Zpracování a ochrana osobních údajů

Vnitřní směrnice společnosti ZM-TECH s. r. o. o zpracování a ochraně osobních údajů

Vnitřní směrnice o zpracování a ochraně osobních údajů řeší implementaci NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení o GDPR“) ve společnosti IVF Czech Republic s. r. o. (dále jen „Společnost“). Řeší tedy závazky Společnosti na poli GDPR, jednání a postavení Společnosti v roli správce osobních údajů.

1. SPRÁVCE A ZPRACOVATEL OSOBNÍCH ÚDAJŮ

Správcem osobních údajů je společnost ZM-TECH s. r. o., IČ 255 51 868, se sídlem Hlinky 48/122, 603 00 BRNO – PISÁRKY zapsaná u Krajského soudu v Brně pod spisovou značkou C 32858. Správce určuje, jak budou osobní údaje zpracovávány, za jakým účelem a po jak dlouhou dobu, pokud to nevyplývá z právních předpisů. Správce má právo vybírat případné další zpracovatele, kteří mu se zpracováním osobních údajů budou pomáhat.

Pověřenec pro ochranu osobních údajů

Dotazy a připomínky týkající se zpracování osobních údajů včetně odvolání výslovného písemného souhlasu můžete zasílat písemně na korespondenční adresu Hotel a Restaurace Tomášov, U Lomu 638, 760 01 Zlín, nebo e-mailem na adresu Lenka.Brazdilova@ivfzlin.cz.

Pověřenec pro ochranu osobních údajů není v žádném střetu zájmů v souvislosti s funkcí pověřence.

2. OSOBNÍ ÚDAJ

Jedná se o veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě (tj. osoba, kterou lze na základě souboru údajů přímo nebo nepřímo identifikovat). Osobní údaje mohou být slovní (např. jméno, rodné číslo, telefon), obrazové (např. fotografie) a síťové identifikátory (např. IP adresa, cookies).

3. SUBJEKT ÚDAJŮ

Subjektem údajů je fyzická osoba, jejíž osobní údaje Společnost zpracovává (uchazeči o zaměstnání, zaměstnanci, hoteloví hosté, dodavatelé a smluvní partneři).

4. ZÁSADY A PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ

Veškeré osobní údaje Společnost zpracovává v souladu s platnými a obecně závaznými právními předpisy České republiky a v souladu s Nařízením o GDPR.

Všichni zaměstnanci Společnosti jsou seznámeni s pravidly v oblasti ochrany dat, nakládání s daty a jejich zabezpečení. Jsou vázáni mlčenlivostí a dalšími interními pravidly. Ve Společnosti jsou pravidelně prováděny interní audity, které mj. sledují i dodržování pravidel pro práci s osobními údaji a naplňování politiky ochrany osobních údajů. Všechny přístupy k osobním údajům jsou řízené a založené na právech jednotlivých zaměstnanců dle vykonávaných pracovních pozic.

5. KATEGORIE SUBJEKTŮ ÚDAJŮ

V souladu s Nařízením o GDPR Společnost omezuje zpracování osobních dat na údaje, které jsou přiměřené a relevantní pro příslušný obchodní účel. Jedná se o osobní údaje, pomocí nichž Společnost osoby identifikuje a může s nimi komunikovat, dále zvláštní kategorie osobních údajů, které jsou potřebné pro obchodní činnost Společnosti.

5.1 Uchazeči o zaměstnání

5.1.1 Účel a právní důvod zpracovávání osobních údajů

  • Osobní údaje nezbytné k realizace výběrového řízení na určitou pracovní pozici – zpracování je nezbytné pro splnění smlouvy
  • Ochrana osob, zdraví a majetku (kamerový systém) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti

5.1.2 Kategorie osobních údajů

  • Údaje sloužící k přesné, jednoznačné a nezaměnitelné identifikaci subjektu údajů (např. jméno, příjmení, tituly, datum narození, adresa trvalého bydliště atd.)
  • Údaje kontaktní (mobil, telefon, e-mail atd.)
  • Vizuální údaje z kamerového systému

5.1.3 Zdroje osobních údajů

  • Osobní údaje získané dobrovolně od uchazečů o zaměstnání
  • Záznamy z kamerového systému

5.1.4 Přijatá technická a organizační opatření

Uzamčené kanceláře, uzamčené skříně s osobními údaji uchazečů.

