Zásady ochrany osobních údajů

I.

Základní ustanovení

1. Předmětem této směrnice je úprava ochrany osobních údajů a nakládání s nimi při činnostech vykonávaných pověřenými osobami zaměstnavatele, kterým je společnost. ELLMAN, s.r.o., Muscat 732/23,
Lozorno 900 55, IČO: 35 949 309 (dále jen „provozovatel“).

 

2. Pro účely této směrnice se pověřenou osobou rozumí zaměstnanec správce, který v rámci své pracovní činnosti nakládá s osobními údaji subjektů údajů (dále jen „pověřená osoba“).

 

II.

Obecné povinnosti

1. Osobní údaje musí být náležitě zabezpečeny ve všech případech, kdy se s nimi v organizaci nakládá. 

2. Oprávněná osoba může nakládat s osobními údaji pouze za předpokladu, že je to nezbytné pro výkon její pracovní činnosti nebo na základě individuálního písemného pověření správce. 

3. Pověřená osoba je povinna zachovávat mlčenlivost o osobních údajích, s nimiž přijde do styku při výkonu své pracovní činnosti nebo činnosti vyplývající z jejího pověření. 

4. Povinnost mlčenlivosti trvá i po skončení pracovního poměru s oprávněnou osobou. 

5. Pověřená osoba může nakládat pouze s osobními údaji, které jsou nezbytné pro výkon její práce nebo činností vyplývajících z pověření. 

6. Oprávněná osoba může provádět pouze takové operace s osobními údaji, které jsou nezbytné pro výkon její práce nebo činnosti vyplývající z oprávnění. 

7. Pověřená osoba nesmí získávat informace týkající se osobních údajů nad rámec své pracovní činnosti nebo úkolu. 

8. Pověřená osoba zajistí, aby při výkonu jejích pracovních činností nebo činností vyplývajících z jejího pověření nedošlo k úniku zpracovávaných osobních údajů nebo k porušení zabezpečení operací zpracování.

9. Ve smlouvách uzavřených s fyzickou osobou je zakázáno uvádět rodné číslo.

 10. Je zakázáno zveřejňovat fotografie a další aktivity z pracovních činností na soukromých profilech sociálních médií. 

11. Fotografie pořízené na soukromých zařízeních ukládá oprávněná osoba na určené zařízení provozovatele a neprodleně je ze svého soukromého zařízení odstraní (vymaže).

III.

Shromažďování osobních údajů

1. Osobní údaje správce jsou uloženy a zálohovány ve vlastní databázi s externím úložištěm. 

2. Přístup k databázi má oprávněná osoba prostřednictvím individuálního softwaru, který je přístupný na každém firemním počítači provozovatele. 

3. Každá oprávněná osoba má vlastní přístupové jméno a heslo potřebné pro přístup k softwaru správce a databáze jí poskytuje osobní údaje subjektů údajů pouze v rámci její pracovní činnosti nebo úkolu. 

4. Pokud oprávněná osoba potřebuje přístup k osobním údajům ve větším rozsahu, než jaký je k dispozici v databázi, je povinna si na vyžádání vyžádat individuální písemný souhlas správce údajů k získání těchto údajů. 

5. Písemný souhlas uděluje správce na základě žádosti, a to pouze v rozsahu nezbytném pro naplnění účelu oprávněné osoby. 

6. Oprávněná osoba poté předloží písemný souhlas vedoucímu oddělení IT, který poskytne osobní údaje pouze v rozsahu souhlasu uděleného správcem. 

7. Oprávněná osoba nesmí získané osobní údaje zpřístupnit jiným osobám.

8. Oprávněná osoba nesmí poskytovat své přístupové údaje k softwaru správce jiným osobám.

9. Oprávněná osoba nesmí používat software provozovatele pro vlastní účely.

 

IV.

Používání internetu

1. Používání internetových služeb oprávněnými osobami je určeno k plnění pracovních úkolů.

2. Při používání internetu je třeba brát v úvahu důvěrnost přenášených informací.

3. Oprávněná osoba musí při přístupu na internet dodržovat následující zásady:

a. využívají přístup k internetu především v souladu se svou prací/funkcí,

b. sledovat zprávy antivirového programu,

c. nevstupovat na neznámé webové stránky s neověřeným obsahem, pokud to není nezbytné pro výkon vaší práce/funkce,

d. nepoužívat hesla, která se používají k přístupu do interních informačních systémů, k přístupu k veřejným internetovým službám.

 

V.

Elektronická pošta

  1. Elektronická pošta se používá pro účely interní i externí komunikace.

  2. Oprávněná osoba je povinna zasílat hromadné e-maily formou skrytých e-mailových adres (skrytá kopie) tak, aby jednotliví adresáti neznali e-mailovou adresu jiných subjektů údajů - adresátů.

