Směrnice o zpracování osobních údajů

Správce:

Schválena:

Správce:

Úvodní ustanovení 4

Základní pojmy. 4

Pojmy a definice. 9

Rozsah působnosti 10

Určení rolí v systému ochrany osobních údajů. 11

Přístup k osobním údajům.. 11

Zásady zpracování osobních údajů. 11

Zákonnost zpracování osobních údajů. 12

Opatření pro ochranu osobních údajů. 13

Předávání osobních údajů. 15

Zveřejňování osobních údajů. 15

Získávání informací od subjektu údajů. 16

Práva subjektu údajů. 16

Právo subjektu údajů na přístup k osobním údajům.. 17

Oprava a výmaz osobních údajů. 19

Právo na omezení zpracování 19

Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování 20

Právo na přenositelnost údajů. 20

Právo vznést námitku. 20

Článek XXI. 21

Řešení případů porušení zabezpečení osobních údajů. 21

Činnost při zjištění porušení zabezpečení osobních údajů. 21

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu. 22

Článek XXIV.. 23

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů. 23

Zpracovatel 23

Kontrola dodržování ustanovení směrnice. 24

Revize směrnice. 24

Článek I

Úvodní ustanovení

• Směrnice stanovuje taková opatření a pravidla, aby nemohlo dojít k neoprávněnému nebo náhodnému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů spravovaných a zpracovávaných Správcem osobních údajů. Ochranou osobních údajů je míněno zajištění důvěrnosti spravovaných a zpracovávaných osobních údajů, jejich integrity, dostupnosti a dalších bezpečnostních aspektů všech osobních údajů v míře potřebné pro činnost správce osobních údajů, a to v souladu s obecně závaznými právními předpisy.
• Tato směrnice se zabývá ochranou všech osobních údajů ve vlastnictví nebo ve správě Správce osobních údajů, bez ohledu na jejich podobu (tištěnou, psanou, uloženou elektronicky, odesílanou poštou, předávanou elektronicky, ústním podáním, telefonem apod.).
• Systém ochrany osobních údajů definovaný touto směrnicí je navržen a zpracován v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), někdy také General Data Protection Regulation (dále jen Nařízení GDPR).
• Přehled spravovaných agend osobních údajů formou Záznamů o činnostech zpracování je zaměstnancům k dispozici u správce osobních údajů. Záznamy o činnostech zpracování jsou pravidelně aktualizovány.
• Směrnice je závazná pro všechny osoby organizačně zařazené do struktury a osoby, které osobní údaje zpracovávají na základě smlouvy uzavřené se správcem osobních údajů; toto ustanovení musí být součástí obsahu uzavřené smlouvy.

Článek II

Základní pojmy

Pro účely této směrnice se rozumí:

• „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
• „zvláštními kategoriemi osobních údajů“ osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby;
• „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
• „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
• „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
• „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
• „anonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů a subjekt údajů není nebo již přestal být identifikovatelným;
• „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
• „správcem“ subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;
• „Subjektem údajů“ se rozumí fyzická osoba, k níž se osobní údaje vztahují.
• „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
• „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty;
• „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
• „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
• „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu;
• „záznamem o činnostech zpracování“ záznamy vedené správcem o zpracování osobních údajů. Záznamy obsahují jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů;
• „dozorovým úřadem“ Úřad pro ochranu osobních údajů;
• „Unií“ Evropská unie;
• „Členské státy“ Členské státy Evropské unie

Článek III

Předmět činnosti Správce a jeho zpracovatelských operací, které podléhají zpracování osobních údajů subjektu údajů.

Správce:                                                           

AZ grav spol. s r.o., Ořešská 107, Řeporyje, 155 00 Praha 5, IČO: 257 30 690

Profil Správce: AZ grav spol. s r.o., je zaměřena na výrobu reklamy, přístrojových panelů a také  se věnuje gravírování. Správce AZ grav spol. s r.o. objednávky přijímá telefonicky na čísle +420 603 267 002, +420 608 447 095   nebo e-mailem info@azgrav.cz

Při této činnosti dochází ke zpracování osobních údajů:

1. zákazníků-Běžné osobní a identifikační údaje v rozsahu: jméno, příjmení, adresa, IČO, název, emailová adresa, tel. číslo, – dále všechny nezbytné údaje potřebné ke zpracování/plnění objednávky.
2. dodavatelů/obchodních, smluvních a jiných partnerů Správce osobních údajů, včetně osob zastupujících tyto partnery (zaměstnanci, členové statutárních orgánů apod.) v rozsahu: jméno, příjmení, funkce, resp. pracovní pozice, telefonní číslo, adresa elektronické pošty na pracoviště a identifikační údaje zaměstnavatele a jiné osobní údaje nezbytné pro plnění účelu zpracování, kterým je dodávka služeb
3. zaměstnanců-Běžné osobní a identifikační údaje týkající se zaměstnance a jeho rodinných příslušníků, které byly zaměstnavateli poskytnuty ze strany zaměstnance za účelem plnění podmínek smlouvy-pracovní smlouva, jejíž smluvní stranou je dotčená osoba-zaměstnanec pro účely evidence účetnictví, personální mzdové agendy a odvodů do sociální a zdravotní pojišťovny.
4. Uživatelé osobních údajů: pověřené osoby.
5. Manipulace s osobními údaji: sběr, zpracování, archivování, nebo likvidace.
6. Charakteristika práce s osobními údaji: zpracování osobních údajů v informačním systému: Databáze klientů nejsou osobní údaje poskytovány, zpřístupňovány ani zveřejňovány. V informačním systému Mzdy a Personalistika jsou poskytovány sociální pojišťovně, zdravotní pojišťovně, orgánům finanční správy a jiným orgánům veřejné správy.
7. Přeshraniční přenos: Neuskutečňuje se.
8. Způsob zpracování: Automatizovaným a neautomatizovaným způsobem.
9. Profilování: Neuskutečňuje se
10. Kamerový Systém: Ano
11. Komunikační nástroje: E-mail, Sociální sítě
12. Plánovací nástroje: Ne
13. Rezervační nástroje: Ne
14. Webové stránky: Ano
15. Cookies: Ne
16. E-shop: Ne
17. Antivirový program: Ano
18. Mzdový a účetní program: Ano
19. Sociální sítě: Ano Facebook, Instagram
20. Poštovní klient: Ne
21. Nástroje pro rozesílání newsletterů: Ne
22. GPS: Ne

Právním základem takového zpracovávání osobních údajů je:

Čl. 6 odst. 1 písm. a) nařízení Evropského parlamentu a Rady (EU)č. 2016/679 o ochraně fyzických osob při zpracování osobních údajů a o volném pohybu takových údajů, kterým se zrušuje směrnice 95/46/ES (dále jen „Nařízení GDPR“) – souhlas

Čl. 6 odst. 1 písm. b) Nařízení GDPR – plnění smlouvy a předsmluvní vztahy

Čl. 6 odst. 1 písm. c) Nařízení GDPR – plnění zákonné povinnosti

Čl. 6 odst. 1 písm. f) Nařízení GDPR – Oprávněný zájem

Osobní údaje mohou být poskytnuty třetím stranám, příjemcům a zpracovatelům, tzn. j. subjektem spolupracujícím se správcem.

Aktuální seznam těchto subjektů je následující:

• Směrnice stanovuje taková opatření a pravidla, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů spravovaných a zpracovávaných správcem. Ochranou osobních údajů je míněno zajištění důvěrnosti spravovaných a zpracovávaných osobních údajů, jejich integrity, dostupnosti a dalších bezpečnostních aspektů všech osobních údajů v míře potřebné pro činnost správce
  AZ grav spol. s r.o. a to v souladu s obecně závaznými právními předpisy.
• Tato směrnice se zabývá ochranou všech osobních údajů ve vlastnictví nebo ve správě Správce, bez ohledu na jejich podobu (tištěnou, psanou, uloženou elektronicky, odesílanou poštou, předávanou elektronicky, ústním podáním, telefonem, faxem apod.).
• Systém ochrany osobních údajů definovaný touto směrnicí je navržen a zpracován v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), někdy také General Data Protection Regulation (dále jen Nařízení GDPR).
• Přehled spravovaných agend osobních údajů formou Záznamů o činnostech zpracování je zaměstnancům AZ grav spol. s r.o. k dispozici u správce. Záznamy o činnostech zpracování jsou pravidelně aktualizovány.
• Směrnice je závazná pro všechny osoby organizačně zařazené do struktury
  AZ grav spol. s r.o. a osoby, které osobní údaje zpracovávají na základě smlouvy uzavřené se správcem osobních údajů; toto ustanovení musí být součástí obsahu uzavřené smlouvy.
  

Článek IV

Pojmy a definice

Pro účely této směrnice se rozumí:

• „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
• „zvláštními kategoriemi osobních údajů“ osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby;
• „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
• „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
• „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
• „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
• „anonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů a subjekt údajů není nebo již přestal být identifikovatelným;
• „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
• „správcem“ organizace, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;
• „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
• „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty;
• „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
• „záznamem o činnostech zpracování“ záznamy vedené organizací o zpracování osobních údajů. Záznamy obsahují jméno a kontaktní údaje správce, účely zpracování, rozsah zpracovávaných osobních údajů, informace o příjemcích daných osobních údajů, o předávání údajů do třetích zemí, lhůtách pro výmaz jednotlivých kategorií údajů a popis přijatých technických a organizačních opatření k zajištění bezpečnosti údajů;
• „dozorovým úřadem“ Úřad pro ochranu osobních údajů;
• „Unií“ Evropská unie;
• „Členské státy“ Členské státy Evropské unie

Článek V

Rozsah působnosti

• Jednatele odpovídají za to, že pravidla ochrany osobních údajů budou dodržovat zaměstnanci, kteří nakládají s osobními údaji a vystupují v roli uživatelů nebo Pověřených osob.
• Pravidla ochrany osobních údajů se vztahují rovněž na všechny další subjekty, které pracují s osobními údaji. Tyto subjekty musí být k dodržování zásad ochrany osobních údajů zavázány postupem dle článku 24. této směrnice.

