|
|
GDPR-01 VNITŘNÍ PŘEDPIS O OCHRANĚ OSOBNÍCH ÚDAJŮ ZAMĚSTNANCŮ A UCHAZEČŮ O ZAMĚSTNÁNÍ |
||
|
Oblast působnosti: |
HR |
||
|
Datum vydání a účinnosti: |
01.12.2022 |
Revize: |
01 |
|
Typ dokumentu: |
Vnitřní předpis |
Označení: |
GDPR-01 |
|
Vypracoval: |
Marie Bažant |
Funkce: |
HR Junior |
|
Přezkoumáno: |
Petr Nacházel |
Funkce: |
CEO |
|
Schváleno: |
Janem Marečkem |
Funkce: |
Předsedou představenstva |
|
Antonínem Mlejnkem |
Funkce |
Místopředsedou představenstva |
|
OBSAH:
2 OBLAST PLATNOSTI A ODPOVĚDNOSTI
3 ZÁKLADNÍ POJMY, DEFINICE A ZKRATKY
1 ÚČEL A POSLÁNÍ
Účelem tohoto vnitřního předpisu je zejména splnit informační povinnost vůči zaměstnancům, uchazečům o zaměstnání a osobám v obdobném postavení jako zaměstnanci (dále jen „zaměstnanci“) vyplývající z nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále též „GDPR“) a další povinnosti vyplývající ze zákona č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů (dále jen „ZoZOÚ“) a ostatních platných právních předpisů.
2 OBLAST PLATNOSTI A ODPOVĚDNOSTI
Tento vnitřní předpis je platný pro celou Společnost. S vnitřním předpisem musejí být seznámeni všichni zaměstnanci Společnosti, uchazeči o zaměstnání pak musí být seznámeni alespoň s relevantními částmi tohoto vnitřního předpisu. Společnost je oprávněna požadovat po zaměstnanci písemné potvrzení o seznámení se s tímto vnitřním předpisem.
Vlastníkem procesu, který je odpovědná za jeho funkčnost a aktuálnost je HR Specialistka.
Ve vztahu k zaměstnancům a osobám v obdobném postavení s uzavřenou smlouvou se Společností je za seznámení uvedených osob s tímto vnitřním předpisem odpovědný vždy vedoucí každého oddělení v rozsahu své organizační působnosti. Ve vztahu k uchazečům o zaměstnání je za seznámení uvedených osob s příslušnými relevantními částmi tohoto vnitřního předpisu odpovědná HR Specialistka.
3 ZÁKLADNÍ POJMY, DEFINICE A ZKRATKY
DPO Osoba pověřená ochranou osobních údajů ve Společnosti
GDPR Nařízení EP a Rady (EU) 2016/679, v platném znění
HR Human Resources (personální oddělení) Společnosti
Občanský zákoník Zákon č. 89/2012 Sb., občanský zákoník, v platném znění
Osobní údaj Jakákoliv informace týkající se subjektu údajů, která vede nebo může vést sama o sobě (nebo v kombinaci s jinými údaji) k identifikaci konkrétní osoby
Prostory Společnosti Nemovitosti ve vlastnictví či správě Společnosti nebo některého ze zpracovatelů
Společnost EDERA Group a.s., IČO 27461254, se sídlem Arnošta z Pardubic 2789, Zelené Předměstí, 530 02 Pardubice, sp. zn. B 2924 vedená u Krajského soudu v Hradci Králové
Správce údajů Správcem údajů je Společnost
Subjekt údajů Subjektem údajů jsou zaměstnanci
Zaměstnanci Zaměstnanci, uchazeči o zaměstnání a osoby v obdobném postavení ke Společnosti
ZoZOÚ Zákon č. 110/2019 Sb., o zpracování osobních údajů, v platném znění
Zpracovatel údajů Každý subjekt, který na základě zákona nebo pověření správcem zpracovává osobní údaje
4 TEXT DOKUMENTU
Zásady ochrany osobních údajů zaměstnanců a uchazečů o zaměstnání
Ochrana osobních údajů a soukromí je prioritou Společnosti EDERA Group a.s., IČO 27461254, se sídlem Arnošta z Pardubic 2789, Zelené Předměstí, 530 02 Pardubice, sp. zn. B 2924 vedená u Krajského soudu v Hradci Králové (též jen „Společnost“), proto při uchovávání a zpracování osobních údajů zaměstnanců, uchazečů o zaměstnání a osob v obdobném postavení jako zaměstnanci (též jen „zaměstnanci“) postupuje vždy v souladu s platnými právními předpisy, zejména nařízením EP a Rady (EU) 2016/679 (GDPR), z. č. 110/2019 Sb., o zpracování osobních údajů (ZoZOÚ) a příslušnými ustanoveními z. č. 89/2012, občanský zákoník (OZ).
