SMERNICA K SPRACOVANIU A OCHRANE OSOBNÝCH ÚDAJOV

SMERNICA K SPRACOVANIU A OCHRANE OSOBNÝCH ÚDAJOV

Časť prvá

ÚVODNÉ USTANOVENIA A VYMEDZENIA POJMOV

  1. Úvodné ustanovenia
    1. Táto smernica upravuje záväzné podmienky a pravidlá pri spracúvaní osobných údajov  spoločnosti:  Organic world s. r. o., so sídlom: Zámostní 1155/27, Slezská Ostrava, 710 00 Ostrava, IČO: 10778977, spisová značka: C 85501 vedená u Krajského soudu v Ostravě, konajúca prostredníctvom: Daniel Roman  (ďalej len „Podnikateľ“)v súlade s požiadavkami Nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje Smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (ďalej len “GDPR“) zák. č. 18/2018 Z. z. a inými normami upravujúce ochranu osobných údajov. 
    2. Cieľom smernice je zabezpečenie ochrany osobných údajov, fyzických osôb ich spracovanie a ochrana Podnikateľa a iných osôb pred spracúvaním osobných údajov v rozpore s Nariadením.
    3. Smernica popisuje základné povinnosti a opatrenia pri spracúvaní osobných údajov u Podnikateľa.
    4. Pravidlá a povinnosti definované touto Smernicou sú záväzné pre všetkých zamestnancov Podnikateľa. Pojem „zamestnanec“, resp. “zamestnanec spoločnosti” na účely tejto smernice zahŕňa všetky osoby zamestnané u Podnikateľa, vrátane členov manažmentu a výkonných riaditeľov, zamestnancov v pracovnom pomere na plný alebo čiastočný úväzok, osoby pracujúce pre Podnikateľa na základe dohôd o prácach vykonávaných mimo pracovného pomeru, brigádnikov, k Podnikateľovi dočasne pridelených zamestnancov a iní podnikatelia, ktorí vykonávajú záväznú činnosť pre Podnikateľa, ak sú. Pravidlá stanovené touto Smernicou sa tiež vzťahujú na zamestnancov, ktorých pracovný pomer bol prerušený z dôvodov podľa Zákonníka práce. 
  2. Definície a základné legislatívne pojmy
  1. Nižšie sú uvedené definície a pojmy, ktoré upravuje táto smernica. 
  2. Definície

Agenda OOÚ – je oblasť spracúvania osobných údajov, pre ktorú  bol stanovený rozsah a účel spracúvania osobných údajov.

Vlastník agendy – oprávneným zástupcom Podnikateľa písomne menovaná osoba zodpovedná za spracúvanie a bezpečnosť osobných údajov v rámci určenej agendy, spravidla vedúci zamestnanec, v ktorého riadiacej pôsobnosti dochádza k spracúvaniu osobných údajov, a ktorá je na úseku agendy zodpovedná najmä za prijímanie bezpečnostných opatrení, ich revíziu a kontrolu nad ich dodržiavaním. Ak takejto osoby niet, je ním samotný Podnikateľ. 

  1. Základné legislatívne pojmy

Dotknutá osoba – každá fyzická osoba,  ktorej sa osobné údaje týkajú.

Informačný systém – informačným systémom osobných údajov je informačný systém, v ktorom sa na vopred vymedzený alebo ustanovený účel systematicky spracúva alebo má spracúvať akýkoľvek usporiadaný súbor osobných údajov prístupných podľa určených kritérií, bez ohľadu na to, či ide o informačný systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom alebo geografickom základe (ďalej len „informačný systém“); informačným systémom sa rozumie aj súbor osobných údajov, ktoré sú spracúvané alebo pripravené na spracúvanie čiastočne automatizovanými alebo inými ako automatizovanými prostriedkami spracúvania.

Oprávnená  osoba – je každá fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru, štátnozamestnaneckého pomeru, služobného pomeru, členského vzťahu, na základe poverenia, zvolenia alebo vymenovania, alebo v rámci výkonu verejnej funkcie, a ktorá spracúva osobné údaje v rozsahu a spôsobom určeným v poučení podľa Zákona (fyzická osoba, ktorá prichádza do styku s osobnými údajmi v rámci svojho pracovného pomeru na základe pokynu zamestnávateľa).