Vstup i výstup ve II. a III. patře je řízený – osoba zazvoní na zvonek u dveří a pracovník recepce ji vpustí dovnitř či ven, vstup do administrativní části II. patra je oddělen dveřmi bez kliky, pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance.

Zálohování dat, antivirová ochrana, přihlašování do informačního systému pod vlastním jménem a heslem, odhlašování po skončení práce.

Dodržování vnitřní směrnice a nastavených pracovních procesů.

Odesílání dopisů s osobními údaji doporučeně včetně archivace podacích lístků.

Omezení okruhu osob s přístupem k osobním údajům (personalistka, vedení Společnosti).

Kromě případů uložených nebo umožněných zákonem nebo dohodnutých s uchazečem nesdělujeme informace o osobních údajích třetím osobám.

5.1.5 Plánované lhůty pro výmaz osobních údajů

Po skončení výběrového řízení, pokud nebude uchazeč o zaměstnání přijat do pracovního poměru, budou jeho osobní údaje řádně zlikvidovány v souladu se zákonem, vyjma případů, kdy od uchazeče obdržíme výslovný písemný souhlas, že mohou být jeho osobní údaje uchovávány v personální databázi. Pokud bude chtít uchazeč souhlas se zpracováním svých osobních údajů odvolat, je to možné písemně na e-mailové adrese Ludmila.Presnajderova@ivfzlin.cz nebo na korespondenční adrese Hotel a Restaurace Tomášov, U Lomu 638, 760 01 ZLÍN.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.2 Zaměstnanci

5.2.1 Účel, kategorie a právní důvod zpracovávání osobních údajů

  • Kontaktní údaje – telefon, mobilní telefon, e-mail – zpracování je nezbytné pro splnění smlouvy nebo pro účel oprávněného zájmu Společnosti
  • Ze zákona zpracovávané osobní údaje – zpracování je nezbytné pro splnění právní povinnosti
  • Údaje k vedení docházkového systému – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
  • Ochrana života, zdraví, majetku zaměstnanců a prevence nežádoucích činů prostřednictvím kamerových systémů – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
Ze zákona zpracovávané osobní údaje
  • Pracovní smlouva (dohoda o pracovní činnosti, dohoda o provedení práce) – uzavírá se při nástupu do zaměstnání, dle zákoníku práce smlouva obsahuje identifikační údaje jméno, příjmení, datum narození, místo trvalého pobytu.
  • Evidenční listy důchodového pojištění zasílané na OSSZ – dle § 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení datum a místo narození, všechna dřívější příjmení, rodném číslo, místo trvalého pobytu. Byl – li občan účasten důchodového pojištění v cizině, rovněž údaj o názvu a adrese cizozemského nositele pojištění a cizozemském čísle pojištění.
  • Mzda – pro správný výpočet mzdy dosažené vzdělání a eventuálně předchozí praxe
  • Hlášení zaměstnávání cizinců – státní občanství
  • Daňové zvýhodnění – dle zákona č. 280/2009 Sb., daňový řád, pokud zaměstnanec uplatňuje daňové zvýhodnění a manžel/ka je zaměstnán/a, shromažďujeme jméno a příjmení manžela/ky, název a adresu zaměstnavatele. Pokud zaměstnanec uplatňuje zvýhodnění na vyživované dítě jméno, příjmení a rodné číslo dítěte.
  • Zdravotní pojištění – dle § 10 zákona č. 48/1997 Sb., o veřejném zdravotním pojištění pro placení zdravotního pojištění zdravotní pojišťovnu
  • Výpočet měsíčních záloh na daně – dle zákona č. 280/2009 Sb., daňový řád druh pobíraného důchodu
  • Datum odchodu do důchodu – dle zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení pro zjištění přesného data nároku na odchod do starobního důchodu počet dětí u žen
  • Osoby se zdravotním postižením – dle zákona č. 435/2004 Sb., o zaměstnanosti pro plnění povinného podílu osob se zdravotním postižením na celkovém počtu zaměstnanců zdravotní znevýhodnění zaměstnance
  • Lékařská prohlídka – dle zákona č. 372/2011 Sb., o zdravotních službách potvrzení lékaře nebo zdravotnického zařízení (vstupní, preventivní, mimořádná a výstupní lékařská prohlídka) o tom, zda pracovník je nebo není schopen vykonávat svoji práci
  • Pracovní úrazy – vedení a evidence pracovních úrazů (záznam o úraze, lékařská zpráva)
  • Výpis z rejstříku trestů – pro ověření způsobilosti pro výkon určitého typu zaměstnání (např. u lékařských profesí)
Docházkový systém

