SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

 

 

 

Funkce

Jméno

Datum

Podpis

Schválil

předseda představenstva

Ing. Martin Dobiáš

3.3.2025

 

Schválil

místopředsedkyně představenstva

Lucie Vranková

3.3.2025

 

Schválil

člen představenstva

JUDr. Vladan Rámiš, Ph.D.

3.3.2025

 

   

I.        ÚVODNÍ USTANOVENÍ

 

1.       Bytové družstvo Suchý vršek, se sídlem Praha 13, Suchý vršek 2110, PSČ 158 00, IČO: 25060881 (dále jen „BDSV“) je správcem osobních údajů.

2.       BDSV tímto stanovuje v souladu s čl. 30, 32, 35 a dalších Obecného nařízení o ochraně osobních údajů, č. (EU) 2016/679 (dále jen „GDPR“), tento vnitřní předpis upravující procesy pro zpracování osobních údajů v BDSV a obecná technicko-organizační opatření k zabezpečení ochrany osobních údajů. 

3.       Zpracovávat osobní údaje v BDSV je možné pouze v souladu s GDPR, případně dalšími právními předpisy a při současném šetření práv osob, jejichž údaje jsou zpracovávány.

 

 

II.     POVINNOSTI V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

 

1.       Naplňování povinností BDSV v oblasti ochrany osobních údajů je nedílnou součástí plnění pracovních povinností všech zaměstnanců, spolupracovníků a všech zpracovatelů činných pro BDSV.

2.       Všechny osoby, které v rámci své činnosti pro BDSV přijdou do styku s osobními údaji, jsou povinny takové údaje využít pouze pro účely, pro něž byly shromážděny a jsou povinny zachovávat mlčenlivost o těchto údajích a to jak vůči třetím osobám, tak vůči zaměstnancům a jiným spolupracovníkům BDSV, kteří je nezbytně nepotřebují k výkonu své práce. Stejná povinnost platí ohledně technicko-organizačních opatření realizovaných v BDSV za účelem ochrany osobních údajů. Povinnost mlčenlivosti trvá bez časového omezení i po zániku smluvního vztahu příslušné osoby k BDSV.

3.       Všechny osoby, které v rámci své činnosti pro BDSV přijdou do styku s osobními údaji, jsou povinny také dodržovat veškerá aplikovaná bezpečnostní opatření a pokyny.

 

III.   POSTUPY V OBLASTI OCHRANY OSOBNÍCH ÚDAJŮ

 

1.       Při zahájení nového zpracování je třeba si nejprve ujasnit, pro jaký účel budou údaje zpracovávány, jaké údaje budou zpracovávány, jak bude prováděno zpracování, po jakou dobu a jaké osoby budou mít k údajům přístup. Následně je třeba zapsat dotčené informace do interní Evidence zpracování osobních údajů, kterou vede představenstvo.

2.       U veškerých smluv se třetími osobami, v rámci jejichž plnění bude prováděno zpracování osobních údajů pro BDSV, musí být sepsána doložka o zpracování osobních údajů podle čl. 28 GDPR.

3.       Poučení o zpracování osobních údajů musí být vhodně komunikováno, centrálně je pro třetí osoby vedeno v elektronické podobně na www.bdsv.cz.

 

IV.   ZMĚNY V PROCESU ZPRACOVÁNÍ

 

1.       Při jakékoliv podstatné změně v procesu zpracování je třeba aktualizovat zápis v Evidenci zpracování osobních údajů.

2.       Představenstvo vždy nejméně 1x za tři roky provede kontrolu procesu zpracování, zda odpovídá zpracované dokumentaci a zda nedošlo k podstatné změně v procesu zpracování.

3.       Ochrana osobních údajů je ovšem průběžný nikdy nekončící proces, kterému je třeba věnovat pozornost nepřetržitě.

