Strona przeznaczona wyłącznie dla profesjonalistów

Egerton Sp. z o. o. se sídlem v Zabrze
  
ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ Edition 2 jsou účinné od 1. října 2018                                                                                                                  
 
Metrika dokumentu
Autor dokumentu: Błażej Pancerz
Verze dokumentu: 2.0
Stav: Schváleno
Podpis správce
 
Datum verze 30.09.2018
 
Seznam úprav a historie dokumentu
Verze dokumentu: 1.0
Datum verze: 16.08.2016
Informace o změnách a stavu
Osoba provádějící úpravu

První vydání dokumentace
----------
2.0: 30.09.2018: Soulad s GDPR
  
Obsah
1. Obecná ustanovení. 3
2. Odpovědnost. 3
3. Definice. 4
4. Pravidla zpracování dat. 4
5. Oblast zpracování osobních údajů. 6
6. Záznamy o činnostech zpracování osobních údajů. 7
7. Osoby oprávněné zpracovávat osobní údaje. 7
8. Pověření zpracováním dat. 7
9. Oddělení povinností.. 8
10. Stanovení opatření nezbytných pro zachování bezpečnosti dat. 9
11. Posouzení dopadů na ochranu osobních údajů. 11
12. Porušení ochrany osobních údajů. 12
13. Práva subjektů údajů. 12
14. Závěrečná ustanovení. 13                                             

1.Obecná ustanovení
1.1.Právní základ Základními právními akty, kterým podléhají tyto Zásady ochrany osobních údajů (dále jen Zásady), jsou:
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) – dále jen GDPR.
Zákon ze dne 10. května 2018 o ochraně osobních údajů (Sbírka zákonů z roku 2018, pol. 1000) - dále jen UODO.

1.2 Účel provádění
Zásadou je zajistit řádnou ochranu základních práv a svobod fyzických osob, zejména jejich práva na ochranu osobních údajů, které zpracovává Správce - Egerton Spółka z ograniczoną odpowiedzialnością se sídlem Zabrze, 41-811 , na ul. Legnická 21, REGON 361216648, KRS 0000552481, dále jen (společnost Egerton Sp. z o.o., ADO, Správce).
Zásady popisují organizační a technické činnosti směřující k dosažení a udržení přijatelné úrovně zabezpečení osobních údajů, včetně zvýšení úrovně informovanosti osob jednajících na žádost Správce.
Účelem Zásad je vymezit povinnosti a činnosti osob v procesu zpracování osobních údajů a zajistit zpracování těchto údajů v souladu se zásadami stanovenými v zákoně.
Správce dosahuje konkrétních cílů prostřednictvím následujících strategií:
vhodné řízení rizik s cílem snížit je na přijatelnou úroveň,
řádná ochrana dat,
zajištění přiměřené úrovně přístupu k údajům v IT systému a k údajům v listinné podobě,
řádná ochrana údajů získaných v souvislosti s uzavíráním smluv,
implementace a rozvoj IT systému v souladu s bezpečnostními pravidly,
provozování IT systému v souladu s bezpečnostními pravidly,
neustálé zvyšování kvalifikace zaměstnanců v oblasti znalostí technik ochrany informací.
1.3.Rozsah použití
Zásady mají status dokumentu určeného pro interní použití a mohou být zpřístupněny třetím osobám pouze se souhlasem Správce.
Rozsah Zásad pokrývá všechny soubory osobních údajů zpracovávané pomocí IT systémů a datové soubory zpracovávané tradičním (ručním) způsobem, tedy evidované ve formě papírové dokumentace v knihách, seznamech a jiných evidenčních souborech.
Objektivní rozsah Zásad pokrývá všechny datové soubory, jejichž Správcem je Egerton Sp. z o.o. a pro koho je zpracovatelem, tedy údajů, jejichž zpracováním byla pověřena společnost Egerton Sp. z o. o. třetí strana. Ve vztahu k údajům svěřeným ke zpracování se uplatňují obdobné zásady ochrany a zabezpečení jako v případě spravovaných údajů s přihlédnutím k typu svěřených údajů.
Zásady se vztahují na všechny zaměstnance společnosti Egerton Sp. z o. o. a další osoby zpracovávající osobní údaje na její žádost, jakož i osoby zdržující se v oblasti zpracování osobních údajů.
2. Odpovědnost Správce odpovídá za dodržování ustanovení o zabezpečení osobních údajů zpracovávaných společností Egerton Sp. z o.o.
Správce odpovídá za implementaci Zásad a poskytuje organizační a finanční podporu při zavádění mechanismů k zabezpečení osobních údajů a IT systému, jakož i zdrojů nezbytných k dosažení cílů a plnění úkolů stanovených Zásadami.
Podle Čl. 24 sekund 1 GDPR, Správce s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, jakož i k riziku porušení práv nebo svobod fyzických osob s různou pravděpodobnostmi a závažností ohrožení, zavádí vhodné technické a organizační opatření k zajištění toho, aby zpracování probíhalo v souladu s GDPR a bylo možné jej prokázat – v souladu se zásadou „odpovědnosti“ formulovanou v čl. 5 sec. 2 GDPR, podle kterého je Správce povinen prokázat dodržování pravidel zpracování osobních údajů.
Výše uvedená opatření zahrnují mj. implementaci těchto zásad Správcem spolu s dokumentací, která se k nim vztahuje. Tato opatření jsou podle potřeby revidována a aktualizována.
Všichni zaměstnanci Egerton Sp. z o. o. odpovídají v rámci své působnosti za dodržování ustanovení o zabezpečení osobních údajů a těchto Zásad a souvisejících dokumentů.
Zpracovatel a každá osoba jednající z pověření Správce a mající přístup k osobním údajům je zpracovává pouze na žádost Správce a pouze pro realizaci jeho účelů.
3. Definice
Údaje (nebo osobní údaje) - jsou jakékoli informace uchovávané ADO o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů), tedy osobě, kterou lze přímo či nepřímo identifikovat, zejména na základě identifikátoru, jako je jméno a příjmení, identifikační číslo, lokalizační údaje, online identifikátor nebo jeden či více faktorů specifických pro fyzickou, fyziologickou, genetickou, duševní, ekonomickou, kulturní nebo sociální identitu této fyzické osoby;
Datový soubor - je uspořádaný soubor osobních údajů dostupných podle konkrétních kritérií bez ohledu na to, zda je tento soubor centralizovaný, decentralizovaný nebo funkčně či geograficky rozptýlený;
Zpracování údajů - je operace nebo soubor operací prováděných s osobními údaji nebo soubory osobních údajů automatizovaným nebo neautomatizovaným způsobem, jako je shromažďování, zaznamenávání, organizování, organizování, ukládání, přizpůsobování nebo upravování, stahování, prohlížení, používání, zpřístupnění zasláním, šířením nebo jiným zpřístupněním, spárováním nebo kombinováním, omezením, vymazáním nebo zničením;
Zpracovatelský subjekt – fyzická nebo právnická osoba, orgán veřejné moci, jednotka nebo jiný subjekt, který zpracovává osobní údaje jménem ADO;
Osoba (subjekt údajů) - je fyzická osoba, které se údaje týkají;
Oprávněná osoba - každá osoba s písemným pověřením ke zpracování osobních údajů vydaným ADO;
Třetí strana - každá osoba, která není oprávněna zpracovávat osobní údaje, např. host, klient;
Třetí strana - znamená fyzickou nebo právnickou osobu, orgán veřejné moci, jednotku nebo subjekt jiný než subjekt údajů, správce, zpracovatele nebo osoby, které z pověření správce nebo zpracovatele - mohou zpracovávat osobní údaje;