Prostřednictvím těchto zásad plní Společnost svou informační povinnost a sděluje zaměstnancům, jakým způsobem nakládá s jejich osobními údaji a jak zajišťuje jejich zpracování.
1. Vymezení správce, DPO a kontaktních údajů
Správcem osobních údajů zaměstnanců je Společnost, která je rovněž vůči svým zaměstnancům (z hlediska GDPR subjektů údajů) v postavení zaměstnavatele (dále též „zaměstnavatel“). V případě potřeby je možné kontaktovat zaměstnavatele prostřednictvím e-mailu: marie.bazant@edera.cz.
Správce jmenoval DPO, kterou je Marie Bažant - telefon +420 771 274 552, e-mail marie.bazant@edera.cz. Důvod správy údajů, zpracování údajů a zdroje údajů
Společnost získává osobní údaje zaměstnanců zejména v souvislosti s přípravou či uzavřením smluv a pracovněprávních dokumentů, plněním smluv či povinností dle platných právních předpisů, jejich poskytnutím na základě souhlasu zaměstnance a/nebo v souvislosti s jiným přímým nebo nepřímým kontaktem Společnosti a zaměstnance. Osobní údaje zaměstnanců chrání Společnost v maximální možné míře, která odpovídá stupni technického rozvoje. Společnost může získat údaje jak přímo od zaměstnanců, tak od třetích osob (avšak pouze pokud k takovému zpracování existuje odpovídající právní titul) či z veřejných rejstříků.
Dojde-li ke změně osobních údajů, je třeba, aby zaměstnanec změnu Společnosti oznámil.
2. Kategorie údajů a účel zpracování
Společnost zpracovává kategorie údajů uvedené v příloze č. 1 k tomuto vnitřnímu předpisu s tím, že rozsah skutečně zpracovávaných údajů se liší podle toho jaké smluvní vztahy jsou s příslušným zaměstnancem uzavřeny, jaká je náplň jeho práce a jaké údaje zaměstnanec Společnosti poskytl. U každé kategorie údajů je v Příloze č. 1 k tomuto vnitřnímu předpisu uveden i účel a titul zpracování a další potřebné informace, včetně zpracovatelů údajů a účelu, proč je Společnost využívá. Všechny osoby, které Společnost zapojí do zpracování osobních údajů splňují požadavky podle GDPR.
U uchazečů o zaměstnání jsou zpracovávány pouze údaje, které uchazeč o zaměstnání Společnosti poskytl prostřednictvím nástupního dotazníku či jiným způsobem, a to po dobu trvání výběrového řízení či po dobu, kdy trvá jím udělený souhlas. Informace uvedené v příloze č. 1 k tomuto vnitřnímu předpisu se pro uchazeče o zaměstnání použijí obdobně.
Zpracování osobních údajů mohou pro Společnost realizovat pouze prověření zpracovatelé či další zpracovatelé, a to výhradně na základě smlouvy o zpracování osobních údajů nebo na základě jiného právního aktu, který garantuje srovnatelné organizačně-technické zabezpečení osobních údajů, které je nastaveno ve Společnosti. Zpracovatelé jsou povinni používat předmětné osobní údaje výhradně k těm účelům, ke kterým jim byly předány, přičemž mají zakázáno tyto osobní údaje předávat bez souhlasu Společnosti, jakožto správce osobních údajů, dalším subjektům.
3. Práva a povinnosti zaměstnanců
Všichni zaměstnanci jsou povinni zachovávat mlčenlivost o všech osobních údajích, které zpracovávají při výkonu pracovní činnosti pro Společnost, a to i po skončení svého pracovního poměru u Společnosti (tzn. zejména nesmí sdělovat žádné informace o zákaznících, instalacích, servisech, rekognoskacích či deinstalacích osobám, které tyto informace nepotřebují pro výkon své práce vědět). Všichni zaměstnanci jsou povinni zpracovávat osobní údaje pouze v rozsahu, který je nezbytný pro výkon jejich práce a jsou před výkonem práce povinni se seznámit se stanoveným účelem a rozsahem zpracování těch osobních údajů, se kterými budou při výkonu práce přicházet do styku.
Zaměstnanci, v jejichž náplni práce je vpouštění osob do prostor Společnosti, mají při příchodu předem neohlášené kontroly ze strany dozorového úřadu (Úřad pro ochranu osobních údajů) povinnost informovat ihned o kontrole DPO či jí zastupující osobu.