Článek VI

Určení rolí v systému ochrany osobních údajů

• Jednatel

Odpovědnost za zajištění ochrany osobních údajů v souladu s Nařízením GDPR nese jednatel společnosti zejména:

• schvaluje Směrnici o nakládání a zpracování s osobními údaji správce a její aktualizace,
• projednává pravidelnou zprávu o stavu ochrany osobních údajů správce,
• rozhoduje o přijetí technických, fyzických a organizačních opatření pro zajištění souladu ochrany osobních údajů s Nařízením GDPR.
• Pověřené osoby

Ke každé agendě osobních údajů je určena Pověřená osoba. Každá Pověřená osoba má právo podat jednatelovi návrh na změnu této směrnice, Záznamu o činnostech zpracování, Posouzení vlivu nebo zavedených organizačních, technických a fyzických opatření pro zajištění bezpečnosti zpracování dle Směrnice.

Pověřené osoby mají právo a zároveň povinnost:

• pro případy vzniku nových druhů osobních údajů tuto skutečnost co nejdříve nahlásit jednateli, který provede aktualizaci Záznamů o činnostech zpracování a souvisejících opatření na ochranu osobních údajů;
• informovat bezodkladně jednatele o všech skutečnostech, které mají vliv na aktuálnost Záznamů o činnostech zpracování a souvisejících opatření na ochranu osobních údajů;
• zabezpečit získání souhlasu subjektu údajů, a to v souladu se zákonem, není-li zpracování možné bez tohoto souhlasu;
• zajistit, aby každý zaměstnanec před prvním přístupem ke spravovaným osobním údajům byl prokazatelně seznámen a proškolen se zásadami ochrany osobních údajů a touto směrnicí a zajistit v roční frekvenci prokazatelné opakování tohoto proškolení;
• zajistit, aby každý zaměstnanec před prvním přístupem ke spravovaným osobním údajům písemně potvrdil Směrnice o ochraně osobních údajů;
• při uzavírání smluv s třetími stranami dbát na to, aby obsahovaly zásady zajištění ochrany osobních údajů, pokud je to vzhledem k povaze obsahu smlouvy relevantní.

Článek VII

Přístup k osobním údajům

K osobním údajům mají přístup pouze Jednatelé a Pověřené osoby.

Článek VIII

Zásady zpracování osobních údajů

• Osobní údaje musí být:
  1. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);
  2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný; další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se podle čl. 89 odst. 1 Nařízení GDPR nepovažuje za neslučitelné s původními účely („účelové omezení“);
  3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);
  4. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);
  5. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány; osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 Nařízení GDPR, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných Nařízením s cílem zaručit práva a svobody subjektu údajů („omezení uložení“);
  6. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).
• Standardně jsou zpracovávány pouze osobní údaje, jež jsou pro každý konkrétní účel daného zpracování nezbytné. Tato povinnost se týká množství shromážděných osobních údajů, rozsahu jejich zpracování, doby jejich uložení a jejich dostupnosti. Spis vedený Uživatelem osobních údajů obsahuje pouze informace relevantní pro průběh řízení a agendu s ohledem na minimalizaci údajů k dosažení účelu zpracování.
• Písemnosti obsahující osobní údaje podléhají procesu fyzické a elektronické skartace v souladu se Spisovým a skartačním řádem správce osobních údajů, a to včetně dokumentace na vědomí, kopie písemností a dalších dokumentů bez čísla jednacího.
• Pro statistické účely je nutné osobní údaje anonymizovat.
• Je třeba zamezit neoprávněnému přístupu ke shromážděným údajům.

Článek IX

Zákonnost zpracování osobních údajů

• AZ grav spol. s r.o. jako správce osobních údajů zpracovává pouze takové osobní údaje, jejichž zpracování je zákonné. Zpracování osobních údajů je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
  1. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
  2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
  3. zpracování je nezbytné pro splnění právní povinnosti, která se vztahuje na správce osobních údajů;
  4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
  5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce osobních údajů;
  6. zpracování je nezbytné pro účely oprávněných zájmů správce osobních údajů či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. Toto se netýká zpracování prováděného správcem osobních údajů při plnění jeho úkolů jako orgánu veřejné moci.
• Účel zpracování osobních údajů musí vycházet z výše uvedených právních základů. Osobní údaje nesmějí být použity k jinému účelu, než ke kterému byly pořízeny nebo musí být takové zpracování nutné pro splnění úkolu prováděného ve veřejném zájmu či při výkonu veřejné moci, kterým je pověřen správce osobních údajů.
• Pokud je zpracování založeno na souhlasu, musí být Uživatel osobních údajů schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů.
  1. Souhlas musí být udělen samostatně a musí být jasně odlišitelný od ostatních sdělení (jako samostatný dokument). Vzor souhlasu se zpracováním osobních údajů je zaměstnancům k dispozici u jednatele.
  2. Subjekt údajů vždy musí obdržet jednu kopii uděleného souhlasu, včetně informace o způsobu odvolání uděleného souhlasu.
  3. Pro zpracování zvláštních kategorií osobních údajů (biometrické údaje, fotografie, audio, video, zdravotní stav, sociální postavení a další) je nutné vždy udělit samostatný souhlas, oddělený od ostatních souhlasů, sdělení a informací (platí v případě, že není jiné oprávnění pro nakládání s osobními údaji).
  4. Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně dostupné jako jej poskytnout.
  5. Uživatel osobních údajů je povinen ve spolupráci se Správcem (Administrátorem) zajistit výmaz osobních údajů v případě odvolání souhlasu se zpracováním osobních údajů, včetně výmazu v zálohách a kopiích dat.
  6. Uživatel osobních údajů je povinen vést evidenci datových sad, jejichž zpracování je podloženo uděleným souhlasem subjektu údajů.
• Zpracování údajů na základě uděleného souhlasu subjektu údajů je využíváno pouze v krajních případech, kdy je zpracování nezbytné a neexistuje jiné oprávnění pro nakládání s osobními údaji.

