Zpracování a ochrana osobních údajů

Vnitřní směrnice společnosti ZM-TECH s. r. o. o zpracování a ochraně osobních údajů

Vnitřní směrnice o zpracování a ochraně osobních údajů řeší implementaci NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení o GDPR“) ve společnosti ZM-TECH s. r. o. (dále jen „Společnost“). Řeší tedy závazky Společnosti na poli GDPR, jednání a postavení Společnosti v roli správce osobních údajů.

1. SPRÁVCE A ZPRACOVATEL OSOBNÍCH ÚDAJŮ, POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ

Správcem a zpracovatelem osobních údajů je společnost ZM-TECH s. r. o., IČ 255 51 868, se sídlem Hlinky 48/122, 603 00 BRNO – PISÁRKY zapsaná u Krajského soudu v Brně pod spisovou značkou C 32858 (dále jen „Společnost“). Společnost určuje, jak budou osobní údaje zpracovávány a za jakým účelem, po jak dlouhou dobu, pokud to nevyplývá z právních předpisů. Společnost má právo vybírat případné další zpracovatele, kteří jí se zpracováním osobních údajů budou pomáhat.

Pověřenec pro ochranu osobních údajů

Dotazy a připomínky týkající se zpracování osobních údajů včetně odvolání výslovného písemného souhlasu můžete zasílat písemně na korespondenční adresu Hotel a Restaurace Tomášov, U Lomu 638, 760 01 Zlín, nebo e-mailem na adresu Lenka.Brazdilova@ivfzlin.cz.

Pověřenec pro ochranu osobních údajů není v žádném střetu zájmů v souvislosti s funkcí pověřence.

2. OSOBNÍ ÚDAJ

Jedná se o veškeré informace vztahující se k identifikované nebo identifikovatelné fyzické osobě (tj. osoba, kterou lze na základě souboru údajů přímo nebo nepřímo identifikovat). Osobní údaje mohou být slovní (např. jméno, rodné číslo, telefon), obrazové (např. fotografie) a síťové identifikátory (např. IP adresa, cookies).

3. SUBJEKT ÚDAJŮ

Subjektem údajů je fyzická osoba, jejíž osobní údaje Společnost zpracovává (uchazeči o zaměstnání, bývalí zaměstnanci, hoteloví hosté, dodavatelé a smluvní partneři).

4. ZÁSADY A PRAVIDLA OCHRANY OSOBNÍCH ÚDAJŮ

Veškeré osobní údaje Společnost zpracovává v souladu s platnými a obecně závaznými právními předpisy České republiky a v souladu s Nařízením o GDPR.

Všichni zaměstnanci Společnosti jsou seznámeni s pravidly v oblasti ochrany dat, nakládání s daty a jejich zabezpečení. Jsou vázáni mlčenlivostí a dalšími interními pravidly. Ve Společnosti jsou pravidelně prováděny interní audity, které mj. sledují i dodržování pravidel pro práci s osobními údaji a naplňování politiky ochrany osobních údajů. Všechny přístupy k osobním údajům jsou řízené a založené na právech jednotlivých zaměstnanců dle vykonávaných pracovních pozic.

5. KATEGORIE SUBJEKTŮ ÚDAJŮ

5.1 Uchazeči o zaměstnání

5.1.1 Účel a právní důvod zpracovávání osobních údajů

Společnost zpracovává osobní údaje pro účely náboru zaměstnanců včetně nabídek vhodných pracovních pozic v budoucnu.

  • Osobní údaje nezbytné k realizaci výběrového řízení na určitou pracovní pozici – zpracování je nezbytné pro splnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR
  • Osobní údaje nezbytné ke kontaktování uchazeče – zpracování je nezbytné pro účel oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR
  • Ochrana osob, zdraví a majetku (kamerový systém) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR
  • Nedochází k automatizovanému rozhodování

5.1.2 Kategorie osobních údajů

  • Identifikační údaje sloužící k přesné, jednoznačné a nezaměnitelné identifikaci subjektu údajů – jméno, příjmení, tituly, datum narození, adresa trvalého bydliště atd.
  • Kvalifikační údaje
  • Kontaktní údaje – telefon, mobilní telefon, e-mail
  • Identifikační údaje z kamerového systému

5.1.3 Kategorie příjemců osobních údajů

  • Společnost
  • Zpracovatelé na základě smlouvy v přiměřeném rozsahu
  • Osobní údaje nejsou předávány do třetích zemí

5.1.4 Zdroje osobních údajů

  • Osobní údaje získané přímo od uchazečů o zaměstnání
  • Záznamy z kamerového systému

5.1.5 Informace poskytované subjektům údajů

Jsou dostupné u pověřence pro ochranu osobních údajů a na stránkách www.hotel-tomasov.cz v dokumentu Zpracování a ochrana osobních údajů.

Informace o kamerovém systému prostřednictvím piktogramů umístěných na vstupech do zaznamenávaného prostoru a v dokumentu, který je k dispozici u pověřence pro ochranu osobních údajů.

5.1.6 Přijatá technická a organizační opatření

Uzamčená kancelář personalistky, uzamčené skříně s osobními údaji uchazečů v kanceláři personalistky, zálohování dat, pravidelně aktualizovaná antivirová a antispamová ochrana, přístup do IS je logován, přihlašování do IS pod unikátním jménem a heslem, odhlašování po skončení práce, kamerový systém, dodržování vnitřní směrnice a nastavených pracovních procesů, odesílání dopisů s osobními údaji doporučeně včetně archivace podacích lístků, omezení okruhu osob s přístupem k osobním údajům (personalistka, vedení Společnosti), kromě případů uložených nebo umožněných zákonem nebo dohodnutých s uchazečem nesdělujeme informace o osobních údajích třetím osobám. Probíhají pravidelná bezpečnostní školení zaměstnanců majících přístup k osobním údajům uchazečů.

5.1.7 Plánované lhůty pro výmaz osobních údajů

Bezprostředně po skončení výběrového řízení, pokud nebude uchazeč o zaměstnání přijat do pracovního poměru, budou jeho osobní údaje řádně zlikvidovány v souladu se zákonem. V případě, kdy od uchazeče obdržíme výslovný písemný souhlas, že mohou být jeho osobní údaje uchovávány v personální databázi, lze uchovávat osobní údaje po dobu tří let pro vhodné nabídky zaměstnání. V odůvodněných případech budou životopisy a související dokumenty uchovávány po dobu nejvýše tří let z důvodu oprávněných zájmů Společnosti v případě žaloby neúspěšného uchazeče.

Pokud bude chtít uchazeč souhlas se zpracováním svých osobních údajů odvolat, je to možné písemně na e-mailové adrese Ludmila.Presnajderova@ivfzlin.cz nebo na korespondenční adrese Klinika reprodukční medicíny a gynekologie Zlín, U Lomu 638, 760 01 ZLÍN.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.2 Bývalí zaměstnanci

5.2.1 Účel a právní důvod zpracovávání osobních údajů

Společnost zpracovává osobní údaje pro účely vedení mzdové, personální a související agendy pro uskutečňování základního pracovněprávního vztahu.

  • Osobní údaje nezbytné pro účely důchodového a sociálního pojištění apod. – zpracování je nezbytné pro účel splnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR
  • Osobní údaje související s vypořádáním všech závazků vůči bývalému zaměstnanci (např. pro účel výplaty mzdy) – zpracování je nezbytné pro účel splnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR
  • Osobní údaje nezbytné ke komunikaci s bývalým zaměstnancem – zpracování je nezbytné pro účel oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR
  • Nedochází k automatizovanému rozhodování

5.2.2 Kategorie osobních údajů

  • Identifikační údaje sloužící k přesné, jednoznačné a nezaměnitelné identifikaci subjektu údajů – jméno, příjmení, tituly, datum narození, adresa trvalého bydliště atd.
  • Kontaktní údaje – telefon, mobilní telefon, e-mail
  • Mzdové údaje – číslo bankovního účtu

5.2.3 Kategorie příjemců osobních údajů

  • Společnost
  • Zdravotní pojišťovny
  • Orgány sociálního zabezpečení
  • Subjekty žádající o součinnost podle zvláštních právních předpisů
  • Právní poradci
  • Zpracovatelé na základě smlouvy v přiměřeném rozsahu
  • Osobní údaje nejsou předávány do třetích zemí

5.2.4 Zdroje osobních údajů

  • Osobní údaje získané přímo od bývalých zaměstnanců
  • Osobní údaje získané v souvislosti s komunikací s úřady

5.2.5 Informace poskytované subjektům údajů

Jsou dostupné u pověřence pro ochranu osobních údajů a na stránkách www.hotel-tomasov.cz v dokumentu Zpracování a ochrana osobních údajů.

5.2.6 Přijatá technická a organizační opatření

Uzamčená kancelář personalistky, uzamčené skříně s osobními údaji bývalých zaměstnanců v kanceláři personalistky, dopisy s osobními údaji jsou posílány doporučeně, podací lístky se archivují, zálohování dat, pravidelně aktualizovaná antivirová a antispamová ochrana, dodržování vnitřní směrnice a nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům (personalistka, ekonomické oddělení, vedení Společnosti), přístup do IS je logován a zaheslován, hesla nejsou sdílena, po skončení práce se zaměstnanci z IS odhlašují, kromě případů uložených nebo umožněných zákonem nebo dohodnutých s bývalým zaměstnancem nesdělujeme informace o osobních údajích třetím osobám. Probíhají pravidelná školení osob majících přístup k osobním údajům bývalých zaměstnanců.

5.2.7 Plánované lhůty pro výmaz osobních údajů

Údaje uložené v osobním spise uchováváme po dobu stanovenou právními předpisy. Nepotřebné dokumenty jsou likvidovány bez zbytečného odkladu. V odůvodněných případech jsou některé dokumenty ponechány pro ochranu práv zaměstnavatele po dobu promlčecích lhůt z důvodu možné žaloby či kontroly správním orgánem.

5.3 Hoteloví hosté

5.3.1 Účel a právní důvod zpracovávání osobních údajů

  • Zajištění platby za ubytovací služby – zpracování je nezbytné pro účel splnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR
  • Získání nového hosta – zpracování je nezbytné pro účel oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR
  • Ochrana osob, zdraví a majetku (kamerový systém) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR
  • Nedochází k automatizovanému rozhodování

5.3.2 Kategorie osobních údajů

  • Identifikační a kontaktní údaje – jméno, příjmení, adresa, telefon, mobilní telefon
  • Platební údaje – číslo bankovního účtu
  • Identifikační údaje z kamerového systému

5.3.3 Kategorie příjemců osobních údajů

  • Společnost
  • Právní poradci
  • Subjekty žádající o součinnost podle zvláštních právních předpisů
  • Zpracovatelé na základě smlouvy v přiměřeném rozsahu
  • Osobní údaje nejsou předávány do třetích zemí

5.3.4 Zdroje osobních údajů

  • Osobní/telefonický/e-mailový kontakt s hostem
  • Údaje z webových stránek a sociálních sítí
  • Při vyřizování stížností od subjektů údajů
  • Záznamy z kamerového systému

5.3.5 Informace poskytované subjektům údajů

Jsou dostupné u pověřence pro ochranu osobních údajů a na stránkách www.hotel-tomasov.cz v dokumentu Zpracování a ochrana osobních údajů.

Informace o kamerovém systému prostřednictvím piktogramů umístěných na vstupech do zaznamenávaného prostoru a v dokumentu, který je k dispozici u pověřence pro ochranu osobních údajů.

5.3.6 Přijatá technická a organizační opatření

Jsou dostupné u pověřence pro ochranu osobních údajů a na stránkách www.hotel-tomasov.cz v dokumentu Zpracování a ochrana osobních údajů.

Informace o kamerovém systému prostřednictvím piktogramů umístěných na vstupech do zaznamenávaného prostoru a v dokumentu, který je k dispozici u pověřence pro ochranu osobních údajů.

5.3.7 Plánované lhůty pro výmaz osobních údajů

Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu s lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

5.4 Dodavatelé a smluvní partneři

Osobní údaje Společnost zpracovává v takovém rozsahu, v jakém jí byly subjektem údajů poskytnuty v souvislosti s uzavřením smlouvy. Dále zpracovává údaje, které jsou volně dostupné ve veřejných registrech.

5.4.1 Účel a právní důvod zpracování osobních údajů

  • Uzavření smluvního vztahu – zpracování je nezbytné pro účel splnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR
  • Plnění smlouvy mezi Společností a smluvním partnerem (evidence, kontrola činnosti, statistické účely atd.) – zpracování je nezbytné pro účel splnění smlouvy dle čl. 6 odst. 1 písm. b) GDPR
  • Plnění zákonných povinností z platných právních předpisů (účetnictví, regulace reklamy, daňové povinnosti atd.) – zpracování je nezbytné pro účel splnění právní povinnosti dle čl. 6 odst. 1 písm. c) GDPR
  • Zasílání obchodního sdělení (direct marketing) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR
  • Ochrana osob, zdraví a majetku (záznamy z kamerového systému) – zpracování je nezbytné pro účel oprávněného zájmu Společnosti dle čl. 6 odst. 1 písm. f) GDPR
  • Nedochází k automatizovanému rozhodování

5.4.2 Kategorie osobních údajů

  • Identifikační údaje pro jednoznačnou, nezaměnitelnou a přesnou identifikaci subjektů údajů (jméno, příjmení, název společnosti, IČ atd.)
  • Kontaktní údaje (telefon, mobilní telefon, e-mail, adresa)
  • Ostatní údaje uvedené ve smlouvě, na fakturách apod.
  • Rodné číslo pouze v případech, kdy tak vyžaduje zákon
  • Technické údaje z komunikace se subjektem údajů (IP adresa, čas komunikace)
  • Identifikační údaje z kamerového systému

5.4.3 Kategorie příjemců osobních údajů

  • Společnost
  • Subjekty žádající o součinnost podle zvláštních právních předpisů
  • Veřejné instituce
  • Právní, ekonomičtí a daňoví poradci a auditoři za účelem poskytování poradenských služeb
  • Zpracovatelé na základě smlouvy v přiměřeném rozsahu
  • Osobní údaje nejsou předávány do třetích zemí

5.4.4 Zdroje osobních údajů

  • Při jednání o uzavření smlouvy
  • Při plnění podmínek z již uzavřených smluv
  • Při vyřizování stížností od subjektů údajů
  • Záznamy z kamerového systému

5.4.5 Informace poskytované subjektům údajů

Jsou dostupné u pověřence pro ochranu osobních údajů a na stránkách www.hotel-tomasov.cz v dokumentu Zpracování a ochrana osobních údajů.

Informace o kamerovém systému prostřednictvím piktogramů umístěných na vstupech do zaznamenávaného prostoru a v dokumentu, který je k dispozici u pověřence pro ochranu osobních údajů.

5.4.6 Přijatá technická a organizační opatření

Uzamčené kanceláře, uzamčené skříně se smlouvami dodavatelů a smluvních partnerů, zálohování dat, pravidelně aktualizovaná antivirová a antispamová ochrana, přihlašování do počítače pod unikátním jménem a heslem, odhlašování z počítače po skončení práce, dopisy s osobními údaji jsou posílány doporučeně, podací lístky se archivují, vstup do II. a III. patra je řízen, vstup do administrativní části II. patra je oddělen dveřmi bez kliky, pohyb cizích osob je možný pouze v doprovodu zaměstnanců, kamerový systém, dodržování vnitřní směrnice a nastavených pracovních procesů, omezení okruhu osob s přístupem k osobním údajům (ekonomické oddělení, vedení Společnosti), kromě případů uložených nebo umožněných zákonem nebo dohodnutých se smluvním partnerem nesdělujeme informace o osobních údajích třetím osobám. Probíhají pravidelná školení zainteresovaných pracovníků.

5.4.7 Plánované lhůty pro výmaz

Osobní údaje zpracovává Společnost po dobu nezbytně nutnou ke splnění daného účelu a v souladu s lhůtami uvedenými v obecně závazných právních předpisech České republiky, ev. tak dlouho, jak je to nutné pro určení, výkon nebo obhajobu právních nároků.

Kamerový systém pořizuje záznam čtyři až pět dnů zpětně, který se po uplynutí této lhůty automaticky přemazává. Živý záznam mají k dispozici pracovnice recepce. Dohledávat zpětně údaje v záznamu může správce budovy a IT pracovník.

 

6. POUČENÍ O PRÁVECH SUBJEKTŮ ÚDAJŮ

Subjekt údajů má právo požádat Společnost o informaci, zda jsou nebo nejsou osobní údaje, které se subjektu údajů týkají, zpracovávány a o přístup k těmto osobním údajům.

Subjekt údajů má dále právo na opravu svých osobních údajů (v případě nepřesných osobních údajů a doplnění neúplných osobních údajů).

Pokud je dán jeden z těchto důvodů, má právo na výmaz osobních údajů:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány
  • subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro jejich zpracování
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování
  • osobní údaje byly zpracovány protiprávně
  • osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie (EU) nebo právu ČR, které se na Společnost vztahuje.

V případech popsaných v čl. 17 odst. 3 písm. a) – e) Nařízení o GDPR se právo neuplatní.

Právo na omezení zpracování je možno použít v případě, že:

  • subjekt údajů popře přesnost na dobu potřebnou k tomu, aby bylo možno přesnost osobních údajů ověřit
  • zpracování je protiprávní a subjekt údajů žádá místo výmazu osobních údajů omezení jejich použití
  • osobní údaje již Společnost nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
  • subjekt údajů vznese námitku proti zpracování osobních údajů. Zpracování osobních údajů bude probíhat v omezeném rozsahu, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad oprávněnými důvody subjektu údajů.

Právo na přenositelnost znamená, že lze požádat Společnost o získání/předání osobních údajů v případě, že zpracování osobních údajů je založeno na souhlasu (dle Nařízení o GDPR čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b)) a zpracování se provádí automatizovaně.

V případě osobních údajů, které jsou zpracovávány na základě souhlasu, má subjekt údajů právo tento svůj souhlas odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházející ze souhlasu, který byl dán před jeho odvoláním.

Subjekt údajů má právo podat stížnost u dozorového úřadu, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz.

V případě, že dojde v rámci zpracování osobních údajů Společností k porušení zabezpečení těchto údajů, které bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí Společnost toto porušení bez zbytečného odkladu ÚOOÚ a na svých webových stránkách.

7. ZÁKLADNÍ PRÁVNÍ PŘEDPISY UPRAVUJÍCÍ PROBLEMATIKU OSOBNÍCH ÚDAJŮ

  • Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) s účinností od 25.5.2018
  • Zákon č. 110/2019 Sb., o zpracování osobních údajů
  • Zákon č. 111/2019 Sb., zákon, kterým se mění některé zákony v souvislosti s přijetím zákona o zpracování osobních údajů