V případech, kdy je poskytování osobních údajů zákonným požadavkem či smluvně převzatým závazkem zaměstnance, je zaměstnanec povinen tyto osobní údaje poskytnout. Pokud je poskytnutí osobních údajů povinné, a ze strany zaměstnance k jejich poskytnutí nedojde, může dojít k uplatnění důsledků uvedených v příslušném právním předpise, resp. smlouvě. Zpracování, ve kterých je poskytování osobních údajů povinné, jsou uvedena v příloze č. 1 k tomuto vnitřnímu předpisu.
Zaměstnanci jsou oprávněni uplatňovat vůči Společnosti níže uvedená práva v rozsahu a za podmínek uvedených v nařízení GDPR. Práva zaměstnanců jsou zejména následující:
Právo zaměstnance na přístup k osobním údajům: Zaměstnanec má právo získat od Společnosti potvrzení, zdali osobní údaje, která se ho týkají, Společnost zpracovává. Pokud dochází ke zpracování osobních údajů zaměstnance, tak má zaměstnanec právo získat přístup k těmto údajům. Tento přístup bude zahrnovat např. informace o účelech zpracování, kategoriích osobních údajů a informace o zdroji osobních údajů. Zaměstnanec má rovněž právo požadovat kopii zpracovávaných osobních údajů.
Právo na opravu: Zaměstnanec má právo na to, aby Společnost bez zbytečného odkladu opravila případné nepřesné osobní údaje, které se příslušného zaměstnance týkají a které Společnost zpracovává.
Právo na výmaz: Pokud nastane některý z důvodů vymezených nařízením GDPR (např. osobní údaje již nebudou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány, nebo dojde k odvolání souhlasu zaměstnance), tak má zaměstnanec právo na to, aby Společnost bez zbytečného odkladu vymazala osobní údaje, které se příslušného zaměstnance týkají. Toto právo se však neuplatní neomezeně. K výmazu tak nedojde např. pokud jsou údaje zpracovávány na základě právní povinnosti.
Právo na omezení zpracování: Zaměstnanec má právo na to, aby Společnost omezila zpracování v případech vymezených nařízením GDPR. Jedná se např. o situaci, kdy bude zaměstnanec popírat přesnost osobních údajů, a omezení bude probíhat po dobu, kdy Společnost bude přesnost osobních údajů ověřovat.
Právo na přenositelnost údajů: V některých případech vymezených nařízením GDPR (např. pokud je zpracování založeno na souhlasu zaměstnance) má zaměstnanec právo na to, aby mu Společnost poskytla jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu, a má právo předat tyto údaje jinému správci. Zaměstnanec má rovněž právo žádat, pokud je to technicky proveditelné, aby Společnost poskytla tyto údaje jinému správci přímo.
Právo vznést námitku: Zaměstnanec má, z důvodů týkajících se jeho konkrétní situace, právo kdykoli vznést námitku proti zpracování osobních údajů, které se ho týkají, pokud jsou tyto osobní údaje zpracovávány na základě splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci nebo oprávněných zájmů Společnosti či třetí strany, včetně profilování založeného na těchto ustanoveních.
Právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování: Zaměstnanec má právo nebýt předmětem žádného rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něj právní účinky nebo se ho obdobným způsobem významně dotýká. Toto právo se však neuplatní ve všech případech, např. pokud je rozhodnutí nezbytné k uzavření nebo plnění smlouvy mezi zaměstnancem a Společností.
Právo kdykoliv odvolat souhlas: V případech, kdy je zpracování osobních údajů zaměstnance založeno na jeho souhlasu, může zaměstnanec tento souhlas kdykoliv odvolat (kontakty pro odvolání souhlasu viz. čl. 1 tohoto dokumentu - DPO). Které údaje jsou zpracovávané na základě souhlasu je uvedeno v příloze č. 1 k tomuto vnitřnímu předpisu. Odvolání souhlasu, ale i jeho udělení je svobodnou volbou zaměstnance. Odvolání souhlasu však nemá vliv na zákonnost zpracování před jeho odvoláním (tj. jeho odvolání nemá zpětné účinky).
Podání stížnosti: Zaměstnanec má právo kdykoliv podat stížnost týkající se zpracování jeho osobních údajů k DPO. Zaměstnanec má rovněž právo podat stížnost týkající se zpracování jeho osobních údajů k dozorovému úřadu, kterým je pro Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7.
4. Předání osobních údajů do třetích zemí a mezinárodních organizací
Společnost nepředává v rámci své činnosti osobní údaje do třetích zemí a mezinárodních organizací. Pokud Správce využívá pro zpracování osobních údajů zpracovatele, tak tito mohou předávat osobní údaje do třetích zemí a mezinárodních organizací. Případní zpracovatelé usazení mimo Evropskou unii nebo Evropský hospodářský prostor jsou uvedeni v příloze č. 1 k tomuto vnitřnímu předpisu. Ve všech případech Společnost vybírá tyto zpracovatele pečlivě tak, aby předávání osobních údajů těmito zpracovateli probíhalo v souladu s GDPR. K předávání osobních údajů u zpracovatelů nejčastěji dochází na základě rozhodnutí o odpovídající ochraně dle čl. 45 GDPR.