Zaměstnavatel je povinen v souladu s § 96 zákona č. 262/2006 Sb., zákoníku práce vést u jednotlivých zaměstnanců evidenci pracovní doby. Společnost k tomuto účelu využívá elektronický systém ACS-line, který pracuje na principu biometrické identifikace. Při načtení otisku prstu čtečkou je vytvořena datová šablona. Z této šablony lze otisk prstu zpětně rekonstruovat pouze částečně. Při identifikaci se porovnává shoda klíčových znaků načtené šablony se šablonami v databázi. Při zjištění shody je rozpoznána procházející osoba.

Dle stanoviska ÚOOÚ došlo ke změně v hodnocení úrovně právní ochrany biometrických údajů mj. z důvodu proměn a rychlého rozvoje technologií. Čl. 9 Nařízení EP a Rady, č. 2016/679 upravuje zpracování biometrických údajů za účelem jedinečné identifikace fyzické osoby. Tato úprava přináší podstatnou změnu v právním pohledu na technologie zpracovávající biometrické údaje, mj. také v tom, že uchovávání biometrických šablon a jejich zpracování za účelem identifikace osob považuje za zpracování zvláštní kategorie osobních údajů.

5.2.2 Zdroje osobních údajů

  • Osobní údaje získané přímo od zaměstnanců
  • Osobní údaje získané v souvislosti s komunikací s úřady
  • Záznamy z kamerového systému

5.2.3 Přijatá technická a organizační opatření

Většina osobních údajů zaměstnanců je součástí osobního spisu. Osobní spisy jsou uloženy v uzamčené kartotéce, ke které mají přístup pouze oprávněné osoby stanovené zaměstnavatelem ve vnitřním předpise (personalistka, vedoucí ekonomického oddělení, vedení Společnosti). V souladu se zákoníkem práce jsou součástí osobního spisu jen dokumenty, které jsou nezbytné pro výkon práce (životopis, pracovní posudek od předchozího zaměstnavatele, karta zaměstnance, pracovní smlouva, mzdový výměr, potvrzení o dosaženém vzdělání, absolvovaných kurzech, školeních, dohoda o hmotné odpovědnosti, náplň práce atp.). Informace o mzdě a odměnách jsou osobní údaje, které nejsou zpřístupňovány třetím osobám.

K osobním údajům, které jsou elektronicky zpracovány, má přístup rovněž úzký okruh oprávněných osob (personalistka, vedoucí ekonomického oddělení, vedení Společnosti). Přístup do systému je zaheslován, hesla nejsou sdílena. Po skončení práce se zaměstnanci z informačního systému odhlašují. Data jsou zálohována a zabezpečena antivirovou ochranou.

Dopisy s osobními údaji jsou odesílány doporučeně, podací lístky se archivují.

Vstup i výstup ve II. a III. patře je řízený – osoba zazvoní na zvonek u dveří a pracovník recepce ji vpustí dovnitř či ven, vstup do administrativní části II. patra je oddělen dveřmi bez kliky, pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance.

5.2.4 Plánované lhůty pro výmaz osobních údajů

Společnost zpracovává osobní údaje po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v příslušných právních předpisech České republiky pro skartaci a archivaci dokumentů, případně tak dlouho, jak je potřebuje k vypořádání vzájemných práv a povinností zaměstnavatele a zaměstnance.