 

V.          ŽÁDOSTI SUBJEKTŮ ÚDAJŮ PODLE GDPR

 

Veškeré žádosti fyzických osob (subjektů údajů) doručené BDSV podle GDPR (zejména žádosti o přístup k osobním údajům, výmaz osobních údajů apod.) je třeba řešit bezodkladně, nejpozději do 30 dní.

 

VI.   BEZPEČNOSTNÍ OPATŘENÍ

 

1.       Nedílnou součástí zpracování osobních údajů je snaha o to, aby nedošlo k jejich únikům, zneužití či zpřístupnění nepovolaným osobám. Zde je třeba dodržovat přístup založený na riziku, tzn. čím více a rizikovějších údajů zpracováváte a čím je větší riziko útoku na bezpečnost takových údajů, tím vyšší by měla být úroveň bezpečnostních opatření.

2.       Nepodceňujte fyzickou bezpečnost. BDSV se snaží zabezpečit svá data prostřednictvím různých technických zařízení (kamerové systémy apod.). To ovšem neznamená, že bychom měli rezignovat na tak základní opatření, jako je zamykání kanceláří či skříní, kde jsou uloženy osobní údaje (ať již ve formě datových nosičů či vytištěných sjetin). Také dodržování základních bezpečnostních opatření, jako je nevpouštění neznámých osob do budov, nám pomůže naše údaje zabezpečit.

3.       Zničte nepotřebná data důkladně. Pokud nepotřebná data smažete, zajistěte vždy tvrdý výmaz, nepostačuje databázové mazání příznakem či jejich umístění do koše ve Windows. Pokud budete mazat některá data, zamyslete se i nad tím, zda nejsou obsažena v některých záložních souborech a zda dojde v přiměřené lhůtě např. k přepsání takových záložních souborů novými. Také skartování vytištěných dat je třeba věnovat patřičnou pozornost.

 

VII.    OHLAŠOVÁNÍ PORUŠENÍ ZABEZPEČENÍ

 

GDPR stanoví za určitých podmínek povinnost jakékoliv porušení zabezpečení osobních údajů bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se naše BDSV dozvědělo, ohlásit dozorovému úřadu (ÚOOÚ), případně také subjektům údajů. Pokud budete mít byť jen podezření na to, že došlo k úniku osobních údajů nebo neoprávněnému přístupu k nim, okamžitě informujte představenstvo.

 

VIII.  POSKYTOVÁNÍ OSOBNÍCH ÚDAJŮ ORGÁNŮM VEŘEJNÉ SPRÁVY

 

V případě, že je BDSV doručena žádost orgánu veřejné správy, zejména Policie České republiky, o poskytnutí osobních údajů, bude tato žádost vždy předána představenstvu, které posoudí oprávněnost požadavku příslušného státního orgánu.

 

IX.   ZÁVĚREČNÁ USTANOVENÍ

 

Tato směrnice je účinná od 1. března 2025.

 

X.          Příloha

 

Přílohou této směrnice jsou:

  1. Podrobnější informace o zásadách a způsobech zpracování osobních údajů.

 

1.   VYMEZENÍ ZÁKLADNÍCH POJMŮ

 

Co je osobní údaj? Osobním údajem je jakákoliv informace týkající se identifikované či identifikovatelné fyzické osoby (tzv. subjektu údajů). Tzn. osobními údaji nemusí být pouze údaje o osobách, které známe jménem, ale i údaje o osobách, které jsme schopní identifikovat jinak (popisem jejich vlastností, kombinací jiných údajů (bydliště, věk apod.) či prostřednictvím jiného identifikátoru, (jako je např. rodné číslo). Osobním údaje jsou pro nás také informace o osobách, o nichž my sami nejsme schopní určit jejich totožnost, ale existuje osoba, která takového určení totožnosti je schopná a je pravděpodobné, že taková osoba může skutečně údaje získat či provést identifikaci.

 

Jaké postavení má BDSV při zpracování osobních údajů? BDSV je obvykle tzv. správcem osobních údajů, tedy tím, kdo určuje účely a prostředky zpracování.