Článek X

Opatření pro ochranu osobních údajů

• Uživatel osobních údajů je povinen dodržovat pravidlo čistého stolu (neponechávat volně položené písemnosti obsahující osobní údaje bez dozoru na svém pracovním stole, po ukončení pracovního dne je každý zaměstnanec povinen takové listinné písemnosti uložit do uzamykatelných úložných prostor a klíče zajistit tak, aby k nim neměly přístup osoby bez oprávnění). Výjimkou z této povinnosti je případ, kdy má zaměstnanec k dispozici samostatnou kancelář, v této kanceláři probíhá úklid výhradně za jeho přítomnosti a klíče od této kanceláře má k dispozici pouze daný zaměstnanec a dále jsou uloženy v prostoru s řízeným přístupem.
• Uživatel osobních údajů je povinen v případě odchodu z kanceláře, kde se již nenachází žádný další zaměstnanec, zavřít okna a tuto místnost zamknout.
• Uživatel osobních údajů je povinen v případě přítomnosti cizí osoby v kanceláři a nutnosti odchodu zaměstnance z kanceláře, kde se již nenachází žádný další zaměstnanec, vyprovodit cizí osobu na chodbu, kancelář zamknout a opětovný vstup cizí osoby do kanceláře umožnit až při vlastním návratu zaměstnance do kanceláře (neponechávat cizí osoby bez dozoru v kanceláři).
• Uživatel osobních údajů je povinen aktivovat spořič obrazovky chráněný heslem kdykoli se vzdálí od pracovní stanice.
• Uživatel osobních údajů je povinen využívat pro elektronické zpracování osobních údajů k tomu určené informační systémy správce osobních údajů. Užívání pevných disků pro ukládání písemností obsahujících osobní údaje je povoleno pouze v případě, že není možné tuto dokumentaci ukládat do informačních systémů správce.
• Uživatel osobních údajů je povinen udržovat písemnosti obsahující osobní údaje uložené na pevných discích a ve svých emailových schránkách v souladu s lhůtami stanovenými pro zpracování dle Spisového a skartačního řádu a v minimálním rozsahu umožňujícím dosažení účelu zpracování.
• Uživatel osobních údajů je oprávněn ukládat písemnosti obsahující osobní údaje na sdílené disky správce osobních údajů.
• Uživatel osobních údajů je povinen využívat pro ukládání fyzické dokumentace obsahující osobní údaje (včetně fyzických nosičů elektronické dokumentace) k tomu určené zabezpečené úložné prostory a tyto úložné prostory při opuštění kanceláře uzamknout. Uživatel osobních údajů je povinen písemnostem obsahujícím osobní údaje přiřazovat skartační znaky dle platného Spisového a skartačního řádu. To platí i pro písemnosti na vědomí, kopie písemností a další dokumenty bez čísla jednacího.
• Uživatel osobních údajů je povinen udržovat v tajnosti svá přístupová oprávnění (přihlašovací jméno a heslo) k informačním systémům správce osobních údajů, tato přístupová oprávnění si nezapisovat (na papír, do souboru apod.) ani je neprozrazovat žádné další osobě.
• Uživatel osobních údajů je povinen při tisku písemností obsahujících osobní údaje tyto nikdy neponechávat bez dozoru na tiskárně.
• Uživatel osobních údajů není oprávněn přeposílat písemnosti obsahující osobní údaje na své nebo cizí soukromé emailové schránky (např. www.seznam.cz, gmail.com apod.).
• Uživatel osobních údajů není oprávněn zasílat písemnosti obsahující osobní údaje emailem bez jejich dodatečného zabezpečení za pomoci šifrování (ZIP nebo PDF s heslem), přičemž heslo k souboru musí být předáno jiným kanálem (SMS nebo telefonicky).
• Uživatel je oprávněn pro předání osobních údajů využít interní poštu ….
• Uživatel je oprávněn pro předání osobních údajů využít Českou poštu, případně Informační systém datových schránek.
• Uživatel osobních údajů není oprávněn ukládat na veřejné servery internetu (např. uloz.to, www.uschovna.cz apod.) jakékoli písemnosti obsahující osobní údaje bez jejich zabezpečení šifrováním (.ZIP s heslem, .PDF s heslem). Technický přístup na úložiště internetu je omezen pouze na vybrané zaměstnance, který toto sdílení potřebují k výkonu své práce.
• Uživatel osobních údajů není oprávněn provádět na svěřených prostředcích jakékoliv hardwarové zásahy (např. měnit komponenty počítače, připojovat vlastní externí zařízení apod.) a spouštět či instalovat jakýkoliv nepovolený software.
• Uživatel osobních údajů je oprávněn využívat mobilní zařízení (mobilní telefon, notebook apod.) pouze při dodržení pravidel pro jejich zabezpečení definovaných Správcem, tj. šifrování v případě notebooku a vynucení hesla na mobilním telefonu.
• Uživateli osobních údajů není dovoleno využívat k přístupu k informačním systémům a datům správce soukromá mobilní zařízení (mobilní telefon, notebook apod.).
• Uživatel osobních údajů není oprávněn, jakkoliv měnit nastavení, případně vypínat ochranu proti škodlivému kódu (antivirový program, antispyware apod.) na svěřených prostředcích.
• V případě tisku na sdílené tiskárně budou tisky obsahující osobní údaje vždy zabezpečeny PIN kódem, a budou vytištěny až po zadání PIN na tiskárně zaměstnancem. 
• Uživatel osobních údajů není oprávněn ukládat na vyměnitelná média jakékoliv písemnosti obsahující osobní údaje bez zabezpečení jejich šifrování (ZIP, PDF), pro předávání dat a jejich vynášení mimo prostory správce jsou zaměstnancům k dispozici (u Správce IKT) HW šifrované flash disky. Vyměnitelnými médii rozumíme CD/DVD disky, přepisovatelné CD/DVD, pevné počítačové disky externí, flash disky apod.
• Každý zaměstnanec, který přichází do styku s písemnostmi obsahujícími osobní údaje uloženými na médiích (CD, DVD, papírové dokumenty, flash paměťové moduly) je povinen zajistit jejich bezpečnou likvidaci (skartování, vymazání, fyzické zničení) v souladu se Spisovým a skartačním řádem.
• Klíče od určených kanceláří jsou zaměstnancům vydávány prokazatelným způsobem a je vedena evidence vydaných klíčů. Je zajištěno ukládání a zabezpečení náhradních klíčů od kanceláří a úložných prostor.
• Zaměstnanci nejsou oprávněni hovořit (osobně i telefonicky) o osobních údajích v přítomnosti třetích osob, které nemají právo danou informaci vědět. Tato povinnost se vztahuje též na předávání informací zaměstnancům, kteří nemají na tuto informaci právo. 