Osobné údaje – údaje týkajúce sa určenej alebo určiteľnej fyzickej osoby, pričom takou osobou je osoba, ktorú možno určiť priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora alebo na základe jednej či viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú, fyziologickú, psychickú, mentálnu, ekonomickú, kultúrnu alebo sociálnu identitu.

Prevádzkovateľ – každý, kto sám alebo spoločne s inými vymedzí účel spracúvania osobných údajov, určí podmienky ich spracúvania a spracúva osobné údaje vo vlastnom mene; ak účel, prípadne aj podmienky spracúvania osobných údajov ustanovuje zákon, priamo vykonateľný právne záväzný akt Európskej únie alebo medzinárodná zmluva, ktorou je Slovenská republika viazaná, Prevádzkovateľom je ten, kto je na plnenie účelu spracúvania za Prevádzkovateľa ustanovený alebo kto spĺňa zákonom, priamo vykonateľným právne záväzným aktom Európskej únie alebo medzinárodnou zmluvou, ktorou je Slovenská republika viazaná, ustanovené podmienky (subjekt, v mene ktorého sa spracúvajú osobné údaje, ktorý rozhoduje o spracúvaní  osobných údajov).

Spracúvanie osobných údajov – vykonávanie operácií alebo súboru operácií s osobnými údajmi, najmä ich získavanie, zhromažďovanie, zaznamenávanie, usporadúvanie, prepracúvanie alebo zmena, vyhľadávanie, prehliadanie, preskupovanie, kombinovanie, premiestňovanie, využívanie, uchovávanie, blokovanie, likvidácia, ich cezhraničný prenos, poskytovanie, sprístupňovanie alebo zverejňovanie; niektorými operáciami s osobnými údajmi sa podľa prvej vety rozumie:

  1. poskytovaním osobných údajov odovzdávanie osobných údajov tretej strane, ktorá ich ďalej spracúva,
  2. sprístupňovaním osobných údajov oznámenie osobných údajov alebo umožnenie prístupu k nim príjemcovi, ktorý ich ďalej nespracúva,
  3. zverejňovaním osobných údajov publikovanie, uverejnenie alebo vystavenie osobných údajov na verejnosti prostredníctvom masovokomunikačných prostriedkov, verejne prístupných počítačových sietí, verejným vykonaním alebo vystavením diela, verejným vyhlásením, uvedením vo verejnom zozname, v registri alebo v operáte, ich umiestnením na úradnej tabuli alebo na inom verejne prístupnom mieste,
  4. cezhraničným prenosom osobných údajov prenos osobných údajov mimo územia Slovenskej republiky a na územie Slovenskej republiky,
  5. likvidáciou osobných údajov zrušenie osobných údajov rozložením, vymazaním alebo fyzickým zničením hmotných nosičov tak, aby sa z nich osobné údaje nedali reprodukovať,
  6. blokovaním osobných údajov dočasné alebo trvalé pozastavenie spracúvania osobných údajov, počas ktorého možno vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na splnenie povinnosti uloženej týmto zákonom.

Sprostredkovateľ – každý, kto osobne spracúva osobné údaje v mene Prevádzkovateľa, pokiaľ si s Prevádzkovateľom v rozsahu a za podmienok dojednaných v písomnej zmluve podľa Zákona a v súlade so zákonom nedohodne spracúvanie osobných údajov prostredníctvom inej osoby – Subdodávateľa  (subjekt, ktorý spracúva osobné údaje v mene Prevádzkovateľa, v rozsahu a za podmienok dojednaných v písomnej zmluve).