 

Osobní údaje jakých osob BDSV zpracovává? BDSV při své činnosti zpracovává osobní údaje řady osob. Mohou jimi být zejména:

(i)            naši zaměstnanci,

(ii)          naši členové,

(iii)        ostatní nájemci našich nemovitostí, a

(iv)        dodavatelé služeb,

Jednoznačně vymezit okruh osob, jejichž údaje budeme zpracovávat, je velice důležité. Pomůže vám to nastavit správně i účel zpracování.

 

K jakým účelům osobní údaje zpracováváme? Účel zpracování je klíčovým pojmem zpracování osobních údajů. Jeho řádné stanovení vám pomůže odpovědět i na další související otázky, např. jaké údaje můžeme zpracovávat a jak dlouho. Každé zpracování přitom musí být prováděno k jasně definovaným účelům, které musí být deklarovány předem a zapsány v naší interní evidenci zpracování osobních údajů. Před zahájením každého zpracování osobních údajů se proto zamyslete nad tím, k jakým účelům je budete zpracovávat. Účely, pro něž jsou osobní údaje zpracovávány, musí být přiměřené a musí se zakládat na nějakém právním důvodu (viz níže).

 

Určit účely zpracování, aniž by bylo jasné, o jaké konkrétní zpracování jde, není možné, protože vždy záleží na konkrétním případu, jaké účely budou přípustné. Níže uvedený seznam vám ovšem může pomoci určit, pro které účely osobní údaje zpracováváme. Je třeba mít na paměti, že obvykle také zpracování probíhá za více než jedním účelem.

 

Zpracování tak může být prováděno např. za těmito účely:

-        plnění uzavřené smlouvy, včetně vymáhání pohledávek apod.

-        plnění zákonných povinností, např. v oblasti účetnictví (placené služby), platby sociálního a zdravotního pojištění, nebo i ochrany osobních údajů (dokládání souhlasů)

-        kontrola zaměstnanců

-        ochrana osob a majetku a zajištění bezpečnosti našich systémů a sítě (typicky kamerové systémy, ale patří sem i logování úkonů uživatelů nebo administrátorů systémů)

-        statistické účely

-        zlepšování našich služeb v návaznosti na zkušenosti s jejich dosavadním poskytováním

 

Pokud byste chtěli začít zpracovávat osobní údaje, které již naše družstvo shromáždilo, pro nějaký jiný, nový, účel, vždy je třeba získat souhlas představenstva.

 

Jaké osobní údaje BDSV zpracovává? Na tuto otázku není možné odpovědět obecně, protože pro každý účel zpracování budou zpracovávány jiné osobní údaje. Každopádně platí, že je třeba zpracovávat co nejméně osobních údajů s ohledem na dosažení účelu zpracování. Rozhodně není možné sbírat osobní údaje „jen pro jistotu“ nebo za účelem „co kdyby se daly v budoucnu využít“. Pro různé účely může být rozsah zpracovávaných údajů různý. Na to je třeba myslet v případě, kdy některý z účelů pomine – pak je třeba údaje, které nejsou třeba pro zpracování pro další účely, vymazat.

 

Co je vlastně zpracováním osobních údajů? Je to celý proces nakládání s osobními údaji od jejich získání (shromáždění) až po jejich likvidaci. I samotné zničení osobních údajů (skartace papírových podkladů, zničení datových médií či vymazání souborů) je tedy zpracováním a mělo by být provedeno v souladu s na trhu obvyklými postupy. Postup, jakým budeme osobní údaje zpracovávat, závisí vždy na charakteru dané služby.

 

Jakou dobu budeme osobní údaje zpracovávat? Osobní údaje můžeme zpracovávat pouze po dobu nezbytně nutnou k naplnění účelu zpracování. Tato doba by měla být určena buď přímo, či alespoň stanovením kritérií pro její určení, před započetím zpracování. V některých případech je stanovena přímo právními předpisy. Pro různé účely může být doba zpracování různá. Doby zpracování musí být vždy popsány v evidenci zpracování osobních údajů vedené podle GDPR.