Článek XI

Předávání osobních údajů

Dokumentaci obsahující osobní údaje v elektronické podobě je povoleno předávat příjemcům mimo správce pouze prostřednictvím datových schránek. V případech, kdy není možné dokumentaci předat prostřednictvím datové schránky nebo ve fyzické podobě, lze dokumentaci předat v podobě šifrovaného souboru (např. zip).

Článek XII

Zveřejňování osobních údajů

1) Při pořizování jakýchkoliv záznamů z akcí pořádaných AZ grav spol. s r.o. musí správce zajistit informování účastníků o pořizování audio/video dokumentace a uvedení účelu tohoto pořízení, případně zajištění jiného než konkludentního souhlasu.

• V případě pořizování fotografické nebo video dokumentace z veřejných akcí, musí správce zajistit informování účastníků o pořizování této dokumentace za účelem zveřejnění na webových stránkách správce osobních údajů apod. Pracovníci pořizující tuto dokumentaci musí být viditelně a výrazně označeni.
• Fotografie zaměstnanců se mohou zveřejňovat na webových stránkách apod., pouze po výslovném souhlasu zaměstnance s tímto zveřejněním (souhlas není vynutitelný). Zveřejnění fotografií zaměstnanců bez výslovného souhlasu je možné pouze u osob, u kterých je to odůvodnitelné (jednatel, zástupce jednatele, tiskový mluvčí atd.).

Článek XIII

Získávání informací od subjektu údajů

• Odpovědný zaměstnanec správce osobních údajů (Pověřená osoba) v okamžiku získání osobních údajů poskytne subjektu údajů tyto informace:

1. totožnost a kontaktní údaje správce a jeho odpovědného zaměstnance (Pověřené osoby);
2. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro jejich zpracování;
3. oprávněné zájmy správce nebo třetí strany v případě, že je zpracování založeno na opodstatněném zájmu správce osobních údajů;
4. případné příjemce nebo kategorie příjemců osobních údajů;
5. doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby;
6. existence práva požadovat od správce osobních údajů přístup k osobním údajům týkajících se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
7. existence práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním (pokud je zpracování založeno na uděleném souhlasu se zpracováním osobních údajů);
8. existence práva podat stížnost u dozorového úřadu;
9. skutečnost, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a poučení ohledně možných důsledků neposkytnutí těchto údajů.

• Naplnění informační povinnosti podle bodu 1) může být zajištěno zveřejněním Informačního memoranda na webových stránkách správce.
• Pokud správce osobních údajů hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace v rozsahu dle tohoto článku.