5. Zabezpečení osobních údajů – technická a organizační opatření
Společnost přijala všechna nezbytná opatření k ochraně citlivých informací (včetně osobních údajů) před neoprávněným přístupem. Za tímto účelem Společnost uplatňuje příslušné interní postupy a plní regulační a právní požadavky. Společnost dodržuje bezpečnostní politiku, která, mimo jiné, zahrnuje řízení bezpečnosti pro všechny osoby, platformy/systémy a zařízení, které přistupují k údajům, přičemž je využívána moderní bezpečnostní technologie.
Při posuzování vhodné úrovně bezpečnosti vždy Společnost zohledňuje rizika, která představuje zpracování, zejména náhodné nebo protiprávní zničení, ztrátu, pozměňování, neoprávněné zpřístupnění předávaných, uložených nebo jinak zpracovávaných osobních údajů, nebo neoprávněný přístup k nim.
Společnost implementovala vhodná technická a organizační opatření, aby zajistila úroveň zabezpečení odpovídající danému riziku, zejména schopnosti zajistit neustálou důvěrnost, integritu a odolnost systémů a služeb zpracování.
Společnost má zaveden systém řízení a dokumentace přístupů a oprávnění, který brání přístupu neautorizovaných osob k informacím. Ke konkrétní informaci může přistoupit vždy pouze osoba, která dané informace potřebuje pro výkon své činnosti.
Zaměstnanci Společnosti jsou při nástupu do zaměstnání (a dále v průběhu trvání jejich pracovního či obdobného poměru) školeni v oblasti ochrany informací. Stejná povinnost platí i pro dodavatele Společnosti. Zaměstnanci Společnosti a osoby jednající za dodavatele jsou vázání mlčenlivostí, tj. jsou povinni zachovávat mlčenlivost o všech osobních údajích, které budou zpracovávat při výkonu pracovní činnosti pro Společnost. Všechny osoby, které společnost zapojí do zpracování osobních údajů splňují požadavky podle GDPR
Prostory, ve kterých se nacházejí osobní údaje, jsou zabezpečeny konstrukčním zajištěním prostor.
Další informace o zavedených technických a organizačních opatřeních jsou uvedena v Bezpečnostním předpisu Společnosti o ochraně osobních údajů ve vztahu k osobám zpracovávajícím osobní údaje se kterým je povinen se zaměstnanec seznámit společně s tímto vnitřním předpisem.
6. Speciální ustanovení o kamerovém systému
Společnost z důvodu zajištění ochrany majetku, zdraví osob a bezpečnosti poskytovaných služeb disponuje kamerovými systémy, které jsou umístěny v Prostorech Společnosti. O užití kamerových systémů jsou zaměstnanci vždy informováni prostřednictvím informačních cedulí umístěných v dotčených Prostorech Společnosti. Kamerový systém není provozován v prostorách, jako jsou toalety apod., které slouží pro soukromé účely zaměstnanců.
Kamerový systém je provozován nepřetržitě, pořizuje audiovizuální záznamy a může být sledován i v reálném čase pracovníkem Společnosti. Přístup k záznamům z kamerového systému je chráněn před neoprávněným přístupem pomocí hesla a je evidován (logován) pomocí záznamu v aplikaci HIKVISION. Záznamy z kamerového systému jsou uchovávány po dobu uvedenou v příloze č. 1 k tomuto vnitřnímu předpisu. Doba uchování je nastavena tak, aby bylo možné efektivně dohledat záznam událostí za účelem vymezeným v prvním odstavci tohoto článku vnitřního přepisu. Pořízené kamerové záznamy mohou být v případě nutnosti poskytnuty správním orgánům a orgánům činným v trestním řízení.
Bližší specifikace účelu zpracování, sbíraných údajů, zpracovatelů atp. je uvedena v příloze č. 1 k tomuto vnitřnímu předpisu. Jednotlivé kamery jsou umístěny v Prostorech Společnosti vymezených v příloze č. 2 k tomuto vnitřnímu předpisu.
5 PŘÍLOHY
Příloha č. 1 – Specifikace účelu zpracování, sbíraných údajů, zpracovatelů atp.
Příloha č. 2 – Vymezení prostor s využitím kamerového systému
6 PODPISOVÁ ČÁST
V Pardubicích, dne 1.12.2022
Jan Mareček Antonín Mlejnek
Předseda představenstva Místopředseda představenstva
EDERA Group a.s. EDERA Group a.s.
Předvolby souborů cookie