4. Pravidla zpracování dat

4.1 Základní předpisy
Egerton Sp. z o. o. zajišťuje, že osobní údaje jsou:

zpracovávány zákonně, spravedlivě a transparentním způsobem pro subjekt údajů („zákonnost, spravedlnost a transparentnost“);
shromažďovány pro konkrétní, explicitní a legitimní účely a nejsou dále zpracovávány způsobem neslučitelným s těmito účely ("účelové omezení");
přiměřené, relevantní a omezené na to, co je nezbytné ve vztahu k účelům, pro které jsou zpracovávány („minimalizace údajů“);
opravit a v případě potřeby aktualizovat; musí být přijata veškerá přiměřená opatření, aby osobní údaje, které jsou nepřesné ve vztahu k účelům jejich zpracování, byly neprodleně vymazány nebo opraveny („přesnost“);
uchovávány ve formě, která umožňuje identifikaci subjektu údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou údaje zpracovávány („omezení ukládání“);
zpracovávány způsobem, který zajišťuje přiměřené zabezpečení osobních údajů, včetně ochrany před neoprávněným nebo nezákonným zpracováním a náhodnou ztrátou, zničením nebo poškozením, za použití vhodných technických nebo organizačních opatření („integrita a důvěrnost“).

4.2 Základ pro přípustnost zpracování údajů
Egerton Sp. z o. o. zpracovává osobní údaje pouze při splnění alespoň jedné z následujících podmínek:

zpracování je nezbytné pro plnění smlouvy, jejíž je osoba stranou, nebo pro provedení opatření na žádost osoby před uzavřením smlouvy;
zpracování je nezbytné pro splnění právní povinnosti uložené společnosti Egerton Sp. z o.o.;
Osoba souhlasila se zpracováním svých osobních údajů pro konkrétní účel;
zpracování je nezbytné k ochraně životně důležitých zájmů osoby nebo jiné fyzické osoby;
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci svěřené správci;
zpracování je nezbytné pro účely oprávněných zájmů sledovaných společností Egerton Sp. z o. o. nebo třetí stranou, s výjimkou případů, kdy nad těmito zájmy převažují zájmy nebo základní práva a svobody jednotlivce vyžadující ochranu osobních údajů. Mezi právně oprávněné zájmy patří zejména: přímý marketing vlastních výrobků nebo služeb Egerton Sp. z o.o., vymáhání pohledávek z podnikatelské činnosti.