Článek XIV

Práva subjektu údajů

• Subjekt údajů může uplatnit tato práva:

1. přístup k osobním údajům,
2. opravu osobních údajů,
3. výmaz osobních údajů,
4. omezení zpracování osobních údajů,
5. přenositelnost osobních údajů,
6. vznesení námitky.

• Pokud je pro zajištění práv subjektů údajů nutné zapojení více útvarů správce, zajišťuje jejich koordinaci a shromáždění potřebných informací jednatel.
• Způsob podání žádosti o naplnění práv subjektů údajů je zveřejněn na webových stránkách správce případně dalšími vhodnými způsoby.
• Subjektu údajů jsou poskytovány informace v souladu se zásadami zpracování osobních údajů dle článku 7. této směrnice, a to především stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, zejména pokud se jedná o informace určené dítěti.
• Informace jsou subjektu údajů poskytovány výhradně na základě prokazatelného jednoznačného ověření totožnosti subjektu údajů (občanský průkaz, datová schránka).
• Informace jsou subjektu údajů poskytovány písemně nebo jinou formou, připuštěna je ve vhodných případech i elektronická forma. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně.
• Informace jsou subjektu údajů poskytovány bez zbytečného odkladu a v každém případě ve lhůtě do jednoho kalendářního měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další maximálně dva kalendářní měsíce, kdy subjekt údajů musí být o takovém odůvodněném prodloužení lhůty k poskytnutí údajů informován nejpozději ve lhůtě do jednoho kalendářního měsíce od obdržení žádosti.
• Pokud opatření, o něž subjekt údajů požádal, nejsou přijata, musí být subjekt údajů bezodkladně a nejpozději ve lhůtě do jednoho kalendářního měsíce od přijetí žádosti informován o důvodech nepřijetí opatření a o jeho možnosti podat stížnost u dozorového úřadu a o možnosti žádat o soudní ochranu.
• Poskytované informace, veškerá sdělení a veškeré úkony se poskytují a činí bezplatně. Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, lze přistoupit k:
  1. uložení přiměřeného poplatku zohledňujícího administrativní náklady spojené s poskytnutím požadovaných informací, sdělení anebo s učiněním požadovaných úkonů,
  2. odmítnutí žádosti vyhovět.

Zjevnou nedůvodnost nebo nepřiměřenost žádosti je nutné odůvodnit a zdokumentovat pro potřebu následného doložení.

Článek XV

Právo subjektu údajů na přístup k osobním údajům

• Subjekt údajů má právo získat od správce osobních údajů potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:

1. účely zpracování,
2. kategorie dotčených osobních údajů,
3. příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny;
4. plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby,
5. existence práva požadovat od správce osobních údajů opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování, anebo vznést námitku proti tomuto zpracování,
6. právo podat stížnost u dozorového úřadu,
7. veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů.

• Správce osobních údajů poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce osobních údajů účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.
• Právem získat kopii uvedenou v předchozím odstavci nesmějí být nepříznivě dotčena práva a svobody jiných osob (údaje jiných osob musejí být anonymizovány).

Článek XVI

Oprava a výmaz osobních údajů

• Subjekt údajů má právo na to, aby AZ grav spol. s r.o. jako správce osobních údajů bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
• Subjekt údajů má právo na to, aby AZ grav spol. s r.o. jako správce osobních údajů bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat (tzv. „právo být zapomenut“), pokud je dán jeden z těchto důvodů:

1. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
2. subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování a jejich uchovávání;
3. subjekt údajů vznese námitky proti zpracování s ohledem na uplynutí lhůty pro zpracování nebo s ohledem na prokazatelnou nedostatečnost zabezpečení osobních údajů;
4. osobní údaje byly zpracovány protiprávně;
5. osobní údaje musí být skartovány ke splnění právní povinnosti stanovené právem Unie nebo zákony a platnými právními předpisy České republiky, které se na správce osobních údajů vztahují.

• Jestliže AZ grav spol. s r.o. jako správce osobních údajů osobní údaje zveřejnil a je povinen je podle odstavce 2 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně všech technických opatření, aby informoval zpracovatele, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či replikace.
• Odstavce 2. a 3. se neuplatní, pokud je zpracování nezbytné:

1. pro výkon práva na svobodu projevu a informace;
2. pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo ČR, které se na správce osobních údajů vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
3. z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9. odst. 2. písm. h) a i) a čl. 9. odst. 3. Nařízení GDPR;
4. pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely podle zvláštních právních předpisů;
5. pro určení, výkon nebo obhajobu právních nároků.

Požadavek subjektu údajů na výmaz tedy nelze splnit, pokud je zpracování nezbytné pro splnění právní povinnosti.

Článek XVII

Právo na omezení zpracování

1) Subjekt údajů má právo na to, aby AZ grav spol. s r.o. jako správce osobních údajů omezil zpracování, v kterémkoli z těchto případů:

1. subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby jako správce osobních údajů mohl přesnost osobních údajů ověřit,
2. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití,
3. správce osobních údajů již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků,
4. subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce osobních údajů převažují nad oprávněnými důvody subjektu údajů.