 

2.   Z JAKÝCH ZÁKONNÝCH DŮVODŮ MŮŽEME OSOBNÍ ÚDAJE ZPRACOVÁVAT?

 

Pro to, abychom mohli zpracovávat osobní údaje, nestačí jen určit účel zpracování. Zpracování se totiž musí zakládat na v GDPR připuštěném důvodu zpracování. Takovým důvodem může být:

 

a)     souhlas subjektu údajů. Subjekt údajů může udělit souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů. Je třeba mít na paměti, že udělený souhlas může subjekt údajů vždy odvolat. V takovém případě musíme přestat zpracovávat údaje pro účely, pro něž byl souhlas udělen (ale můžeme je po přiměřenou dobu zpracovávat pro jiné účely, např. pro ochranu našeho družstva proti právním nárokům apod.). Souhlas musí být oddělený pro každý nekompatibilní účel, musí být jednoznačný, dobrovolný a musí být založen na řádném poučení osoby, která nám souhlas uděluje, o tom, co budeme s jejími osobními údaji dělat. Zvláštní pravidla platí pro některé specifické případy zpracování, zejména:

(i)             pro souhlas dětí mladších 15 let nebo

(ii)           pokud budou zpracovávány údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů (např. otisky prstů) za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

 

Souhlas musí být svobodný, konkrétní, informovaný a jednoznačný, proto nemůže být obsažen v obchodních podmínkách či jinak skryt. Pokud je souhlas udělován zaškrtnutím políčka (typicky na internetu), musí být políčko odzaškrtnuté
a uživatel musí toto políčko sám aktivně zaškrtnout. V některých případech musí být souhlas výslovný.

 

b)    zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů. Jedná se o údaje, které objektivně nutně potřebujeme k tomu, abychom mohli subjektu údajů poskytovat služby,

c)     zpracování je nezbytné pro splnění právní povinnosti, která se na nás jako správce vztahuje. Může se jednat o plnění povinností podle účetních předpisů, daňových předpisů, Zákoníku práce nebo také povinností podle GDPR. Určité povinnosti nám jsou uloženy i v rámci předpisů o prevenci deliktní činnosti, např. podle zákona o trestní odpovědnosti právnických osob,

d)    zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby nebo je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce. Toto jsou poměrně specifické důvody,

e)     zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. Jedná se o „sběrnou klauzuli“, která nám umožňuje zpracovávat osobní údaje i bez souhlasu dotčených osob.

 

Pro zpracování tzv. zvláštních kategorií údajů (zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů (např. otisky prstů) za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby), nelze využít veškeré výše uvedené důvody, ale musí být splněny zvláštní požadavky.

 

3.   ÚKONY, KTERÉ JE NUTNÉ PROVÉST PŘED ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

 

Určení odpovědné osoby a ujasnění si procesu zpracování. Nebude-li stanoveno jinak, odpovídá za nastavení zpracování představenstvo nebo příslušný zpracovatel, pokud provádí zpracování pro družstvo.

 

Výběr systému, v němž budeme osobní údaje zpracovávat. Rozhodnutí, který počítačový systém použijeme pro zpracování, je také velice důležité. Vždy se zamyslete nad tím, zda jde o důvěryhodný systém odpovídající běžným standardům, zda daný systém umožňuje zavedení bezpečnostních opatření uvedených níže, zda máme zajištěnu údržbu systému a jeho další vývoj apod. Pokud systém získáváme od třetí osoby, vždy bychom měli zohlednit, zda se jedná o důvěryhodnou osobu, zda je systém dostatečně prověřený a zda jeho dodavatel bude schopen provádět jeho další vývoj.

 

Určení případných zpracovatelů. Rozhodnutí, zda údaje budeme zpracovávat v našich systémech, nebo je předáme třetí osobě, aby je pro nás zpracovala, byť třeba ohledně dílčí činnosti zpracování, má řadu konsekvencí z hlediska GDPR. Např. pokud využijeme třetí osobu, taková osoba pak bude tzv. zpracovatelem osobních údajů a podle GDPR jsme povinni uzavřít s takovým zpracovatelem písemnou smlouvu.