Subdodávateľ – každý, kto  spracúva osobné údaje a zabezpečuje ich ochranu na zodpovednosť Sprostredkovateľa (subjekt, ktorý spracúva osobné údaje podľa dojednaných podmienok so Sprostredkovateľom a v súlade s podmienkami dojednanými medzi Prevádzkovateľom a Sprostredkovateľom). Ustanovenia Zákona o Sprostredkovateľovi sa vzťahujú aj na Subdodávateľa. Na Subdodávateľa Úrad nahliada ako na Sprostredkovateľa.

Tretia strana – každý, kto nie je dotknutou osobou, Prevádzkovateľom poskytujúcim osobné údaje, jeho zástupcom, Sprostredkovateľom alebo oprávnenou osobou (subjekt, u ktorého sa predpokladá, že mu budú osobné údaje poskytnuté a predpokladá sa tiež právny základ – iný Prevádzkovateľ spracúvajúci osobné údaje vo vlastnom mene napr. Sociálna poisťovňa, daňový úrad).

Úrad – Úrad na ochranu osobných údajov je orgánom štátnej správy s celoslovenskou pôsobnosťou, ktorý vykonáva dozor nad ochranou osobných údajov a podieľa sa na ochrane základných práv a slobôd fyzických osôb pri spracúvaní ich osobných údajov.