  3. Je zakázáno zasílat osobní údaje subjektů údajů v otevřených e-mailech nebo v otevřených přílohách. Přílohy musí být šifrované. Heslo musí jít přes jiný komunikační kanál, např. sms nebo telefon. Pokud to není možné, musí být heslo zasláno v samostatném e-mailu.

  4.  V případě ukončení pracovního nebo jiného vztahu s oprávněnou osobou ukončí provozovatel používání e-mailové adresy oprávněné osoby do 30 dnů od ukončení vztahu.

 

VI.
Osobní bezpečnost

  1. Při ukončení pracovního nebo jiného poměru (např. ukončení funkce jednatele) je pověřená osoba (zaměstnanec, jednatel apod.) povinna předat pracovní agendu včetně spisů, všech přidělených inventárních předmětů, zapůjčených knih a klíčů.

  2. Všechny oprávněné osoby musí být poučeny o základních bezpečnostních zásadách předtím, než získají přístup do informačního systému správce a o účelech zpracování. Poučení provádí odpovědná osoba. Doklad o poučení se založí do osobního spisu zaměstnance.

  3. Pověřené osobě může být přiděleno technické zařízení (např. služební mobilní telefon, notebook), jehož převzetí pověřená osoba potvrdí při převzetí zařízení. Při vracení zařízení má oprávněná osoba právo vyžádat si potvrzení o převzetí.

VII.

Fyzická bezpečnost

1. Informační technologie (počítače, notebooky atd.) musí být umístěny v uzamykatelných prostorách. Místnost, ve které je IT vybavení umístěno, musí být uzamčena, kdykoli ji oprávněná osoba opustí. Po ukončení práce musí oprávněná osoba:

a. vypněte svůj osobní počítač nebo se z něj odhlaste,

b. uzamkněte skříně s osobními údaji (pokud jsou skříně uzamykatelné).

 

VIII.

Správa klíčů a přístupových karet

 

  1. Oprávněné osobě je přidělen jeden klíč od dveří do  

          místnost, ve které bude vykonávat pracovní činnost/funkci.

2. Ztrátu klíče od kanceláře musí pověřená osoba neprodleně nahlásit e-mailem. 

   svému nadřízenému a odpovědné osobě.

3. Za klíče odpovídá osoba, které byly přiděleny. Za klíče odpovídá pověřená osoba.        

  v případě ukončení pracovního nebo jiného poměru předat svému nadřízenému..

 

IX.

Další opatření

1. Oprávněná osoba (zaměstnanec, vedoucí pracovník) je povinna uzamknout místnost a vzít si s sebou klíč vždy, když opouští místnost, pokud se v místnosti nenachází jiná oprávněná osoba.

2. Před opuštěním pokoje je oprávněná osoba povinna zkontrolovat, zda jsou okna v jejím pokoji zavřená.

3. Oprávněná osoba nesmí měnit nastavení antivirového programu nebo vypínat rezidentní antivirový program bez souhlasu vedoucího oddělení IT.

4. Jakékoli podezřelé, neobvyklé chování nebo poruchu počítače je třeba okamžitě nahlásit vedoucímu oddělení IT.

5. Oprávněná osoba nesmí svévolně instalovat počítačové programy, ať už z paměťových médií nebo z internetu. Programy může instalovat pouze se souhlasem svého nadřízeného po předchozí konzultaci s vedoucím oddělení IT.

6. Každá oprávněná osoba musí mít přiděleno heslo pro svou autentizaci a toto heslo musí uchovávat v tajnosti. Oprávněná osoba nesmí své autentizační heslo zveřejnit. Heslo nesmí být zapsáno a uloženo na viditelném nebo snadno přístupném místě. Oprávněná osoba odpovídá za neoprávněné prozrazení svého hesla jiné osobě a následně za jeho zneužití a způsobenou škodu.

7. Oprávněná osoba nesmí dovolit, aby s počítačem pracovala osoba, která k tomu není oprávněna.

8. Pokud na jednom počítači pracuje více osob, musí se oprávněná osoba přihlásit svým přihlašovacím jménem a heslem poté, co se oprávněná osoba, která na daném počítači pracovala dříve, odhlásila.

 

X.

Porušení bezpečnosti

1. V případě porušení zabezpečení osobních údajů je oprávněná osoba povinna o této skutečnosti neprodleně informovat svého nadřízeného a vedoucího oddělení IT. 

2. Oprávněná osoba je povinna ukončit svou činnost a nesmí podnikat žádné kroky, které by mohly vést ke zvýšení rizika pro bezpečnost osobních údajů. 