 

Určení bezpečnostních opatření pro zpracování. Při nakládání s osobními údaji je důležité zajistit bezpečnost osobních údajů. Proto je třeba již od počátku nastavit zpracování tak, aby byla zajištěna odpovídající úroveň bezpečnosti. Možná bezpečnostní opatření jsou uvedena v bodě 6.

 

4.   ZÁKLADNÍ ZÁSADY ZPRACOVÁNÍ

 

Podle čeho postupovat při určování parametrů zpracování. V tom, abyste řádně stanovili jednotlivé prvky procesu zpracování osobních údajů, vám pomohou základní zásady pro zpracování údajů. Snažte se je proto vždy dodržovat. Základními zásadami jsou:

a)     zákonnost, korektnost a transparentnost – zpracování musí být prováděno ve vztahu k subjektu údajů korektně, poctivě a zákonným a transparentním způsobem. Vždy je proto třeba vědět, na jakém právním důvodu (viz výše), je konkrétní zpracování založeno. Důležitá je i transparentnost. Snažte se proto pokud možno subjekty údajů informovat o všech aspektech zpracování. Opatrní buďte pouze u informací o bezpečnostních opatřeních, aby nedošlo k narušení bezpečnosti ochrany osobních údajů

b)    účelové omezení – osobní údaje mohou být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný

c)     minimalizace údajů – zpracování musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou údaje zpracovávány

d)    přesnost – údaje, které zpracováváme, musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.  Pokud možno vždy umožněte osobám, které nám údaje poskytly, jejich opravu, např. zpřístupněním odpovídající funkce v administračním rozhraní naší služby

e)     omezení uložení. Údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány

f)      integrita a důvěrnost – údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením

g)    přístup založený na riziku. Jedná se o jednoduché, ale důležité pravidlo, podle nějž je při aplikaci bezpečnostních opatření a rozhodování o ostatních aspektech zpracování nutné přihlížet k riziku, které subjektům údajů hrozí. Zásadně platí, že čím větší riziko, tím lepší by měla být aplikovaná bezpečnostní opatření

h)    respektování legitimních očekávání subjektů údajů. Vždy se snažte zpracovávat osobní údaje za takových okolností, kdy takové zpracování nebude pro subjekty údajů překvapivé – např. pokud chcete provádět nějaké neobvyklé zpracování, které v dané situaci nemohl subjekt údajů očekávat, informujte ho o to pečlivěji a zvažte, zda takové zpracování vůbec provádět.

 

 

5.   PRÁVA SUBJEKTŮ ÚDAJŮ

 

1.       Fyzické osoby, jejichž osobní údaje budeme zpracovávat (subjekty údajů), mají různá zákonná práva, kterých je třeba dbát při navrhování procesu zpracování.

Hlavní práva jsou:

a)     Právo na informace (čl. 13 a 14 GDPR). Subjekty údajů mají právo být informovány o tom, že budeme jejich údaje zpracovávat. Pokud získáváme osobní od subjektu údajů, musíme mu informace o zpracování poskytnout při získání. Pokud je získáváme jinak, musíme mu je poskytnout co nejdříve, resp. nejpozději v GDPR stanoveném okamžiku (viz čl. 14 GDPR).