Je-li základem zpracování údajů souhlas dané osoby, je podmínkou jeho účinnosti dobrovolnost, konkrétnost, informovanost a jednoznačnost jeho předložení. Souhlas je projev vůle, kterým osoba ve formě prohlášení nebo výslovného potvrzujícího jednání souhlasí se zpracováním osobních údajů, které se jí týkají.
Subjekt údajů má právo souhlas kdykoli odvolat a Egerton Sp. z o. o. usnadňuje člověku uplatnění jeho práva. Odvoláním souhlasu není dotčena zákonnost zpracování, které bylo provedeno na základě souhlasu před jeho odvoláním. Subjekt údajů je o tom informován před udělením souhlasu.
Souhlas se nepoužívá v situacích zpracování, kdy existuje vážná nerovnost mezi osobou a Egerton Sp. z o.o.
Zaměstnanci společnosti Egerton Sp. z o.o., kteří shromažďují údaje na základě souhlasu, archivují tyto souhlasy za účelem prokázání jejich vyjádření po dobu, po kterou jsou údaje na jeho základě zpracovávány společností Egerton Sp. z o.o.

4.3 Informační povinnosti
Každý zaměstnanec Egerton Sp. z o. o. je povinna splnit informační povinnost uvedenou v bodech 4 a 5 níže, vůči osobě, jejíž údaje hodlá jménem Egerton Sp. z o.o.
Splnění informační povinnosti by mělo mít zpravidla písemnou formu (tradiční nebo elektronickou) umožňující splnění této povinnosti prokázat.
Způsob splnění informační povinnosti závisí na způsobu sběru údajů, tedy: sběr údajů od subjektu údajů nebo jiným způsobem než od subjektu údajů.
V době shromažďování údajů od subjektu údajů každý zaměstnanec Egerton Sp. z o. o. osoba zpracovávající údaje jménem Správce je odpovědná za informování této osoby o:

Údaje identifikující Správce (celé jméno, adresa a kontaktní údaje);
kontaktní údaje inspektora (pokud byl jmenován);
účely zpracování osobních údajů a právní základ zpracování;
oprávněné zájmy Správce - pokud je zpracování prováděno na tomto základě;
příjemci osobních údajů nebo kategorie příjemců, pokud existují;
případně - o záměru předat údaje do třetí země nebo mezinárodní organizaci a o tom, že Evropská komise zjistila či nenalezla přiměřenou úroveň ochrany nebo o vhodných nebo vhodných zárukách a o možnosti získat kopii údajů nebo o místo zpřístupnění údajů,
dobu, po kterou budou osobní údaje uchovávány, a pokud to není možné, kritéria pro stanovení této doby;
právo požadovat přístup k osobním údajům týkajícím se osoby, jejich opravu, výmaz nebo omezení zpracování, právo vznést námitku proti zpracování, jakož i právo na přenositelnost údajů;
pokud je zpracování založeno na souhlasu - informace o právu jej kdykoli odvolat, aniž by byla dotčena zákonnost zpracování, které bylo provedeno na základě souhlasu před jeho odvoláním;
právo podat stížnost u nezávislého orgánu veřejné moci, tzv dozorčí orgán;
automatizované rozhodování, včetně profilování, a relevantní informace o pravidlech pro rozhodování, jakož i o smyslu a očekávaných důsledcích takového zpracování pro osobu;
zda je poskytnutí osobních údajů zákonným nebo smluvním požadavkem nebo podmínkou pro uzavření smlouvy a zda je osoba povinna je poskytnout a jaké jsou možné důsledky neposkytnutí údajů.V případě získání osobních údajů z údajů subjektu, všechny výše uvedené informace by měla osoba poskytnout při pořizování (sběru) dat, ale před jejich zaznamenáním (uložením).
V případě shromažďování údajů jiným způsobem než od subjektu údajů je každý zaměstnanec Egerton Sp. z o. o. zpracovatel údajů jménem Správce odpovídá za informování této osoby o informacích obsažených v bodech 4 a) až k) výše a dále o:

kategorie relevantních osobních údajů,
zdroj osobních údajů a případně, zda pocházejí z veřejně dostupných zdrojů. Výše uvedené informace musí být uvedeny:
nejpozději do měsíce – s přihlédnutím ke konkrétním okolnostem zpracování osobních údajů;
nejpozději při první komunikaci s osobou - mají-li být údaje použity pro komunikaci s touto osobou,
pokud se plánuje zpřístupnění osobních údajů jinému příjemci – nejpozději při jejich prvním zpřístupnění.
Zaměstnanci společnosti Egerton Sp. z o. o. archivovat důkazy o splnění výše uvedeného informační povinnost.
Správce vkládá obsah informační doložky do všech nástrojů sloužících ke shromažďování osobních údajů, např. kontaktní formulář, jiné elektronické formuláře, papírové formuláře, ankety, objednávky, poptávky, smlouvy atd.
Obecná šablona doložky použitá ke splnění informační povinnosti je uvedena v Příloze 1 Zásad.

4.4 Povinnost zvážit ochranu údajů již od návrhu
Zavádí se povinnost zohlednit ochranu údajů již od návrhu a učinit soukromí výchozím způsobem fungování, mimo jiné prostřednictvím: a) proaktivního přístupu k ochraně údajů,
b) nutnost začlenit ochranu soukromí do projektů od začátku jejich realizace,
c) respektování soukromí uživatelů.
Opatření ke splnění této povinnosti mohou mimo jiné zahrnovat: na:

minimalizace rozsahu zpracování dat;
pseudonymizace dat co nejdříve;
umožnit osobě sledovat zpracování údajů;
umožňující změny a vylepšení bezpečnosti.