3. Oprávněná osoba je povinna sepsat zápis, v němž uvede veškeré podrobnosti o rozsahu: 

a. o jaké osobní údaje se jedná, 

b. když se dozvěděla o narušení bezpečnosti, 

c. k jakému narušení bezpečnosti došlo,

d. jak se o tomto porušení dozvěděla,

e. jaké kroky podnikla.

4. Pověřená osoba předá zápis vedoucímu oddělení IT. 

5. Vedoucí oddělení IT oznámí provozovateli povahu a rozsah narušení bezpečnosti, jakmile se o této informaci dozví. 

6. Vedoucí oddělení IT je povinen vynaložit veškeré úsilí, aby zabránil dalším porušením zabezpečení při zpracování osobních údajů, a je povinen problémy co nejdříve odstranit.

7. Pověřená osoba může vykonávat své pracovní činnosti pouze se souhlasem vedoucího IT, který potvrdí, že výkon pracovních činností nepředstavuje riziko pro bezpečnost osobních údajů. 

8. Vedoucí oddělení IT je povinen vypracovat zápis, který bude obsahovat:

a. typ osobních údajů, jejichž ochrana byla ohrožena, 

b. původ a formu poruchy, 

c. rozsah narušení a předpokládanou míru rizika, 

d. opatření, která byla přijata k nápravě situace, 

e. opatření, která byla přijata k zajištění bezpečnosti osobních údajů.

9. Vedoucí oddělení IT předá svůj zápis a zápis pověřené osoby provozovateli. 

XI.

Zpracování podání od subjektů údajů

 

1. Žádosti a námitky subjektů údajů zpracovává osoba, která je tím pověřena (dále jen „odpovědná osoba“). 

2. Po obdržení žádosti, námitky nebo stížnosti od subjektu údajů (dále jen „podání“) odpovědná osoba informuje subjekt údajů o jejich obdržení a o dalších krocích, které je třeba podniknout. 

3. Odpovědná osoba vyhodnotí podání subjektu údajů nejpozději do 30 dnů od jeho obdržení. 

4. Pokud si vyhodnocení podání vyžádá více času, je odpovědná osoba povinna kontaktovat správce a informovat o tom subjekty údajů. 

5. Po vyhodnocení podání odpovědná osoba řádně informuje dotčené osoby ve výše uvedené lhůtě.

 

XII. 

Práce z domova 

 

  1. Při práci z domova je nutné používat pracovní zařízení (notebooky a stolní počítače).

  2. Pokud to není možné, musíte při práci z domova na vlastních zařízeních používat pouze antivirové programy doporučené zaměstnavatelem, cloudová řešení a nastavit automatické aktualizace používaných programů. 

  3. Při práci z domova musíte pracovat s aktivovanou sítí VPN (Virtual Private Network) nebo jinou zabezpečenou aplikací schválenou zaměstnavatelem. 

  4. Bez aktivované sítě VPN je zakázáno otevírat dokumenty nebo programy obsahující osobní údaje nebo jiná citlivá data. 

  5. Zařízení (notebooky nebo stolní počítače), která se používají při práci z domova, nesmí být v nepřítomnosti oprávněné osoby ponechána odemčená (i při krátkodobém opuštění zařízení musí být zařízení uspáno).

  6. Při práci z domova musíte dodržovat schválený systém hesel a v době nepřítomnosti uzamknout veškerá zařízení, která se používají v práci.

  7. K ukládání dokumentů obsahujících osobní údaje online a k odesílání dokumentů obsahujících osobní údaje lze používat pouze schválená cloudová řešení a komunikační aplikace.

  8. Při práci z domova nepoužívejte (pokud možno) soukromé e-mailové adresy ani telefonní čísla.

  9. Při práci z domova je zakázáno používat veřejně dostupné komunikační prostředky (WhatsApp, Facebook atd.) ke komunikaci nebo k zasílání či předávání dokumentů obsahujících osobní údaje.

  10. Je zakázáno pracovat se zařízeními, jejichž prostřednictvím jsou zpracovávány osobní údaje, na veřejných místech a je třeba dbát na dodržování obecných bezpečnostních opatření na ochranu zařízení před krádeží nebo kopírováním jejich obsahu (zejména nenechávat zařízení bez dozoru v přítomnosti cizí osoby nebo pokud mají být zařízení přenášena na veřejných místech, například v kufru auta).

  11. V případě jakýchkoli bezpečnostních incidentů musí pověřená osoba neprodleně kontaktovat zaměstnavatele a odpovědnou osobu.

 

XIII.

Společná, přechodná a závěrečná ustanovení

1. Tato směrnice vstupuje v platnost dnem 1. 10. 2021.

2. Tato směrnice je závazná pro všechny oprávněné osoby správce.

V Lozorně dne 01.06.2025

  

  

 
×