Údaje, které jsme povinni poskytnout, jsou zejména: kategorie zpracovávaných údajů, naše kontaktní údaje, účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování, specifikace našich oprávněných zájmů, na jejichž základě údaje zpracováváme, kategorie příjemců osobních údajů, případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci. Další skupina údajů musí být poskytnuta „je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování“. Jedná se např. o údaje o době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá pro stanovení této doby, poučení o zákonných právech subjektů údajů, pokud je zpracování založeno na souhlasu subjektu údajů, poučení o existenci práva odvolat kdykoli souhlas, skutečnost, zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů, skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, které může mít pro subjekt údajů právní následky (např. neuzavření smlouvy) a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

b)    Právo subjektu údajů na přístup k osobním údajům. Subjekty údajů nás mohou až na výjimky požádat o vydání kopie údajů, které o nich zpracováváme a některých dalších informací (čl. 15 GDPR). Myslete na to při přípravě našich systémů, aby bylo možné tyto údaje vyexportovat (na druhé straně z hlediska bezpečnosti by možnost takového exportu měla být omezena pouze na uživatele s vyššími právy, kteří tím budou přímo pověřeni).

c)     Právo na opravu (čl. 16 GDPR). Subjekt údajů má právo na to, abychom bez zbytečného odkladu opravili nepřesné osobní údaje, které se ho týkají, případně v odůvodněných případech doplnili neúplné údaje. Opět je nutné na toto právo myslet při přípravě našich systémů, případně umožnit přímo subjektům údajů, aby mohli své údaje opravit v administračních rozhraních.

d)    Právo na výmaz („právo být zapomenut“ – čl. 17 GDPR). Subjekty údajů mohou požadovat, abychom o nich zpracovávané údaje vymazali a to i před uplynutím lhůty, kterou jsme si stanovili jako přiměřenou pro zpracování. V některých v GDPR stanovených případech jsme povinni takové žádosti vyhovět. Každou takovou doručenou žádost bychom se měli ovšem odpovědně zabývat a prověřit, zda z hlediska konkrétních okolností není důvod pro vymazání údajů. Rozhodování o tom, zda mají být údaje vymazány (případné jaké z nich si můžeme ponechat a jaké musíme vymazat) není vždy jednoduché. V některých případech může být z hlediska jednoho účelu nutné údaje vymazat, ale pro jiný účel si je musíme ponechat. Pak je vhodné se zamyslet nad tím, zda pro ten účel, který „nám zůstává“, je nutné zpracovávat všechny údaje a nepotřebné údaje je nutné smazat. Také se zamyslete nad tím, zda pro naplnění zbývajícího účelu je nutné ponechat k údajům přístup všem dosavadním oprávněným osobám.

 

Ve vhodných případech se před smazáním údajů dotažte subjektu údajů, zda nechce získat kopii údajů (zejména tam, kde údaje mažeme z našeho vlastního rozhodnutí, a jedná se o údaje, které mohou být pro subjekt údajů důležité).

 

Výmaz by měl být prováděn jako skutečně „tvrdý výmaz“, nikoliv jen výmaz příznakem. Pamatujte na to při přípravě našich systémů tak, aby skutečně takový definitivní výmaz umožňovaly (výmaz lze případně nahradit důslednou anonymizací údajů).

e)     Právo na omezení zpracování (čl. 18 GDPR).  Toto právo umožňuje subjektům údajů požadovat, abychom se zdrželi dalšího zpracovávání osobních údajů (kromě prostého uložení) v zákonem stanovených případech. Je to např. tehdy, kdy:

a)     subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;

b)     zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;

c)     správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;

d)     subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1 GDPR, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

f)      Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování (čl. 19 GDPR). Podle GDPR je správce povinen oznámit jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18 GDPR, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje. Na naše družstvo se toto obvykle nebude vztahovat.

g)    Právo na přenositelnost údajů (čl. 20 GDPR). Pokud zpracováváme osobní údaje na základě souhlasu subjektu údajů nebo v rámci plnění smlouvy s ním, má subjekt údajů právo požadovat po nás (vedle práva na přístup podle čl. 15) také vydání údajů, jež o něm zpracováváme v počítačových systémech, „ve strukturovaném, běžně používaném a strojově čitelném formátu“. Při nákupu IT systémů myslete na to, že by měly umožňovat export všech dat o uživatelích např. do souboru XML, případně se zamyslete, jak budete zajišťovat splnění takového požadavku uživatele v případě, kdy nebude systém takový export umožňovat.

h)    Právo na námitku (čl. 21 GDPR). Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti určitým zpracováním osobních údajů.