5. Oblast zpracování osobních údajů
Správce zpracovává osobní údaje v IT systémech a tradiční formou, organizované ve sběrnách umístěných v jedné zpracovatelské oblasti - v provozovně se sídlem v Zabrze, 41-811, ul. Lehnička 2.
Přítomnost neoprávněných osob ve výše uvedené oblasti je povolena se souhlasem Správce nebo za přítomnosti osoby oprávněné zpracovávat osobní údaje. Vzor souhlasu s pobytem ve zpracovatelském prostoru je přílohou 2a.
Egerton Sp. z o. o. vede evidenci osob, které mají souhlas s pobytem v prostoru zpracování údajů podle Přílohy 2b.
Za vydání souhlasy a dodržování výše uvedeného za záznamy odpovídá Správce.

6. Registry činností zpracování osobních údajů
Egerton Sp. z o. o. vede Registr činností zpracování osobních údajů a Registr kategorií činností zpracování osobních údajů prováděných jménem správce tvořící dokumentaci související s těmito Zásadami, která je zpřístupněna na žádost dozorového úřadu.
Za vedení registrů je v odpovědnosti Správce.
Výše uvedené rejstříky mají písemnou formu, včetně elektronické podoby.
Vzor výše uvedených registrů je uveden v příloze 3a a 3b.

7. Osoby oprávněné zpracovávat osobní údaje
Pro zpracování osobních údajů Egerton Sp. z o. o. umožňuje zpracovávat osobní údaje pouze osobám (zaměstnancům) s písemným jmenovitým pověřením uděleným Správcem. Vzor autorizace je přiložen jako příloha 4a.
Toto oprávnění je spojeno s prohlášením zaměstnance Egerton Sp. z o. o. o utajení osobních údajů, způsobech jejich zabezpečení i seznámení se s obsahem Zásad a dokumentací s tím související.
Osoby oprávněné zpracovávat osobní údaje jsou před povolením ke zpracování údajů seznámeny s ustanoveními o ochraně osobních údajů, zásadami uvedenými v Zásadách a souvisejícími dokumenty.
Správce vede evidenci osob oprávněných zpracovávat osobní údaje, tvořící dokument související s těmito Zásadami, zpracovaný podle vzoru uvedeného v Příloze 4b.
Za vydání oprávnění a spuštění výše uvedeného za záznamy odpovídá Správce.

8. Pověření zpracováním dat
Egerton Sp. z o. o. může zpracováním (včetně předání, umožnění přístupu apod.) svých osobních údajů pověřit jiný subjekt (zpracovatel) pouze v odůvodněných případech písemnou dohodou a pouze tehdy, má-li být zpracování prováděno jménem Egerton Sp. . z o.o.
Příklady subjektů, kterým jsou osobní údaje svěřeny, jsou externí subjekty poskytující tyto služby: zničení dokumentů, opravy výpočetní techniky/CCTV monitoring, IT podpora, hostingové služby, právní služby, účetnictví, pracovní lékařství, školení, ochrana majetku, podpora prodeje/nákupu , poradenství, audit, marketing, agentura práce, překladatelství atd.
Egerton Sp. z o. o. využívá pouze služby takových zpracovatelských subjektů, které poskytují dostatečné záruky pro provedení vhodných technických a organizačních opatření tak, aby zpracování splňovalo požadavky GDPR a chránilo práva osob.
Zpracovatel nevyužívá služeb jiného zpracovatele bez předchozího podrobného nebo obecného písemného souhlasu Egerton Sp. z o.o.
Vzor ustanovení o ochraně osobních údajů je uveden v Příloze 5a Zásad.
Správce vede evidenci smluv o pověření zpracováním osobních údajů, které tvoří dokumentaci související s těmito Zásadami, zpracovanou podle vzoru uvedeného v Příloze 5b Zásad.
Každé pověření zpracováním osobních údajů a ukončení procesu pověření je zapsáno do Registru smluv o pověření zpracováním osobních údajů, a to bezprostředně po uzavření smlouvy o pověření a bezprostředně po určení konce pověření.
Zaměstnanec Egerton Sp. z o. o. sestavení nebo koordinaci uzavření smlouvy o pověření zpracováním osobních údajů, je povinna oznámit Správci každé pověření zpracováním osobních údajů a ukončení procesu pověření, a to neprodleně po uzavření smlouvy o pověření a neprodleně po určení konce proces pověření.
Za vedení za záznamy odpovídá Správce.

9. Rozdělení povinností

9.1 Každý zaměstnanec Egerton Sp. z o. o.
Zaměstnanec Egerton Sp. z o.o., v jejímž držení údaje jsou a která není oprávněna je zpracovávat, je povinna tuto skutečnost neprodleně oznámit správci.
Zaměstnanec společnosti Egerton Sp. z o.o., který nemá příslušné oprávnění, nesmí údaje zpracovávat.
Porušení ustanovení těchto zásad může být základem pro disciplinární odpovědnost zaměstnance.