Časť druhá

PRÁVA A POVINNOSTI

  1. Základné práva a povinnosti zamestnancov
  1. Všetci zamestnanci, ktorí prichádzajú do styku s osobnými údajmi (ďalej aj ako “oprávnené osoby“, jednotlivo ako “oprávnená osoba”), zodpovedajú za ich bezpečnosť a sú povinní ich chrániť pred odcudzením, stratou, poškodením, neoprávneným prístupom, zmenou a rozširovaním.
  2. Zamestnanci sú povinní spracúvať osobné údaje v súlade so Smernicou o ochrane osobných údajov u Podnikateľa.
  3. Každý zamestnanec musí zachovávať mlčanlivosť o osobných údajoch, s ktorými príde pri svojej pracovnej činnosti do styku. Taktiež musí zachovávať mlčanlivosť o bezpečnostných opatreniach, ktorých zverejnenie by ohrozilo ochranu osobných údajov. Povinnosť mlčanlivosti trvá i po skončení pracovného pomeru alebo obdobného vzťahu u Podnikateľa.
  4. Každý zamestnanec je povinný v prípade odôvodneného podozrenia na únik alebo neoprávnené spracúvanie osobných údajov túto skutočnosť bezodkladne nahlásiť.  
  5. Zamestnanci musia pri akomkoľvek spracúvaní osobných údajov dodržiavať povinnosti, ktoré vyplývajú z tejto smernice. Porušenie ustanovení tejto smernice považuje Podnikateľ za závažné porušenie pracovnej disciplíny s možnosťou uplatnenia postupu podľa príslušných ustanovení Zákonníka práce v závislosti od intenzity porušenia a miery zavinenia v konkrétnom prípade.
  6. Každý zamestnanec môže prípadné nejasnosti v oblasti spracúvania a ochrany osobných údajov konzultovať s Podnikateľom.
  7. Všetci zamestnanci sú povinní v rámci oprávnenia spracúvať osobné údaje výhradne v rámci svojej pracovnej náplne a výlučne v rozsahu a na účel, ktorý im bol stanovený ich vedúcim zamestnancom (nadriadeným) a v súlade s ustanoveniami Zákona a ďalšími všeobecne záväznými právnymi predpismi a príslušnými internými predpismi Podnikateľa.
  8. Všetci zamestnanci sú povinní pri získavaní a modifikácií osobných údajov dbať na ich správnosť a úplnosť a overovať ich podľa dokladov k tomu určených.
  9. Všetci zamestnanci sú povinní  zdržať sa akéhokoľvek správania, ktoré by mohlo viesť k neoprávnenému prístupu tretej osoby k osobným údajom spracúvaným u Podnikateľa.
  10. Dohľad nad ochranou osobných údajov – Vlastníci agendy
  11. Vlastníci agendy ako osoby zastupujúce Podnikateľa, ktoré spracúvajú osobné údaje, dozerajú na dodržiavanie ustanovení a poskytujú Podnikateľovi potrebnú súčinnosť  pri výkone jeho právomocí a dohľadu.
  1. Vlastník agendy zodpovedá v rámci pridelenej agendy najmä za:
  1. posudzovanie a zabezpečovanie súladu spracúvania osobných údajov so Zákonom, ostatnými všeobecne záväznými právnymi predpismi a touto smernicou,
  2. poskytnutie súčinnosti pri vybavovaní žiadostí dotknutých osôb,
  3. poskytnutie súčinnosti pri vypracovávaní a aktualizácii bezpečnostného projektu alebo jeho častí alebo inej bezpečnostnej dokumentácie, ak takýto projekt existuje, 
  4. plnenie bezpečnostných požiadaviek stanovených bezpečnostným projektom, ak takýto projekt existuje,
  5. kontrolu dodržiavania interných predpisov, ktoré upravujú spracúvanie osobných údajov,
  6. posudzovanie adekvátnosti prostriedkov používaných pri spracúvaní osobných údajov,
  7. navrhovanie spôsobov dosiahnutia súladu spracúvania osobných údajov so Zákonom a internými dokumentmi Podnikateľa,
  8. dohľad pri výbere Sprostredkovateľa alebo Subdodávateľa, prípravu zmluvy o spracúvaní údajov,
  9. priebežné preverovanie (kontrola) dodržiavania podmienok dohodnutých so Sprostredkovateľom, a to počas trvania zmluvného vzťahu,
  10. preskúmavanie zmien procesu spracúvania osobných údajov najmenej raz ročne a bezodkladné hlásenie všetkých zmien spracúvania,
  1. Vlastník agendy môže kedykoľvek kontrolovať dodržiavanie ustanovení týkajúcich sa Nariadenia, Zákona a tejto smernice v rámci svojej pôsobnosti, a to i bez predchádzajúceho upozornenia.
  2. Vlastník agendy je oprávnený pri zabezpečovaní úloh uvedených v ods. 4.2 požadovať súčinnosť všetkých zamestnancov Podnikateľ v rámci jemu zverenej agendy. Títo sú povinní poskytnúť mu bezodkladne potrebnú súčinnosť.
  3. Vlastníkom agendy je Podnikateľ. 
  4. Riadenie dohľadu nad ochranou osobných údajov
  1. Podnikateľ zabezpečuje riadenie a koordináciu ochrany osobných údajov v rámci celého podniku.
  2. Podnikateľ zodpovedá najmä za:
  1. posúdenie či spracúvaním osobných údajov nevzniká nebezpečenstvo narušenia práv a slobôd dotknutých osôb, a to ešte pred začatím spracúvania osobných údajov,
  2. zabezpečenie poučenia oprávnených osôb, vrátane Vlastníkov agendy,
  3. vybavovanie žiadostí dotknutých osôb,
  4. dohľad nad plnením základných povinností podniku  ako Prevádzkovateľa, 
  5. zabezpečenie súladu dokumentov s Nariadením,
  6. navrhovanie Vlastníkov agend,
  7. dohľad nad plnením povinností zo strany Sprostredkovateľov a Subdodávateľov,
  8. včasné informovanie jednotlivých organizačných útvarov Podnikateľa ak sú o zákonných alebo interných požiadavkách na ochranu informácií, ako aj o základných informáciách týkajúcich sa stratégie ochrany osobných údajov a súkromia u Podnikateľa.
  9. Podnikateľ môže písomne (e-mail) delegovať na určeného zamestnanca výkon jednej alebo viacerých právomocí uvedených v ods. 5.2.