2.       K vyřizování žádostí subjektů údajů by mělo dojít bez zbytečného odkladu, rozhodně ne později než do 1 měsíce od jejího obdržení.

3.       V některých případech je možné byť jen částečně nevyhovět výše vedeným žádostem z důvodu ochrany práv třetích osob či BDSV (např. by vydáním informací bylo ohroženo obchodní tajemství BDSV, či by měly být zároveň s údaji týkajícími se subjektu údajů vydány informace týkající se jiných osob) nebo je možné (pokud budou zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují) podmínit je úhradou přiměřeného poplatku zohledňujícího administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů (viz čl. 12 GDPR).

 

6.   BEZPEČNOSTNÍ OPATŘENÍ

 

1.       Nedílnou součástí zpracování osobních údajů je snaha o to, aby nedošlo k jejich únikům, zneužití, znepřístupnění (např. v důsledku hackerského útoku) či zpřístupnění nepovolaným osobám.

2.       Obvyklá bezpečnostní opatření mohou být:

a)     pseudonymizace údajů, tedy typicky oddělení některých klíčových údajů, které umožňují jednoduchou identifikaci a jejich oddělené a zabezpečené uchovávání od ostatních údajů. Např. se jedná o nahrazení jména a příjmení a e-mailové adresy číselným identifikátorem, pro který je vedena zvláštní oddělená databáze, která sice umožňuje zpětně přiřadit k tomuto identifikátoru jména, příjmení a e-mailové adresy, ale nebude běžně využívána a přístup k ní bude omezen,

b)     používání silných hesel do systémů. Dodržujte interní bezpečnostní standardy ohledně síly hesel. Také platí přísný zákaz sdílení hesel či vyzrazování přístupových hesel jiné osobě,

c)     přehled o osobách provádějících zpracování a přiměřené logování úkonů operátorů. Jedním z požadavků na nás kladených je, abychom měli přehled o tom, kdo pro nás osobní údaje zpracovává. To se týká jak externích zpracovatelů, tak našich zaměstnanců, kteří se na zpracování podílejí. Zejména bychom se měli vyvarovat používání sdílených hesel,

d)     dodržování bezpečnostních pravidel a kontrola takového dodržování. Je úkolem všech zaměstnanců. Každý zaměstnanec k ní musí přispět tím, že bude dodržovat základní bezpečnostní pravidla,

e)     spolupráce pouze s důvěryhodnými partnery a používání pouze důvěryhodného software. Spolupracujte pokud možno pouze s partnery, u kterých je možné vycházet z toho, že se jedná o důvěryhodné partnery, s jasnou historií a vysokou mírou pravděpodobnosti, že budou existovat i nadále a budou schopni zajistit další vývoj námi používaného software.

f)      využívání šifrovaných USB disků. Pokud zpracováváte osobní údaje lokálně na noteboocích, zvažte zabezpečení takových notebooků šifrováním disků. Takové opatření nám pomůže zajistit integritu a ochranu našich dat v případě odcizení nebo ztráty takového notebooku. Pokud budete přenášet citlivější data na USB, také je zašifrujte, např. software bitlocker, který je součástí Windows,

g)     nepředávání údajů mimo EU. V této souvislosti pozor na tzv. cloudové služby, kdy různí poskytovatelé cloudových služeb mohou mít svoji infrastrukturu umístěnu mimo území EU. Předávání údajů mimo EU je obecně bezpečnostním rizikem. Proto vždy usilujte o to, aby ke zpracování údajů docházelo v rámci EU a u cloudových služeb používejte pouze důvěryhodné poskytovatele (např. Microsoft),

h)     dokladování pokynů externím zpracovatelům. Pokud předáváte externím zpracovatelům pokyny ke zpracování údajů, je třeba tyto pokyny předávat doložitelnou formou (např. e-mailem),

i)      uzamykání místností.