2) Pokud bylo zpracování omezeno, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.

3) Subjekt údajů, který dosáhl omezení zpracování, musí být předem upozorněn na to, že bude omezení zpracování zrušeno.

Článek XVIII

Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování

AZ grav spol. s r.o. jako správce osobních údajů je povinen oznámit jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré provedené opravy nebo výmazy osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce osobních údajů informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.

Článek XIX

Právo na přenositelnost údajů

• Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci osobních údajů, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce osobních údajů bránil, a to v případě, že:

1. zpracování je založeno na uděleném souhlasu se zpracováním osobních údajů nebo na uzavřené smlouvě,
2. zpracování se provádí v elektronické podobě.

• Subjekt údajů má právo na to, aby osobní údaje předal přímo správci osobních údajů druhému správci, je-li to technicky proveditelné.
• Toto právo se neuplatní na zpracování nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce osobních údajů pověřen.
• Uplatněním práva na přenositelnost nesmí být nepříznivě dotčena práva a svobody jiných osob (údaje jiných osob musejí být anonymizovány).

Článek XX

Právo vznést námitku

• Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají. Správce osobních údajů osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.
• Subjekt údajů je na právo vznést námitku výslovně upozorněn a toto právo je uvedeno zřetelně a odděleně od jakýchkoli jiných informací, a to nejpozději v okamžiku první komunikace se subjektem údajů.

Článek XXI

Řešení případů porušení zabezpečení osobních údajů

• Zjištění případu porušení zabezpečení osobních údajů ohlásí zaměstnanec neprodleně svému nadřízenému.
• Okamžité hlášení bude obsahovat minimálně tyto informace:

1. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
2. popis pravděpodobných důsledků porušení zabezpečení osobních údajů pro správce osobních údajů a pro subjekty údajů,
3. návrh okamžitých opatření k zastavení porušení zabezpečení osobních údajů a případně návrh okamžitých nápravných opatření.

• Pověřená osoba pro ochranu osobních údajů, relevantními zpracovateli osobních údajů, případně dalšími relevantními zaměstnanci správce osobních údajů, rozhodne o dalším postupu.
• Pověřená osoba pro ochranu osobních údajů neprodleně informuje jednatele a předloží jí ke schválení návrh na řešení případu porušení zabezpečení osobních údajů a případně doporučení ohlášení porušení zabezpečení osobních údajů dozorovému úřadu.
• Pověřená osoba pro ochranu osobních údajů neprodleně předloží jednateli ke schválení návrh nápravných opatření pro zamezení opakování obdobného porušení zabezpečení osobních údajů. Nápravné opatření obsahuje kroky obnovy a postup, jak zamezit opakování stejného porušení zabezpečení, termíny realizace opatření, jména zaměstnanců odpovědných za jejich splnění. Návrh nápravných opatření musí být konzultován s relevantními Pověřenými osobami, kterého svým podpisem odsouhlasí. Realizace nápravných opatření podléhá schválení jednatelem.
• Pověřená osoba pro ochranu osobních údajů provádí kontrolu plnění nápravných opatření a výsledky předkládá jednateli v termínech k tomu dohodnutých.

Článek XXII

Činnost při zjištění porušení zabezpečení osobních údajů

• Jakékoli porušení zabezpečení osobních údajů nebo ztrátu dostupnosti osobních údajů (dále jen incident) nebo podezření na takové porušení je každý povinen hlásit nadřízenému zaměstnanci.
• Podezření na incident se posuzuje pro potřeby postupu podle této směrnice stejně jako incident, dokud není zjištěno, že incident nevznikl.
• V případě incidentu, spočívajícího ve ztrátě dostupnosti osobních údajů se ustanovení článku 21 použijí přiměřeně.
• Pověřená osoba pro ochranu osobních údajů je odpovědná za řízení reakce na incident.
• Pověřená osoba pro ochranu osobních údajů spolupracuje při řízení reakce na incident s vedoucími oddělení/úseků a pokud je potřebné nebo nutné, se smluvními partnery správce osobních údajů a orgány veřejné správy. Spolupráci se třetími stranami schvaluje jednatel.
• Pověřená osoba pro ochranu osobních údajů vede dokumentaci činností a komunikace při reakci na incident tak, aby byla úplná a průkazná.
• Úkony v reakci na incident se provádějí bez zbytečného odkladu, a pokud je to možné, ihned. Pokud některý z potřebných úkonů vyžaduje snížené dostupnosti informací nebo služby, rozhoduje jednatel.
• Hlavními cíli řízení reakce na incident jsou:
  1. ověřit, zda skutečně došlo k porušení zabezpečení osobních údajů
  2. zjistit, zda došlo k neoprávněnému přístupu, zpřístupňování, přenosu nebo předávání osobních údajů, případně jinému nežádoucímu stavu nebo dopadu,
  3. zamezit možnosti neoprávněnému přístupu, zpřístupňování, přenosu nebo předávání osobních údajů
  4. zjistit rozsah incidentu,
  5. zjistit, které osoby se mohly neoprávněně s osobními údaji seznámit,
  6. zjistit, kde se osobní údaje a informační systémy nacházejí v rozporu s obecně závaznými právními normami,
  7. opatřit důkazy pro řízení, vyšetřování nebo dokazování. Pokud je to třeba, použijí se forenzní metody a standardy,
  8. zjistit, zda je potřebné oznamovat incident třetím stranám,
  9. navrhnout a přijmout taková opatření, aby incident pominul,
  10. navrhnout a přijmout taková opatření, aby se incident neopakoval,
  11. sdílet nebo předat varování třetím osobám, zejména dozorovému úřadu, tak aby se předešlo incidentům u dalších správců.
• Činnost podle tohoto článku se ukončí, jestliže o tom rozhodne jednatel na základě předložené zprávy a zabezpečených podkladů a informací, nebo pokud se prokáže, že k incidentu nedošlo.