9.2 Osoby oprávněné zpracovávat osobní údaje
Osobní údaje zpracovávané společností Egerton Sp. z o. o. a způsoby jejich zajištění představují služební tajemství ve smyslu čl. 266 §1 trestního zákoníku.
Oprávněné osoby se zavazují po celou dobu trvání pracovního poměru ve společnosti Egerton Sp. z o. o. (nebo poskytování služeb pro Egerton Sp. z o.o.), jakož i po skončení pracovního poměru.
Každý zpracovatel údajů je povinen aktivně se účastnit školení o zabezpečení osobních údajů a aktivně se podílet na zavádění mechanismů zabezpečení osobních údajů vyjádřením k možnosti využití konkrétního řešení při plnění úkolů dané osoby.
Každá osoba zpracovávající údaje je povinna řídit se pokyny Správce v oblasti ochrany osobních údajů.
Oprávněné osoby se zavazují znát obsah těchto Zásad a dokumentů s ní souvisejících, pokud se jich týkají, a zavazují se je dodržovat.
Případy porušení povinností vyplývajících ze Zásad osobami oprávněnými zpracovávat údaje, které mají za následek porušení zásad bezpečného a zákonného zpracování osobních údajů, může Správce řešit jako závažné porušení povinností zaměstnance.
Oprávněné osoby mohou zpracovávat údaje pouze v rozsahu a za účelem stanoveným Správcem.
Pokud si oprávněná osoba není jistá, zda v konkrétní situaci mohou být osobní údaje zpracovávány, zejména zda jsou shromažďovány správně nebo zda je řádně plněna informační povinnost, požádá Správce o vysvětlení.
Oprávněná osoba uplatňuje standardní obsah dokumentů přijatých Správcem v oblasti ochrany osobních údajů, např. přihlášky, doložky, souhlasy apod., zejména doložky o souhlasu se zpracováním osobních údajů a informační doložky používané při výkonu činností souvisejících se zpracováním osobních údajů. k osobním údajům.
V případě neexistence vhodného vzorového obsahu dokumentů v oblasti ochrany osobních údajů, např. žádostí, doložek, souhlasů apod., oprávněná osoba upozorní Správce na nutnost vypracování nového vzorového obsahu.
Oprávněná osoba nesmí bez konzultace se Správcem vytvářet vlastní obsah dokumentů v oblasti ochrany osobních údajů.
Každá osoba zpracovávající údaje je odpovědná za ochranu zájmů osob a zejména zpracovává údaje v souladu se zákonem a přijatým ve společnosti Egerton Sp. z o. o. bezpečnostní zásady uvedené v těchto zásadách a souvisejících dokumentech.
Každá osoba zpracovávající údaje provádí zpracovatelské činnosti v podmínkách, které chrání údaje před narušením bezpečnosti a zajišťují řádnou ochranu práv fyzických osob, jejichž údaje jsou zpracovávány.

10. Stanovení opatření nezbytných pro zachování bezpečnosti dat
Správce vědomě rozhoduje o provedení vhodných technických a organizačních opatření k zajištění odpovídající úrovně zabezpečení odpovídající riziku porušení práv nebo svobod fyzických osob s různou pravděpodobností výskytu a závažnosti ohrožení, stanovené v procesu hodnocení rizik.
Výběr bezpečnostních opatření je založen na:

povaha, rozsah, kontext a účely zpracování,
nebezpečí porušení práv nebo svobod fyzických osob s různou pravděpodobností výskytu a závažností ohrožení,
stav technických znalostí,
náklady na realizaci.

Egerton Sp. z o. o. pokaždé popisuje výsledky odhadu rizika porušení práv a svobod fyzických osob a implementuje je do pravidel bezpečnosti jím zpracovávaných osobních údajů.
Principy zabezpečení IT systému jsou popsány v Manuálu pro správu IT systému, který tvoří Přílohu 6 Zásad, v rozsahu následujících otázek:

pravidla práce v IT systému,
udělování a registrace oprávnění v IT systému,
zásady vytváření a používání hesel,
postupy použitelné při práci na pracovních stanicích a mobilních zařízeních,
ochrana systému před škodlivým softwarem,
zabezpečení systému proti neoprávněnému přístupu,
skladování a údržba systémů a nosičů,
splňující požadavky související s ochranou osobních údajů.

Správce používá různá technická a organizační opatření k zajištění ochrany zpracovávaných osobních údajů v následujících oblastech:

Přístup do areálu

Prostor, kde dochází ke zpracování osobních údajů, je pokaždé chráněn před přístupem neoprávněných osob po dobu nepřítomnosti osob oprávněných zpracovávat osobní údaje.
Třetí osoby mohou zůstat v místnosti pouze v přítomnosti oprávněného zaměstnance společnosti Egerton Sp. z o. o. nebo se souhlasem Správce.
Přístup do místností, kde dochází ke zpracování údajů, je omezen pouze na osoby oprávněné zpracovávat údaje nebo mající souhlas k pobytu v prostoru zpracování údajů vydaný Správcem podle vzoru tvořícího Přílohu 2a Zásad.
Je zakázáno opouštět místnosti, ve kterých se údaje zpracovávají, odemčené bez dozoru osoby oprávněné zpracovávat údaje nebo mající povolení k pobytu v prostoru zpracování.
Při odchodu z místnosti je třeba dveře zamknout, vzít s sebou nebo odložit klíč na určené místo, aby se zabránilo neoprávněnému vstupu.
Pokud opustíte místnost, kde se zpracovávají osobní údaje, měli byste v této místnosti zavřít okna.
Pokud se v místnosti, kde se údaje zpracovávají, nachází někdo zvenčí, pak by veškeré činnosti zpracování prováděné na údajích měly být prováděny tak, aby se tato osoba nemohla seznámit s jejich obsahem.
Klíče od pokojů mohou být vydány pouze osobám pověřeným Správcem.
Stažené klíče není dovoleno svěřovat jiným osobám (pokud k tomu také nebyly oprávněny Správcem) a pořizovat kopie a tisky klíčů bez souhlasu Správce.