Po skončení pracovního poměru Společnost zpracovává osobní údaje zaměstnance pouze v omezeném rozsahu. Jedná se o údaje, jejichž uchování je stanoveno platnými právními předpisy (např. pro účely důchodového a sociálního pojištění) a k jejich uchování tedy není třeba výslovného souhlas zaměstnance.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.3 Hoteloví hosté

5.3.1 Účel a právní důvod zpracovávání osobních údajů

  • Zajištění platby za ubytovací služby – zpracování je nezbytné pro splnění smlouvy
  • Získání nového hosta – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
  • Ochrana osob, zdraví a majetku (kamerový systém) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti
  • Zlepšení služeb pro návštěvníky webových stránek (www.hotel-tomasov.cz) a Facebooku – zpracování je nezbytné pro účel oprávněného zájmu Společnosti

5.3.2 Kategorie osobních údajů

  • Kontaktní údaje – jméno, příjmení, adresa, telefon, mobil, e-mail
  • Číslo bankovního účtu
  • Cookies – IP adresa, typ prohlížeče, nastavený jazyk, operační systém, poskytovatel internetového připojení, termín a doba pobytu návštěvníka na uvedených stránkách. Cookies pro účely direct marketingu budou zpracovávány jen na základě souhlasu subjektu údajů. Webové stránky lze procházet také v režimu, který neumožňuje sbírání osobních údajů.
  • Služby Google Analytics – sledování počtu návštěvníků a jejich chování na webových stránkách
  • Vizuální údaje z kamerového systému

5.3.3 Kategorie příjemců osobních údajů

  • Veřejné instituce
  • Státní orgány při plnění zákonných povinností (např. Policie ČR při podezření ze spáchání přestupku nebo trestného činu)
  • Právní poradci

5.3.4 Zdroje osobních údajů

  • Osobní (telefonický, e-mailový) kontakt s hostem
  • Údaje z webových stránek a Facebooku
  • Záznamy z kamerového systému

5.3.5 Přijatá technická a organizační opatření

Vstup přes hotelovou recepci, uzamykatelné pokoje, kamerový systém.

Zálohování dat, antivirová ochrana, přihlašování do počítače pod vlastním jménem a heslem, odhlašování z počítače po skončení práce.

Odesílání dopisů s osobními údaji doporučeně včetně archivace podacích lístků.
Dodržování vnitřní směrnice a nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům.

Kromě případů uložených nebo umožněných zákonem nebo dohodnutých s hostem nesdělujeme informace o osobních údajích třetím osobám.

5.3.6 Plánované lhůty pro výmaz osobních údajů

Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.4 Dodavatelé a smluvní partneři

Osobní údaje Společnost zpracovává v takovém rozsahu, v jakém mu byly subjektem údajů poskytnuty v souvislosti s uzavřením smlouvy. Dále zpracovává údaje, které jsou volně přístupné ve veřejných registrech.

5.4.1 Účel a právní důvod zpracování osobních údajů

  • Uzavření smluvního vztahu – zpracování je nezbytné pro splnění smlouvy
  • Plnění smlouvy mezi Společností a smluvním partnerem (evidence, kontrola činnosti, statistické účely…) – zpracování je nezbytné pro splnění smlouvy
  • Určení, výkon nebo obhajoba právních nároků
  • Plnění zákonných povinností z platných právních předpisů (účetnictví, regulace reklamy, daňové povinnosti...) – zpracování je nezbytné pro splnění právní povinnosti
  • Zasílání obchodního sdělení (direct marketing) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti • Ochrana osob, zdraví a majetku (záznamy z kamerového systému) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti

5.4.2 Kategorie osobních údajů

  • Údaje pro jednoznačnou, nezaměnitelnou a přesnou identifikaci subjektů údajů (jméno, příjmení, název společnosti, IČ...)
  • Kontaktní údaje (telefon, mobil, e-mail, adresa)
  • Ostatní údaje uvedené ve smlouvě, na fakturách
  • Rodné číslo pouze v případech, kdy ho subjekt údajů sám dobrovolně sdělí, nebo tak vyžaduje zákon. Dobrovolný souhlas může být zpracováván pouze za účely výše uvedenými a může být kdykoli písemně odvolán na adrese Hotel a Restaurace Tomášov, U Lomu 638, 760 01 Zlín nebo prostřednictvím e-mailu Lenka.Brazdilova@ivfzlin.cz.
  • Technické údaje z komunikace se subjektem údajů (IP adresa, čas komunikace)
  • Vizuální údaje z kamerového systému