Časť tretia

ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV

  1. Poučenie zamestnancov o ochrane osobných údajov
  1. Za výkon všeobecného poučenia o ochrane osobných údajov novoprijatých zamestnancov zodpovedá Podnikateľ. 
  2. Poučenie novoprijatých zamestnancov musí byť vykonané v preukázateľnej forme a po podpise príslušným poučeným zamestnancom a osobou, ktorá vykonala poučenie doručené štatutárnemu orgánu podnikateľa, ktorý zabezpečí archiváciu tohto súhlasu.
  3. Za pravidelné (ročné) poučenie (preškolenie) zamestnancov o ochrane osobných údajov formou školenia zodpovedá Podnikateľ, prípadne ňou poverená osoba.
  4. Bezpečnostné pravidlá pri spracúvaní osobných údajov
  5. Všetky osobné údaje spracúvané u Podnikateľa musia byť spracúvane v súlade s podmienkami stanovenými všeobecne záväznými právnymi predpismi a touto smernicou a  pokynmi Podnikateľa.
  6. Spracúvanie osobných údajov
  1. Spracúvať osobné údaje môže Podnikateľ, prípadne písomne poverený zamestnanec Podnikateľa (ďalej len „oprávnená osoba“). Oprávnená osoba je povinná spracúvať osobné údaje len v rozsahu pridelených oprávnení v rámci svojej pracovnej náplne a tomu zodpovedajúcimi prostriedkami spracúvania.
  2. Spracúvanie osobných údajov monitorovaním verejne dostupného priestoru je možné iba po preukázateľnom poučení Dotknutej osoby pri vstupe do monitorovaného priestoru. Uchovávanie záznamu je možné maximálne po dobu 15 dní.
  1. Získavanie osobných údajov
  1. Spôsob a postup získavania osobných údajov v Podnikateľa musí byť schválený. Podnikateľ preferuje v maximálne možnej miere získavanie osobných údajov formou štandardizovaných zmlúv alebo formulárov.
  2. Pri získavaní osobných údajov je oprávnená osoba povinná v zmysle Zákona informovať dotknutú osobu o podmienkach  spracovania jej osobných údajov. Informácie o podmienkach spracovania osobných údajov je potrebné oznámiť aj dotknutej osobe, ktorej osobné údaje Podnikateľ  nezískal priamo od nej.
  3. Informovanie dotknutej osoby nie je potrebné iba v prípade, ak s ohľadom na všetky okolnosti je možné preukázať, že v čase získavania osobných údajov boli všetky potrebné informácie dotknutej osobe už známe.
  4. V prípade získavania osobných údajov dotknutých osôb Podnikateľom od iných Prevádzkovateľov musí byť s Prevádzkovateľom uzatvorená písomná zmluva o ochrane osobných údajov, v ktorej povinne pripomienkujúcim. Získavanie osobných údajov Podnikateľom za predpokladu splnenia povinností podľa predchádzajúcej vety je možné len vtedy ak:
  1. to výslovne ustanovuje GDPR, osobitný zákon, alebo
  2. vo vzťahu k získavaným osobným údajom existuje preukázateľný súhlas dotknutých osôb alebo písomné vyhlásenie Prevádzkovateľa, že takýmto písomným súhlasom disponuje.
  3. Za dodržanie pravidiel stanovených v ods. 9.4. zodpovedá Podnikateľ. 
  4. Poskytovanie, sprístupňovanie a zverejňovanie osobných údajov
  1. Osobné údaje môžu byť poskytnuté, sprístupnené alebo zverejnené iba na návrh Vlastníka agendy.
  2. Osobné údaje môžu byť Podnikateľom poskytnuté a sprístupňované iba subjektu na základe osobitného zákona alebo s ktorým bola uzatvorená písomná zmluva obsahujúca ustanovenia o poskytovaní a ochrane osobných údajov, ktorej povinne pripomienkujúcim.
  3. Poskytovanie, sprístupňovanie a zverejňovanie osobných údajov sa môže vykonať v nevyhnutnom rozsahu  len v prípadoch:
  1. ak to výslovne ustanovuje osobitný zákon, alebo
  2. ak dotknutá osoba dala písomný súhlas na štandardizovanom formulári alebo na formulári podľa prílohy č. 5 tejto smernice, ktorý schválil DPO v každom individuálnom prípade poskytovania, sprístupňovania alebo zverejňovania osobných údajov.
  3. Správnosť a aktuálnosť osobných údajov
  1. Za správnosť a aktuálnosť osobných údajov zodpovedá Podnikateľ. Osobný údaj považuje Podnikateľ za správny, kým sa nepreukáže opak.
  2. V zmluvnom vzťahu s dotknutými osobami sa odporúča stanoviť povinnosť dotknutej osoby nahlasovať akúkoľvek zmenu svojich osobných údajov.
  3. Zamestnanec – oprávnená osoba je povinný v prípade zistenia nesprávnych alebo neaktuálnych osobných údajov bezodkladne informovať Vlastníka agendy.
  4. Vlastník agendy zodpovedá za bezodkladnú opravu a doplnenie osobných údajov, ktoré sa v priebehu spracúvania stanú neaktuálnymi alebo sa preukáže, že sú nesprávne. O vykonaní opravy alebo likvidácii osobných údajov oboznamuje Vlastník agendy dotknutú osobu a tretie strany, ktorým boli osobné údaje poskytnuté, v lehote do 30 dní od zistenia tohto stavu. Od oznámenia možno upustiť, ak tým nebudú porušené práva dotknutej osoby.
  5. Oprava alebo likvidácia osobných údajov sa nevykoná, ak takéto obmedzenie vyplýva zo všeobecne záväzného osobitného zákona, resp. nebol naplnený účel spracúvania osobných údajov.
  6. Likvidácia osobných údajov
  1. Doba uchovávania jednotlivých kategórií osobných údajov musí byť v súlade s ich účelom spracúvania. Po splnení účelu spracúvania, resp.  uplynutí stanovenej doby uchovávania, musí byť zabezpečená bezodkladná likvidácia osobných údajov. 
  2. Každá oprávnená osoba je povinná zabezpečiť bezodkladnú likvidáciu osobných údajov, ktorých účel spracúvania pominul (napr. odpisy a kópie dokumentov s osobnými údajmi, osobné údaje nachádzajúce sa na pracovných staniciach, v domovských adresároch, v elektronickej pošte, atď.).
  3. Osobné údaje sa nezlikvidujú iba v nasledovných prípadoch:
  1. ak osobitný zákon ustanovuje lehotu spracúvania, ktorá neumožňuje osobné údaje zlikvidovať,
  2. ak sú osobné údaje v predarchívnej starostlivosti alebo sú súčasťou archívnych dokumentov.

Časť štvrtá

OCHRANA PRÁV DOTKNUTÝCH OSôB

  1. Práva dotknutej osoby
  1. Na základe žiadosti dotknutej osoby, musí byť dotknutej osobe poskytnuté a zabezpečené právo získať prístup k o nej spracúvaným osobným údajom a tieto informácie,
  2. a.účely spracúvania
  3. b.kategórie dotknutých osôb a osobných údajov
  4. c.príjemcovia alebo kategórie príjemcov, ktorým boli alebo budú osobné údaje poskytnuté, najmä príjemcovia v tretích krajinách alebo medzinárodné organizácie;
  5. d.ak je to možné, predpokladaná doba uchovávania osobných údajov alebo, ak to nie je možné, kritériá na jej určenie;
  6. e.existencia práva požadovať od prevádzkovateľa opravu osobných údajov týkajúcich sa dotknutej osoby alebo ich vymazanie alebo obmedzenie spracúvania, alebo práva namietať proti takémuto spracúvaniu;
  7.     právo podať sťažnosť dozornému orgánu;
  8. g.ak sa osobné údaje nezískali od dotknutej osoby, akékoľvek dostupné informácie, pokiaľ ide o ich zdroj;
  9. Na to, aby prevádzkovateľ bez zbytočného odkladu opravil nesprávne osobné údaje, ktoré sa jej týkajú, 

 Časť piata

ZÁVEREČNÉ USTANOVENIA

Platnosťou tejto smernice nie je obmedzená platnosť GDPR alebo Zákona. V prípade akejkoľvek nejasnosti pri aplikácii tejto smernice v oblasti ochrany osobných údajov je zamestnanec povinný riadiť sa príslušnými ustanoveniami GDPR alebo Zákona a obrátiť sa so žiadosťou o usmernenie na Podnikateľa.