Opatření na ochranu IT a telekomunikační infrastruktury Popis aplikovaných bezpečnostních opatření je obsažen v Manuálu IT System Management.
Organizační opatření Princip čistého stolu a čisté obrazovky
Informace ponechané na stolech mohou být zničeny nebo poškozeny nebo mohou být odhaleny kontrolou třetích stran, proto byla zavedena následující pravidla:

papírové dokumenty a jiné nosiče informací ukládat v uzamykatelných skříních a/nebo na jiných bezpečných místech, zejména mimo pracovní dobu;
dokumenty vytištěné na jedné straně se znovu nepoužívají, zejména je zakázáno používat jednostranné stránky jako koncepty, pokud obsahují data;
všechny dokumenty a výtisky obsahující data, která mají být vymazána (nepotřebné, nadbytečné), by měly být zničeny do té míry, že je nelze přečíst (např.
dokumenty obsahující citlivé nebo kritické informace by měly být uzamčeny ve skříňkách na zámek, známky by měly být uzamčeny v zásuvkách na zámek;
počítače nelze ponechat bez dozoru;
monitory by měly být umístěny tak, aby zabránily neoprávněným osobám ve sledování informací na obrazovce, a zejména by neměly být umístěny naproti vchodu do místnosti nebo u okna;
kopírovací zařízení mimo pracovní dobu by měla být chráněna před neoprávněným použitím;
důvěrné/citlivé informace by měly být z tiskárny odstraněny ihned po vytištění;
hesla nutná pro autentizaci v systému nejsou ponechána na papíře na veřejných místech;
opustit pracoviště je dovoleno až po uzamčení obrazovky nebo jiném uzamčení pracoviště Zvedání, přenos dat
Každá osoba zpracovávající údaje a využívající ke zpracování údajů mobilní zařízení (včetně přenosných počítačů - notebooků, chytrých telefonů, tabletů apod.) je povinna dbát zvláštní opatrnosti při jejich přepravě, uchovávání a používání, zejména mimo oblast zpracování údajů, a odpovídá za jakékoli operace s nimi prováděné. Mimo jiné je nutné zabránit neoprávněným osobám v přístupu k datům zobrazovaným na monitorech a nenechávat mobilní IT zařízení bez dozoru (i v autech).
Je zakázáno zpracovávat data a jejich neoprávněné kopírování, duplikování a přenos na: cd, dvd, bluray a jiná podobná média, jakož i externí disky a přenosné flash paměti (např.
Bez příslušného souhlasu Správce je zakázáno přenášet celé datové soubory a rozsáhlé výňatky z nich na jakýchkoli nosičích dat, a to i v zašifrované podobě.
K zabezpečení mobilních zařízení používaných ke zpracování dat se používají kryptografická ochranná opatření uvedená v manuálu pro správu IT systému.
Dokumenty, datové nosiče a zařízení na veřejných místech a v autech nejsou ponechány bez dozoru Kontrola přístupu k datům
Každý zaměstnanec Egerton Sp. z o.o., zpracovávající osobní údaje, je oprávněn zpracovávat osobní údaje.
Každý zaměstnanec pověřený zpracováním osobních údajů musí být navíc proškolen v oblasti ochrany osobních údajů.
Osobou oprávněnou k šíření informací týkajících se osobních údajů je Správce a osoby jím pověřené k poskytnutí informací v konkrétním případě.
Osobám oprávněným zpracovávat osobní údaje se doporučuje používat pouze své vlastní ID a heslo.
Je povoleno kopírovat pouze jednotlivá data (jednotlivé soubory). Je zakázáno pořizovat kopie celých datových souborů nebo jejich částí, které nejsou nezbytné pro plnění povinností oprávněnou osobou.
Během práce nesmí být dokumenty a soubory obsahující data, jakož i zařízení pro zpracování dat ponechány bez dozoru osoby oprávněné zpracovávat data.
Po dokončení práce jsou všechny dokumenty obsahující data chráněny proti přístupu neoprávněných osob. Skříňky s datovými dokumenty jsou uzamčeny na klíč a klíč je uložen na místě nepřístupném neoprávněným osobám.
Údaje obsažené v písemných dokumentech jsou předávány způsobem, který zajišťuje jejich řádnou ochranu před přístupem neoprávněných osob. Formy výměny údajů
Egerton Sp. z o. o. zvláštním způsobem chrání hlasové, faxové a obrazové informace, protože tyto informace mohou být odposlechnuty na veřejném místě, přehrány ze záznamníku, zachyceny neoprávněnými osobami z hlasové pošty, náhodně zaslány faxem na nesprávné číslo. Pro zabezpečení poskytovaných informací společnost Egerton Sp. z o. o. zavedl následující požadavky:

dbát zvýšené opatrnosti při vedení telefonických hovorů, zejména zákaz předávání osobních údajů telefonicky,
zákaz důvěrných rozhovorů na veřejných místech (restaurace, veřejné dopravní prostředky atd.), široce přístupné kanceláře,
nezanechávat zprávy obsahující chráněný obsah na „odkazovačích“,
vývoj a aplikace příručky pro řízení IT systému v případě používání elektronických komunikačních prostředků.

Egerton Sp. z o. o. neumožňuje přenos souborů obsahujících osobní údaje prostřednictvím veřejné sítě, tedy internetu, s výjimkou případů, kdy je prováděn oprávněnými osobami a kdy jsou data šifrována. Každé zaslání údajů musí být odůvodněno (např. smlouva se zpracovatelem) a musí být provedeno v souladu s postupy přijatými Správcem. Egerton Sp. z o. o. neumožňuje zasílání údajů na soukromou e-mailovou adresu Zaměstnance.
V e-mailech odeslaných mimo Egerton Sp. z o.o.: osobní údaje (kromě kontaktních údajů: jméno a příjmení, obchodní e-mail, funkce, obchodní telefon), musí být zasílány v šifrovaných přílohách a nesmí tvořit obsah zprávy - kontaktními údaji je třeba rozumět : jméno, příjmení, pracovní telefon, pracovní e-mail, netvoří seznamy zaměstnanců sloužící pouze ke kontaktování dané osoby.
V případě využití elektronického toku dokumentů by měly být pro zaručení bezpečnosti přenášených dat použity IT systémy, které mají aktivované mechanismy kontroly přístupu – přihlašování do systému, umožňující přenos šifrovaných nebo šifrovaných dat v souladu s pravidly obsaženými v manuál pro správu IT systému.

11. Posouzení dopadů na ochranu osobních údajů
Správce musí provést Posouzení dopadů na ochranu osobních údajů v situaci, kdy daný typ zpracování údajů vzhledem ke své povaze, rozsahu, kontextu a účelům pravděpodobně způsobí vysoké riziko porušení práv nebo svobod Osoby.
Posouzení vlivu na ochranu osobních údajů je vyžadováno vždy, pokud:

systematické, komplexní posuzování osobních faktorů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a je podkladem pro rozhodnutí, která mají právní účinky vůči fyzické osobě nebo se jí obdobně významně dotýkají,
rozsáhlé zpracování zvláštních kategorií osobních údajů nebo osobních údajů týkajících se odsouzení za trestné činy, popř
systematický rozsáhlý monitoring veřejně přístupných míst.

Správce dokládá výsledky provedeného posouzení vlivů na ochranu osobních údajů.

12. Porušení ochrany osobních údajů
Jako klíčový prvek této politiky Egerton Sp. z o. o. přebírá schopnost zabránit porušení zabezpečení osobních údajů nebo přiměřeně reagovat, pokud k němu dojde.
Porušením ochrany osobních údajů je jakékoli náhodné nebo protiprávní zničení, ztráta, úprava, neoprávněné zveřejnění nebo neoprávněný přístup k odeslaným, uloženým nebo jinak zpracovávaným osobním údajům, poškození kteréhokoli prvku IT systému. S tím, že:

Likvidací osobních údajů se rozumí situace, kdy údaje zaniknou nebo přestanou existovat ve formě, která umožňuje jejich použití správcem.
Korupce znamená situaci, kdy byly osobní údaje změněny, poškozeny nebo již nejsou úplné.
Ztrátou osobních údajů je třeba rozumět situaci, kdy údaje mohou stále existovat, ale správce nad nimi ztratil kontrolu nebo přístup nebo je již nemá.
Neoprávněné zpřístupnění nebo neoprávněný přístup k osobním údajům může zahrnovat zpřístupnění osobních údajů (nebo přístup k nim) příjemcům, kteří nejsou oprávněni k jejich obdržení (nebo přístupu), nebo jakoukoli jinou formu zpracování, která porušuje GDPR.

Aby k porušení došlo, musí být splněny tři kumulativní podmínky:

porušení se musí týkat osobních údajů předávaných, uchovávaných nebo jinak zpracovávaných subjektem porušení;
porušení musí mít za následek zničení, ztrátu, změnu, neoprávněné zveřejnění osobních údajů nebo neoprávněný přístup k nim;
porušení je výsledkem porušení pravidel zabezpečení dat.

Katalog možných bezpečnostních hrozeb a porušení ochrany osobních údajů, ke kterým může dojít v souvislosti se zpracováním osobních údajů společností Egerton Sp. z o. o. je součástí Katalogu bezpečnostních hrozeb, který tvoří Přílohu 7b Zásad.
Událostí ohrožující bezpečnost je také jakékoli porušení zásad ochrany osobních údajů uvedených v těchto Zásadách a souvisejících dokumentech, zejména v Příručce správy IT systému.
Každá osoba, která zjistí jakoukoli událost, která ohrožuje bezpečnost nebo má podezření na porušení ochrany osobních údajů, nebo má informace, které mohou mít vliv na bezpečnost dat, je povinna to neprodleně oznámit předsedovi představenstva Egerton Sp. z o. o. e-mailem a dodatečně jej informovat telefonicky.
Dále byste měli začít s postupem popsaným v Pokynech pro řešení bezpečnostních hrozeb a narušení, které obsahují podrobné pokyny a šablony zpráv, které tvoří Přílohu č. 7a Zásad.

13. Práva subjektů údajů
Každý subjekt údajů má právo:
potvrzení, zda jsou osobní údaje, které se jich týkají, zpracovávány, a pokud tomu tak je, má k nim přístup (uvedeno v čl. 15 GDPR),
požadovat okamžitou opravu nesprávných osobních údajů, které se jich týkají (uvedené v čl. 16 GDPR),
požadovat okamžité vymazání osobních údajů, které se jich týkají, pokud nastanou okolnosti uvedené v čl. 17 GDPR,
požadovat omezení zpracování v případech uvedených v čl. 18 GDPR,
přijímání údajů, které se jí týkají, které poskytl Správci, a zasílání údajů jinému správci bez jakýchkoli překážek ze strany Správce (uvedeno v čl. 20 GDPR),
vznést námitku (uvedenou v článku 21 GDPR),
nebýt předmětem rozhodnutí, které je založeno výhradně na automatizovaném zpracování, včetně profilování, a má pro tuto osobu právní účinky nebo se jí obdobným způsobem významně dotýká, jsou-li okolnosti uvedené v čl. 22 GDPR.

Egerton Sp. z o. o. usnadňuje subjektu údajů výkon jeho práv uvedených v bodě 1 (podle čl. 15-22 GDPR).
K jednání na žádost subjektu údajů v rozsahu jeho práv popsaných v bodě 1 výše dochází na základě písemné žádosti této osoby adresované Správci.
Subjekt údajů používá standardní aplikace vyvinuté společností Egerton Sp. z o. o. za účelem výkonu svých práv, uvedených v příloze 8a Zásad a zpřístupněných na každou žádost subjektu údajů, a to v papírové i elektronické podobě.
Egerton Sp. z o. o. žádost ověří a bez zbytečného odkladu, nejpozději do jednoho měsíce od obdržení žádosti, sdělí informace o přijatých krocích nebo důvodech nečinnosti a o možnosti podat stížnost u dozorového orgánu a využít opatření právní ochrany před soudem.prodlouženo o další dva měsíce z důvodu složitosti žádosti nebo počtu žádostí. Správce do jednoho měsíce od obdržení žádosti informuje subjekt údajů o takovém prodloužení s uvedením důvodů prodlení.
Žádosti subjektů údajů jsou realizovány pouze v případě, že je potvrzena totožnost subjektu údajů.
Pokud Egerton Sp. z o. o. má důvodné pochybnosti o totožnosti fyzické osoby podávající žádost, může si vyžádat dodatečné informace nezbytné k potvrzení totožnosti subjektu údajů.
Egerton Sp. z o. o. může odmítnout vyhovět žádosti subjektu údajů, pokud prokáže, že není schopen subjekt údajů identifikovat. V takovém případě o tom v rámci možností subjekt údajů informuje.
Egerton Sp. z o. o. přijímá vhodná opatření, aby subjektu údajů poskytl veškeré informace uvedené v čl. 13 a 14 GDPR a provádět s ním veškerou komunikaci podle čl. 15-22 a 34 GDPR o zpracování.
Informace jsou poskytovány písemně nebo jiným způsobem, případně i elektronicky, na základě dokumentů připravených Egerton Sp. z o. o. vzory dopisů uvedené v příloze č. 8b Zásad.
Pokud o to subjekt údajů požádá, mohou být informace poskytnuty ústně, pokud je totožnost subjektu údajů potvrzena jinými prostředky.
Pokud subjekt údajů podal svou žádost elektronicky, jsou informace poskytovány také elektronicky, pokud je to možné, pokud subjekt údajů nepožádá jinak.
Jsou-li žádosti subjektu údajů zjevně neoprávněné nebo nepřiměřené, zejména pro jejich opakující se povahu, může správce: požadovat přiměřený poplatek zohledňující administrativní náklady na poskytnutí informací, komunikaci nebo provedení požadovaného opatření nebo odmítnout jednat podle žádost . Povinnost prokázat, že žádost je zjevně neoprávněná nebo nepřiměřená, má společnost Egerton Sp. z o.o.

14. Závěrečná ustanovení
Změny těchto Zásad smí provádět pouze Správce.
Implementace změn těchto Zásad probíhá až po předložení nové verze příslušných dokumentů a získání souhlasu Správce.
Po zavedení změn by měl být obsah dokumentace zpřístupněn všem dotčeným osobám.
Správce dohlíží, aby tato dokumentace odrážela skutečný proces zpracování osobních údajů ve společnosti Egerton Sp. z o. o. a vyhověl zákonu.
V případě nesrovnalostí mezi použitými postupy a dokumentací Egerton Sp. z o. o. podniká kroky ke standardizaci dokumentace a skutečně uplatňovaných postupů tak, aby dokumentace odpovídala skutečnosti a celek byl v souladu s GDPR.
Jakékoli změny Zásad jsou zavedeny ve formě následných vydání schválených Správcem.
Zásady vstupují v platnost 1. října 2018.