Článek XXIII

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

• Jakékoli porušení zabezpečení osobních údajů správce osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
• Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci osobních údajů.
• Ohlášení případů porušení zabezpečení osobních údajů musí přinejmenším obsahovat:

1. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
2. jméno a kontaktní údaje jednatele pro ochranu osobních údajů nebo jiného kontaktního místa, které může poskytnout bližší informace;
3. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
4. popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

• Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. Pověřená osoba pro ochranu osobních údajů dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.

Článek XXIV

Oznamování případů porušení zabezpečení osobních údajů subjektu údajů

• Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí správce osobních údajů toto porušení bez zbytečného odkladu subjektu údajů.
• V oznámení určeném subjektu údajů se za použití jasných a jednoduchých jazykových prostředků popíše povaha porušení zabezpečení osobních údajů a uvedou se v něm přinejmenším informace a opatření uvedené v čl. 22 této Směrnice.
• Oznámení subjektu údajů se nevyžaduje, je-li splněna kterákoli z těchto podmínek:

1. správce osobních údajů zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování,
2. správce osobních údajů přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví,
3. oznámení by vyžadovalo nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

• Jestliže správce osobních údajů dotčenému subjektu údajů porušení zabezpečení osobních údajů ještě neoznámil, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak učinil.

Článek XXV

Zpracovatel

• Pokud má být zpracování provedeno pro správce osobních údajů, využije správce pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky Nařízení GDPR a této směrnice a aby byla zajištěna ochrana práv subjektu údajů.
• Zpracovatel není oprávněn zapojit do zpracování žádného dalšího zpracovatele bez předchozího konkrétního nebo obecného písemného povolení správce osobních údajů. V případě obecného písemného povolení zpracovatel informuje správce osobních údajů o veškerých zamýšlených změnách týkajících se přijetí dalších zpracovatelů nebo jejich nahrazení, a poskytne tak správci osobních údajů příležitost vyslovit vůči těmto změnám námitky.
• Zpracování zpracovatelem se řídí smlouvou. Pověřená osoba je povinna zajistit, aby s každým zpracovatelem byla před zahájením zpracování uzavřena písemná Smlouva o zpracování osobních údajů, která zavazuje zpracovatele vůči správci osobních údajů a v nichž je stanoven předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva správce. Vzor Smlouvy o zpracování osobních údajů je umístěn u jednatele.

Článek XXVI

Kontrola dodržování ustanovení směrnice

• Vedoucí pracovníci (vedoucí oddělení/úseků) zajistí kontrolu plnění povinností vyplývajících z ustanovení této Směrnice pro nakládání s osobními údaji v mezích své působnosti.
• Vedoucí pracovníci zajistí, aby byli s dokumentem Směrnice pro nakládání s osobními údaji seznámeni všichni zaměstnanci.
• Pověřená osoba je zodpovědná za pravidelné testování, posuzování a hodnocení účinnosti zavedených organizačních, fyzických a technických opatření pro zajištění bezpečnosti zpracování dle Směrnice o nakládání s osobními údaji. Při provádění kontrolních činností jsou všichni zaměstnanci povinni poskytovat součinnost. O provedených zjištěních vede Pověřená osoba pro ochranu osobních údajů prokazatelnou dokumentaci, kterou předkládá na vědomí jednatele.
• V případě doporučení ke změnám organizačních, fyzických a technických opatření pro zajištění bezpečnosti zpracování osobních údajů předkládá Pověřená osoba tato doporučení jednateli ke schválení.

Článek XXVII

Revize směrnice

• Revize Směrnice pro nakládání s osobními údaji je provedena v případě potřeby, minimálně však jednou za dva roky.
• Za zpracování, prosazení, údržbu a revize Směrnice pro nakládání s osobními údaji odpovídá pověřený zaměstnanec.
• Tato směrnice vstupuje v platnost od 24.04.2019.

Tato Směrnice je závazná pro všechny pověřené osoby správce (uvedené v příloze 1), které svým podpisem v níže uvedené tabulce potvrzují, že porozuměly a byly seznámeny s předmětem a obsahem bezpečnostní směrnice a tím i s přiměřenou ochranou osobních údajů dodržením stanovených bezpečnostních opatření a plněním všech administrativních úkonů jako i technických a organizačních opatření, která jsou v souladu s nařízením GDPR.

Příloha 1