5.4.3 Kategorie příjemců osobních údajů

  • Státní orgány při plnění zákonných povinností
  • Veřejné instituce (např. zdravotní pojišťovny)
  • Právní, ekonomičtí a daňoví poradci a auditoři za účelem poskytování poradenských služeb
  • Zpracovatelé na základě smlouvy v přiměřeném rozsahu

5.4.4 Zdroje osobních údajů

  • Při jednání o uzavření smlouvy
  • Při plnění podmínek z již uzavřených smluv
  • Při vyřizování stížností od subjektů údajů
  • Záznamy z kamerového systému

5.4.5 Přijatá technická a organizační opatření

Uzamčené kanceláře, uzamčené skříně se smlouvami dodavatelů a smluvních partnerů.

Zálohování dat, antivirová ochrana, přihlašování do počítače pod vlastním jménem a heslem, odhlašování z počítače po skončení práce.

Odesílání dopisů s osobními údaji doporučeně včetně archivace podacích lístků.

Pohyb cizích osob v prostorách Společnosti je možný pouze v doprovodu zaměstnance.

Dodržování vnitřní směrnice a nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům (ekonomické oddělení, vedení Společnosti).

Kromě případů uložených nebo umožněných zákonem nebo dohodnutých se smluvním partnerem nesdělujeme informace o osobních údajích třetím osobám.

5.4.6 Plánované lhůty pro výmaz

Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu se lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

6. POUČENÍ O PRÁVECH SUBJEKTŮ ÚDAJŮ

Subjekt údajů má právo požádat Společnost o informaci, zda jsou nebo nejsou osobní údaje, které se subjektu údajů týkají, zpracovávány a o přístup k těmto osobním údajům.

Subjekt údajů má dále právo na opravu svých osobních údajů (v případě nepřesných osobních údajů a doplnění neúplných osobních údajů).

Pokud je dán jeden z těchto důvodů, má právo na výmaz osobních údajů:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány
  • subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
  • osobní údaje byly zpracovány protiprávně
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie (EU) nebo právu ČR, které se na Společnost vztahuje.

V případech popsaných v čl. 17 odst. 3 písm. a) – e) Nařízení o GDPR se právo neuplatní.

Právo na omezení zpracování je možno použít v případě, že:

  • subjekt údajů popře přesnost na dobu potřebnou k tomu, aby bylo možno přesnost osobních údajů ověřit
  • zpracování je protiprávní a subjekt údajů žádá místo výmazu osobních údajů omezení jejich použití
  • osobní údaje již Společnost nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
  • subjekt údajů vznese námitku proti zpracování osobních údajů. Zpracování osobních údajů bude probíhat v omezeném rozsahu, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.

Právo na přenositelnost znamená, že lze požádat Společnost o získání/předání osobních údajů v případě, že zpracování osobních údajů je založeno na souhlasu (dle Nařízení o GDPR čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b)) a zpracování se provádí automatizovaně.

V případě osobních údajů, které jsou zpracovávány na základě souhlasu, má subjekt údajů právo tento svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházející ze souhlasu, který byl dán před jeho odvoláním.

Subjekt údajů má právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

V případě, že dojde v rámci zpracování osobních údajů Společností k porušení zabezpečení těchto údajů, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Společnost toto porušení bez zbytečného odkladu ÚOOÚ a na svých webových stránkách.

7. ZÁKLADNÍ PRÁVNÍ PŘEDPISY UPRAVUJÍCÍ PROBLEMATIKU OSOBNÍCH ÚDAJŮ

  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) s účinností od 25.5.2018
  • Zákon č. 110/2019 Sb., o zpracování osobních údajů
  • Zákon č. 111/2019 Sb., zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů