Pokud jste mým zákazníkem, odběratelem novinek nebo návštěvníkem webu, svěřujete mi své osobní údaje. Já zodpovídám za jejich ochranu a zabezpečení. Seznamte se, prosím, s ochranou osobních údajů, zásadami a právy, které máte v souvislosti s platnou legislativou.
Správce osobních údajů
Ing. Iva Kouřilová, Májová 151, 293 01 Mladá Boleslav, IČ 74521624, tel.: 777 631 981, e-mail: ikourilova@centrum.cz.
Účel a cíl bezpečnostní směrnice
Tato bezpečnostní směrnice stanovuje pravidla pro zpracování osobních údajů fyzických osob a popisuje základní požadavky, povinnosti a opatření při zpracování osobních údajů. Cílem je zabezpečit ochranu osobních údajů při manuálním a automatizovaném zpracování v souladu se zákonem č. 101/2000 Sb. o ochraně osobních údajů a v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.
Rozsah platnosti
Směrnice je závazná pro ty zaměstnance a spolupracovníky, kteří při své činnosti přicházejí do styku s osobními údaji fyzických osob zpracovávaných ve jménu správce. Porušení směrnice se považuje za závažné porušení pracovní disciplíny a závažné porušení spolupráce.
Směrnice je určená:
- zaměstnancům správce, pokud správce zaměstnance má,
- smluvním a jiným partnerům majícím možnost přístupu k osobním údajům.
Definice pojmů
Osobní údaje – veškeré informace o identifikované nebo identifikovatelné fyzické osobě, přičemž takovou osobou je fyzická osoba, kterou je možno přímo či nepřímo identifikovat, zejména na základě všeobecně použitelného identifikátoru nebo na základě jedné či vícerých charakteristik nebo znaků, které tvoří její fyzickou, fyziologickou, genetickou, psychickou, mentální, ekonomickou, kulturní nebo společenskou identitu. Může to být například jméno, příjmení, rodné číslo, adresa, síťový identifikátor…
Zvláštní kategorie osobních údajů – např. informace o členství v politické straně, náboženství, sexuální orientaci, zdravotním stavu, biometrické údaje…
Zpracování osobních údajů – vykonávání jakýchkoliv operací anebo souborů operací s osobními údaji, např. jejich shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Správce osobních údajů (dále jen správce) – Ing. Iva Kouřilová, Májová 151, 293 01 Mladá Boleslav, IČ 74521624, tel.: 777 631 981, e-mail: ikourilova@centrum.cz.
Zpracovatel osobních údajů – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Třetí strana – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není dotčenou osobou, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů,
Dotčená osoba – každá fyzická osoba, jejíž osobní údaje se zpracovávají. Může to být osoba, které bylo poskytnuto poradenství nebo podpora v těhotenství, při porodu, při kojení a v dalších aspektech a fázích rodičovství či konzultace v oblasti homeopatie nebo osoba, jejíž osobní údaje se zpracovávají pro účely mzdové agendy správce v případě, má-li správce zaměstnance.
Souhlas dotčené osoby – jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým dotčená osoba dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Účel zpracování – předem jednoznačně vymezený nebo ustanovený záměr zpracování osobních údajů, který se váže na určitou činnost. Účelem může být dokumentace z poradenství včetně komunikace přes internet, daňové doklady/fakturace, reference na webových stránkách, přihlašování na podpůrnou skupinu kojících matek, přihlašování na kurz přípravy na rodičovství, sjednávání individuálních schůzek či doprovodu k porodu a další.
Automatizovaný informační systém – (dále jen „AIS“) souhrn technických prostředků výpočetní techniky, programové a aplikační vybavení, údajová základna, paměťová média s údaji, instalační média, dokumentace související s technickým a programovým vybavením určeným na automatizované zpracování údajů.
Uživatelský účet – slouží k identifikaci uživatele v automatizovaném informačním systému, tvoří jej název účtu a heslo.
Oprávněný uživatel – zaměstnanec nebo osoba vykonávající činnost ve jménu správce, který byl poučen o zásadách zpracování osobních údajů a jemuž byl zřízen uživatelský účet a přidělena příslušná přístupová práva umožňující plnění jeho pracovních povinností.
Likvidace osobních údajů – zrušení osobních údajů rozložením, vymazáním nebo fyzickým zničením hmotných nosičů tak, aby se z nich osobní údaje nedaly reprodukovat.
Bezpečnostní opatření – vykonávaná praxe, pracovní postup nebo zařízení, která snižují riziko zneužití osobních údajů.
Bezpečnostní incident – událost, jejíž přetrvávání nebo opakování by mohlo způsobit ohrožení zájmů správce a snížení úrovně ochrany zpracovaných osobních údajů.
Všeobecné zásady zpracování osobních údajů
Zpracovat je možné jen takové údaje, které svým rozsahem odpovídají účelu jejich zpracování podle zákonem stanovených podmínek na základě souhlasu dotčené osoby, s ohledem na výjimky ze zákona, kdy není potřebný souhlas dotčené osoby. Souhlas dotčené osoby si správce nesmí vynucovat. Při zpracování osobních údajů je potřebné dodržovat zásady:
- zásada zákonnosti, korektnosti a transparentnosti – správce má povinnost zpracovávat osobní údaje výhradně na základě právního důvodu a vůči dotčené osobě transparentně,
- zásada omezení účelu – osobní údaje se mohou získávat jen na konkrétně určený, výslovně uvedený a oprávněný účel a nesmí se dále zpracovat způsobem, který není slučitelný s tímto účelem,
- zásada minimalizace osobních údajů – osobní údaje mohou být zpracovány jen v přiměřeném a relevantním rozsahu ve vztahu k účelu, pro který jsou zpracovány,
- zásada správnosti – zpracované osobní údaje musí být správné a podle potřeby aktualizované,
- zásada omezení uložení – osobní údaje se zpracovávají nejpozději do té doby, dokud je to potřebné k účelu, pro nějž se zpracovávají,
- zásada integrity – zpracování osobních údajů takovým způsobem, který zaručí jejich přiměřenou bezpečnost,
- zásada zodpovědnosti – správce je zodpovědný za dodržování základních zásad při zpracování osobních údajů,
- zásada mlčenlivosti – správce a zpracovatel osobních údajů jsou povinni dodržovat mlčenlivost o osobních údajích, s nimiž přijdou do styku. Osobní údaje se nesmí využít pro osobní potřebu, bez souhlasu dotčené osoby se nesmí zveřejňovat ani nikomu poskytovat a zpřístupňovat, kromě zákonných výjimek (např. správa sociálního zabezpečení a zdravotní pojišťovna v případě, že má správce zaměstnance).
Vymezení osobních údajů
Oprávněná osoba zpracovává osobní údaje jen v rozsahu a způsobem vymezeným účelem:
- vedení záznamů z podpůrných skupin těhotných/kojících žen, vedení záznamů souvisejících s doprovodem duly k porodu, vedení záznamů z poradenství při kojení osobním i virtuálním, vedení záznamů souvisejících s podporou rodiny v dalších aspektech rodičovství, vedení záznamů z konzultací v oblasti homeopatie osobních i virtuálních. Pro tento účel zpracovává osobní údaje: jméno, příjmení, e-mail, adresa, tel. číslo, osobní údaje a fotky/videa z komunikace přes email, zprávy, aplikace Messenger, WhatsApp nebo jiných aplikací určených ke komunikaci, jméno dítěte, věk/datum narození dítěte, průběh a okolnosti těhotenství, porodu a poporodního období (vč. minulých těhotenství a porodů) a zdravotní stav dotčené osoby a dítěte včetně podstoupených vyšetření. Tyto údaje jsou zpracovány z důvodu plnění smlouvy mezi dotčenou osobou a poskytovatelem služby.
- účetní doklady – pro tento účel se zpracovávají osobní údaje: jméno, příjmení, adresa, e-mail, v případě vystavení dokladu pro zdravotní pojišťovnu (za účelem proplacení poskytnutých služeb nebo jejich části) mohou být vyžadovány další údaje dle potřeb konkrétní zdravotní pojišťovny (zpravidla to bývá jméno, příjmení a datum narození dítěte),
- reference zveřejněné na webových stránkách – pro tento účel se zpracovávají osobní údaje, které dotčená osoba sama poskytne, obvykle jméno, město, e-mail (není zveřejněný) a reference k poskytnutým službám, které mohou zahrnovat zdravotní stav dotčené osoby a dítěte dotčené osoby. Poskytnutí reference je čistě dobrovolným aktem dotčené osoby a slouží k zpětné vazbě poskytovateli služeb, veřejnosti a případným dalším zákazníkům. Neposkytnutí těchto údajů nemá vliv na plnění smlouvy mezi dotčenou osobou a správcem údajů.
- informovaný souhlas – pro účel souhlasu se zpracováním osobních údajů se zpracovávají osobní údaje poskytnuté dotčenou osobou,
- přihlašování na podpůrnou skupinu těhotných/kojících žen/rodičů nebo předporodní kurz přípravy na porod a rodičovství – zpracovávají se osobní údaje: jméno, příjmení, e-mail, telefonní číslo, v případě individuální předporodní přípravy u dotčené osoby v domácnosti se zpracovává i adresa místa setkání. Tyto údaje jsou zpracovány z důvodu plnění smlouvy a umožňují komunikaci v organizačních záležitostech.
- besedy, přednášky a další skupinová setkání – z těchto událostí může být po oboustranném odsouhlasení zpracována foto-, audio- nebo videodokumentace, jež může být následně zveřejněna (bez označení konkrétních osob) na internetových stránkách správce a dalších spolupracujících osob či sociálních sítích za účelem osvěty v oblasti rodičovství či za marketingovými účely správce. Neposkytnutí souhlasu se zpracováním těchto osobních údajů nemá vliv na plnění smlouvy mezi dotčenou osobou a správcem údajů.
- prodej e-booků/tištěných brožur přes prostředky komunikace na dálku – za účelem proběhnutí prodeje zpracovává správce jméno a příjmení a e-mailovou adresu, případně firmu, IČ, DIČ. V případě zasílání brožury v tištěné podobě zpracovává i adresu a telefonní číslo. Tyto údaje jsou zpracovány z důvodu plnění smlouvy.
Oprávněné osoby jsou povinny po poučení dodržovat zásady pro zpracování osobních údajů podle této směrnice.
Účel zpracování osobních údajů
Správce zpracovává osobní údaje za následujícími účely:
- plnění smlouvy a poskytování služeb,
- splnění právní povinnosti (zejm. účetní, daňové a archivační),
- marketingové účely.
Předání dat třetím stranám, fungování webu, používané aplikace, komunikace na dálku
Osobní údaje mohou být poskytnuty zastupující kolegyni nebo kolegovi – vždy na základě předchozího souhlasu dotčené osoby o zastupování tímto kolegou/kolegyní. Zastupující kolegyně/kolega se tímto stává plně odpovědným za zpracování těchto údajů v souladu s platnými předpisy.
V rámci elektronické evidence tržeb je využíván příslušný software (EET Pokladna, software však může být i změněn). V případě, že si dotčená osoba přeje zaslat doklad na dálku, jsou tomuto softwaru poskytnuty potřebné údaje (obvykle e-mailová adresa nebo telefonní číslo). Má-li účtenka sloužit zároveň jako doklad pro zdravotní pojišťovnu (v případě čerpání příspěvku v rámci programů pro pojištěnce), je zpravidla nutné doplnit některé další údaje jako například jméno a příjmení, datum narození/rodné číslo, adresu, příp. údaje o dítěti, na nějž bude příspěvek čerpán (jméno a příjmení, datum narození/rodné číslo) – vždy v závislosti na podmínkách konkrétní pojišťovny. EET aplikace předává data finanční správě. Nepřeje-li si dotčená osoba zadávat do aplikace osobní údaje, je možné po dohodě se zdravotní pojišťovnou doplnit tyto údaje na účtenku pouze ručně.
Při objednání zboží ke koupi (např. informační brožury) nebo k zapůjčení (např. šátek na nošení dětí, pomůcky ke kojení atp.) a jejich zasílání na dálku je nutné využít služeb přepravní společnosti – obvykle České pošty nebo Zásilkovny. Tyto společnosti vyžadují k úspěšnému doručení zásilky uvedení jména, příjmení a dále obvykle adresy, telefonního čísla nebo e-mailu.
V případě homeopatické konzultace jsou využívány nástroje softwarového programu Radar Opus společnosti Zeus Soft – tento program pomáhá při analýze příznaků. Příznaky zde nejsou zpracovány ve spojení s konkrétním jménem a příjmením.
Při komunikaci na dálku nebo využívání webových stránek mohou mít k osobním údajům přístup třetí strany jak v Evropské unii (např. poskytovatelé telekomunikačních a jiných platforem, jmenovitě např. T-Mobile, centrum.cz, Wedos aj.), tak prostřednictvím služeb společností Google, Microsoft, Facebook, WordPress aj. třetí strany v dalších zemích. V rámci poskytování služeb mohou být využívány online formuláře, cloudová úložiště, software umožňující komunikaci na dálku, automatizovaná služba detekce spamu, analytické nástroje sloužící ke zkvalitňování webových stránek, cookies a další.
Cookies jsou malé textové soubory, které navštívený web posílá směrem k Vašemu zařízení, ukládá je a v případě, že se na webovou stránku vracíte, jsou přeneseny zpět. Využíváme několik druhů cookies. Ukládání cookies můžete zabránit příslušným nastavením softwaru Vašeho prohlížeče. Právním základem zpracování je náš oprávněný zájem na řádném fungování webové stránky.
K zabránění přístupu robotů na webovou stránku mohou být využity nástroje jako např. Google reCaptcha, který může zpracovávat osobní údaje jako IP adresa, základní parametry prohlížeče, pohyby myší, existující cookies atd. Tento nástroj nám umožňuje chránit webovou stránku před útoky nelegitimních uživatelů, právním základem zpracování je náš oprávněný zájem na fungování webové stránky. Tyto údaje budeme zpracovávat po dobu provozu webové stránky. Podrobnosti o službě naleznete na www.google.com/recaptcha/intro.
Příspěvky na těchto stránkách mohou obsahovat vložený obsah (například videa, obrázky, články atd.). Vložený obsah z jiných webových stránek se chová stejným způsobem, jako kdyby návštěvník navštívil jiný web. Tyto webové stránky mohou shromažďovat osobní údaje, používat soubory cookies, vkládat další sledování od třetích stran a sledovat interakci návštěvníka s tímto vloženým obsahem, včetně sledování interakce s vloženým obsahem, pokud má návštěvník na dané stránce účet a je tam přihlášen.
V zájmu navázání kontaktu se zákazníky a s veřejností máme profil na síti Facebook, kam dovolujeme veřejnosti vkládat své komentáře, fotografie či hodnocení, příp. psát soukromé zprávy. O rozsahu poskytnutí osobních údajů rozhoduje výhradně dotčená osoba (zpravidla jméno, příjmení, přezdívka, podobizna, fotografie, hodnocení ve formě „like“ apod.). Účelem poskytnutí osobních údajů je umožnit zákazníkovi sdílet s námi a jinými uživateli Facebooku své názory, informace, nálady a vizuální, popř. audiovizuální obsah atp. Jsme přesvědčeni, že dané osobní údaje zpracovává primárně provozovatel Facebooku a my přímo správcem nejsme. Pokud bychom však přesto za správce či zpracovatele byli považováni, je zpracování osobních údajů založeno na svobodném udělení souhlasu dotčenou osobou podle článku 6 odst. 1 písm. a) GDPR, kdy „postováním“ tato dotčená osoba potvrzuje, že si přečetla a porozuměla zásadám ochrany osobních údajů a je si vědoma svých práv dle GDPR. Souhlas s poskytnutím svých osobních údajů může kdykoliv a bez udání důvodů odvolat, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním. Poskytování osobních údajů ve výše uvedené souvislosti není zákonným či smluvním požadavkem, ani požadavkem, který je nutné uvést do smlouvy, s tím, že subjekt údajů nemá povinnost osobní údaje poskytnout, a pokud je neposkytne, nebude moci využít možností platformy Facebook. Poskytnutými osobními údaji disponujeme, resp. provozovatel Facebooku, tak dlouho, dokud dotčená osoba post sama neodstraní z našeho profilu a dále po dobu existence našeho profilu na dané síti Facebook.
Seznam externích společností, jejichž služeb využíváme, a jejich podmínky ochrany osobních údajů
Microsoft: https://privacy.microsoft.com/cs-cz
Wedos: https://www.wedos.cz/wp-content/uploads/2019/06/zasady-zpracovani-osobnich-udaju.pdf
WordPress: https://automattic.com/privacy/
Everest Forms – WP Everest: https://wpeverest.com/privacy-policy/
T-Mobile: https://www.t-mobile.cz/ochrana-udaju
Centrum.cz – Ekonomia: https://www.economia.cz/ochrana-osobnich-udaju/
EET Pokladna – Mobile City: http://mobilecity.cz/eet/#zasady
Google: https://www.google.com/policies/privacy, https://privacy.google.com/businesses/processorterms/
Gdrive: https://cloud.google.com/terms/data-processing-terms, https://cloud.google.com/terms/data-processing-terms/partner/
WhatsApp: https://www.whatsapp.com/legal/
Facebook: https://www.facebook.com/full_data_use_policy
QR Code Generator: https://the-qrcode-generator.com/privacy
Radar Opus – Zeus Soft: https://www.radaropus.com/privacypolicy
Zásilkovna: https://www.zasilkovna.cz/eshopy/vop, https://files.packeta.com/web/files/Priloha%20c.5_Smlouva%20o%20zpracovani%20osobnich%20udaju.pdf
Česká pošta: https://www.ceskaposta.cz/o-ceske-poste/ochrana-osobnich-udaju-gdpr
Práva dotčených osob
Dotčená osoba má právo:
- právo požadovat od správce přístup ke svým osobním údajům,
- právo na opravu osobních údajů,
- právo na výmaz osobních údajů,
- právo na omezení zpracování osobních údajů,
- právo vznést námitku proti zpracování osobních údajů,
- právo na přenositelnost svých osobních údajů,
- právo odvolat souhlas (pokud je souhlas právním základem zpracování),
- právo podat stížnost dozorčímu orgánu, tj. Úřadu pro ochranu osobních údajů České republiky.
Dotčená osoba může tato práva vyžadovat od správce ústně, písemně nebo elektronickou formou. Správce musí tomuto právu vyhovět, obvykle ve formě, v jaké se dotčená osoba svého práva dožaduje. Pokud se dotčená osoba dožaduje svých práv ústně, má správce právo požadovat od ní dodatečné informace potřebné na potvrzení totožnosti.
Správce je povinen poskytnout informace do jednoho měsíce od doručení žádosti. V odůvodněných případech může prodloužit lhůtu o další dva měsíce, a to i opakovaně. O každém takovém prodloužení musí informovat dotčenou osobu do jednoho měsíce od doručení žádosti s důvody prodloužení lhůty.
Informace správce poskytuje bezplatně, kromě důvodů, kdy je žádost dotčené osoby zjevně neopodstatněná anebo nepřiměřená, zejména pro její opakující se povahu. V takovém případě může správce požadovat přiměřený poplatek nebo odmítnout konat na základě žádosti dotčené osoby.
Pokud správce nepřijme opatření, o něž dotčená osoba požádala, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti dotčenou osobu o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.
Bezpečnostní opatření
Bezpečnostní opatření slouží k zabezpečení důvěrnosti a dostupnosti chráněných osobních údajů.
Oprávněné osoby jsou povinny:
- chránit zpracované osobní údaje,
- chránit informační a technologické zdroje s údaji,
- zpracovat osobní údaje v souladu s touto směrnicí,
- informovat správce, pokud zjistí porušení nebo nedodržení principů této směrnice.
Správce před započetím zpracování osobních údajů a během jejich zpracování průběžně kontroluje, zda jejich zpracováním nevzniká nebezpečí narušení práv a svobod dotčených osob. Kontrolu vykonává minimálně jednou ročně, podle potřeby může i častěji. Výstupem kontroly je zápis, ve kterém jsou popsána zjištění z kontroly. V případě nedostatků jsou následně přijímaná opatření na zabezpečení bezpečnosti zpracovaných osobních údajů.
Postupy při bezpečnostních incidentech, haváriích, poruchách a jiných mimořádných situacích
Incidentem týkajícím se zpracování osobních údajů jsou jakékoliv události, při kterých dochází k narušení bezpečnosti zpracování osobních údajů, např.:
- ztráta nebo krádež nosičů informací obsahujících osobní údaje,
- selhání informačních systémů obsahujících osobní údaje,
- výskyt škodlivého kódu v počítačových zařízeních nebo na serveru,
- podezření na neoprávněný přístup do informačních systémů,
- narušení důvěrnosti osobních údajů,
- zneužití údajů na jiné než vymezené účely,
- požár v chráněných prostorech správce,
- živelné pohromy, resp. jiné nepředvídatelné mimořádné události.
Správce přijme přiměřená dostupná opatření, aby se pokusil předejít vzniku bezpečnostních incidentů.
Pokud správce zjistí porušení ochrany osobních údajů a toto porušení ochrany povede k potenciálnímu ohrožení práv dotčené osoby, je povinen přijmout přiměřená opatření na nápravu a do 72 hodin od zjištění skutečnosti o porušení ochrany osobních údajů informovat Úřad pro ochranu osobních údajů o tomto porušení, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody dotčené osoby.
Seznam bezpečnostních opatření
Technická opatření
Zabezpečení objektu pomocí mechanických zábranných prostředků
Objekty, ve kterých se nacházejí osobní údaje zaznamenané na fyzických nosičích nebo výpočetní technika, ze které se přistupuje do systémů pro zpracování osobních údajů, musí být zabezpečené proti neoprávněnému vniknutí.
Výpočetní technika musí být při zpracování osobních údajů umístněna tak, aby nebylo možné nepověřenými osobami odpozorovat z monitoru zpracované osobní údaje dotčených osob.
Osobní údaje v tištěné formě – např. ve formě zápisu o poradenství či dalších poskytnutých službách, daňové doklady (pakliže obsahují osobní údaje) jsou uchovávány v sídle správce v uzamykatelném trezoru nebo uzamykatelné skříni.
Pokud oprávněná osoba pracuje s osobními údaji na listinných nosičích, tyto nesmí být ponechány např. volně na stole na místě, kam mají přístup cizí osoby. Pokud je potřeba přenést listinné dokumenty, musí být celou dobu pod dozorem, nesmí být např. ponechány v autě při jeho opuštění, ani pokud je uzamčené.
Ochrana před neoprávněným přístupem
Počítačové zařízení, ze kterého se přistupuje k osobním údajům dotčených osob, musí být zabezpečené heslem. Pokud je potřeba přenést údaje prostřednictvím počítačových sítí, je potřebné přenášená data zabezpečit pomocí hesla, bez kterého se nedá soubor s osobními údaji otevřít.
Autorizace osob v automatizovaném informačním systému
Oprávněné osoby mají na vstup do AIS vytvořeny osobní přihlašovací údaje s bezpečným heslem, které pravidelně musí měnit 1 x za 3 měsíce. Heslo musí být „silné“ – musí obsahovat kromě malých znaků abecedy také minimálně jeden velký znak a speciální znak, případně číslo. Heslo musí obsahovat náhodné znaky, ne celá slova. Příkladem silného hesla je A47Z@iYpet, příkladem slabého hesla je kojeni10. Oprávněná osoba nesmí heslo uchovávat v počítači ani mobilním zařízení, ale v písemné formě na takovém místě, kam nemají přístup neoprávněné osoby.
Ochrana proti škodlivému kódu
Počítačové zařízení, ze kterého se přistupuje do informačního systému, je zabezpečené pravidelně aktualizovaným antivirovým programem. Pravidelná rychlá kontrola počítače antivirovým programem je spuštěna automaticky každý den, hloubková kontrola 1 x týdně.
Správce v počítači používá jen legální software se zapnutým firewall-em. Připojení na počítačovou síť je zabezpečené šifrovaným spojením s heslem, nikdy přes veřejně přístupné počítačové sítě. Úroveň ochrany je nastavená na „střední“ – upozornění, pokud se stránky pokoušejí instalovat doplňky, blokování nahlášených útočných stránek, blokování nahlášených podvodných stránek.
Software počítačů je pravidelně aktualizován.
Zálohování zpracovaných osobních údajů
Zálohování zpracovaných osobních údajů se uskutečňuje 1 x měsíčně. Osobní údaje uložené na pevném disku počítačového zařízení se zálohují na datový nosič určený výlučně na tyto potřeby.
Likvidace osobních údajů
Pokud je potřebné vykonat likvidaci fyzických nosičů s osobními údaji, tyto je třeba skartovat, případně jinak fyzicky zničit, aby nebylo možné zpětné zjištění osobních údajů z těchto nosičů. Za bezpečnou likvidaci nosiče se nepovažuje vyhození celého nosiče do koše.
Osobní údaje se z počítačového zařízení likvidují vymazáním z pevného disku počítačového zařízení a vymazáním z datového nosiče určeného na zálohování osobních údajů.
Osobní údaje je oprávněna likvidovat jen oprávněná osoba.
Organizační bezpečnostní opatření
Před prvním uskutečněním zpracovatelské operace s osobními údaji správce poučí zpracovatele osobních údajů o právech a povinnostech vyplývajících ze zákona a vyhotoví o tom písemný záznam o poučení.
Postupy při zpracování osobních údajů
Zpracovatelé osobních údajů mají neomezený přístup k osobním údajům dotčených osob a mohou vykonávat všechny zpracovatelské operace:
- oprávnění obeznamovat se s osobními údaji
- oprávnění získávat osobní údaje ve jménu správce
- oprávnění zaznamenávat osobní údaje
- oprávnění vykonávat změny a opravy osobních údajů
- oprávnění likvidovat osobní údaje
- neomezený přístup k zpracovaným osobním údajům
Zakázané postupy při zpracování osobních údajů:
- zveřejňování osobních údajů, kromě případů, kdy dotčená osoba výslovně souhlasila se zveřejněním osobních údajů
- poskytování osobních údajů třetím stranám, o kterých nebyla dotčená osoba předem informovaná
- zpřístupňování osobních údajů
- přeshraniční přenos osobních údajů
Zodpovědnost za porušení zákona o ochraně osobních údajů
Zpracovatel osobních údajů poučením přebírá na sebe zodpovědnost za zpracování osobních údajů podle této bezpečnostní směrnice. V případě, že okolnosti nedovolují dodržet všechna uvedená bezpečnostní opatření, bezodkladně informuje o této skutečnosti správce.
Vzdělávání
Zpracovatel osobních údajů je před první zpracovatelskou operaci s osobními údaji důkladně obeznámen se systémem zpracování osobních údajů. Rovněž je obeznámen s pravidly používání počítačových zařízení a možnými riziky spojenými s jejich používáním v rámci sítě Internetu.
Postup při ukončení případného pracovního poměru oprávněné osoby nebo spolupráce s oprávněnou osobou
Správce při ukončení pracovního poměru/spolupráce se zpracovatelem osobních údajů zruší této osobě přístupová práva do správy informačních systémů. I po ukončení pracovního poměru nebo ukončení spolupráce je zpracovatel osobních údajů povinen dodržovat mlčenlivost o osobních údajích zpracovávaných během trvání jeho pracovního poměru nebo trvání spolupráce se správcem.
Postup při poruše počítačového zařízení
Pokud je potřebné vykonat opravu počítačového zařízení, ve kterém jsou osobní údaje, mimo sídla správce, je potřebné osobní údaje z počítačového zařízení zálohovat na datový nosič, vymazat z počítačového zařízení a až poté umožnit opravu zařízení.
Tato bezpečnostní směrnice je závazná a platná od 1. 1. 2020.