdroje osobních údajů

  • Při jednání o uzavření smlouvy
  • Při plnění podmínek z již uzavřených smluv
  • Při vyřizování stížností od subjektů údajů
  • Záznamy z kamerového systému

5.4.5 Přijatá technická a organizační opatření

Technická opatření – uzamčené kanceláře, uzamčené skříně se smlouvami dodavatelů a smluvních partnerů, zálohování dat, antivirová ochrana

Organizační opatření – dodržování vnitřní směrnice, nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům (ekonomické oddělení, vedení Společnosti), kromě případů uložených nebo umožněných zákonem nebo dohodnutých se smluvním partnerem nesdělujeme informace o osobních údajích třetím osobám

5.4.6 Plánované lhůty pro výmaz

Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

6. POUČENÍ O PRÁVECH SUBJEKTŮ ÚDAJŮ

Subjekt údajů má právo požádat Společnost o informaci, zda jsou nebo nejsou osobní údaje, které se subjektu údajů týkají, zpracovávány a o přístup k těmto osobním údajům.

Subjekt údajů má dále právo na opravu svých osobních údajů (v případě nepřesných osobních údajů a doplnění neúplných osobních údajů).

Pokud je dán jeden z těchto důvodů, má právo na výmaz osobních údajů:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány
  • subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
  • osobní údaje byly zpracovány protiprávně
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie (EU) nebo právu ČR, které se na naši společnost vztahuje.

V případech popsaných v čl. 17 odst. 3 písm. a) – e) Nařízení o GDPR se právo neuplatní.
Právo na omezení zpracování je možno použít v případě, že:

  • subjekt údajů popře přesnost na dobu potřebnou k tomu, aby bylo možno přesnost osobních údajů ověřit
  • zpracování je protiprávní a subjekt údajů žádá místo výmazu osobních údajů omezení jejich použití
  • • osobní údaje již Společnost nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
  • subjekt údajů vznese námitku proti zpracování osobních údajů. Zpracování osobních údajů bude probíhat v omezeném rozsahu, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.

Právo na přenositelnost znamená, že lze požádat Společnost o získání/předání osobních údajů v případě, že zpracování osobních údajů je založeno na souhlasu (dle Nařízení o GDPR čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b)) a zpracování se provádí automatizovaně.
V případě osobních údajů, které jsou zpracovávány na základě souhlasu, má subjekt údajů právo tento svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházející ze souhlasu, který byl dán před jeho odvoláním.

Subjekt údajů má právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

V případě, že dojde v rámci zpracování osobních údajů Společností k porušení zabezpečení těchto údajů, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Společnost toto porušení bez zbytečného odkladu ÚOOÚ a na svých webových stránkách.

7. ZÁKLADNÍ PRÁVNÍ PŘEDPISY UPRAVUJÍCÍ PROBLEMATIKU OSOBNÍCH ÚDAJŮ

  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) s účinností od 25.5.2018
  • Zákon č. 110/2019 Sb., o zpracování osobních údajů
  • Zákon č. 111/2019 Sb., zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů


Poslední aktualizace: 23.07.2019