Pravidla přijatá za účelem dodržování povinností souvisejících s ochranou osobních údajů

Níže uvedená pravidla byla společností Pure Vitality s.r.o., IČ: 21391106, DIČ:CZ21391106 se sídlem Brno, Schwaigrova 658/15, PSČ 617 00 (dále jen "Společnost"), přijata jako vnitřní předpis v souvislosti s přijetím Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů), (dále jen "GDPR"), a to za účelem zajištění dodržování povinností správce, kterým Společnost je, souvisejících s ochranou osobních údajů ve smyslu GDPR.

I. Účel a platnost

  • Cílem tohoto vnitřního předpisu je nastavit pravidla pro zpracování osobních údajů tak, aby byly vždy splněny veškeré zákonné povinnosti Společnosti, vyžadované právními či regulatorními předpisy. Cílem je taktéž nastavit pravidla nakládání se zpracovávanými osobními údaji nejen navenek, ale i uvnitř společnosti.

  • Společnost prostřednictvím tohoto vnitřního předpisu zavádí vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s GDPR, a to s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování, které provádí, a také s přihlédnutím k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob.

  • Tento vnitřní předpis úzce navazuje na již přijaté vnitřní předpisy Společnosti.

  • Tento vnitřní předpis je závazný pro všechny pracovníky Společnosti, mezi které se řadí její zaměstnanci, obchodní zástupci i externí spolupracující subjekty a společnosti. V případě porušení tohoto vnitřního předpisu, je toto považováno za hrubé porušení smlouvy a je to důvodem k ukončení spolupráce s konkrétní osobou.

II. Vymezení pojmů

  • Osobní údaj - veškeré informace o subjektu údajů, který lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity tohoto subjektu údajů;

  • Zpracování - jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

  • Subjekt údajů - identifikovaná nebo identifikovatelná fyzická osoba;

  • Správce údajů - fyzická nebo právnická osoba, která sama nebo společně s jinými určuje účely a prostředky zpracování osobních údajů;

  • Zpracovatel - fyzická nebo právnická osoba, která zpracovává osobní údaje pro správce;

III. Zpracování údajů

  • Účel zpracování – Společnost, jakožto správce, zpracovává v rámci své obchodní činnosti, která odpovídá jejímu předmětu podnikání spočívající ve výrobě, obchodu a službách neuvedených v přílohách 1 a 3 živnostenského zákona. Dále Společnost zpracovává osobní údaje svých pracovníků.
  • Zpracovávané údaje – Společnost zpracovává v rámci své činnosti následující osobní údaje:
  • u klientů především - jméno, příjmení, titul, adresa, telefonní kontakt, emailový kontakt, bankovní spojení, číslo účtu, IČ.
  • u pracovníků především - jméno, příjmení, titul, telefonní kontakt, mailový kontakt, bankovní spojení, číslo účtu, IČD.
  • Zákonnost zpracování – Zpracování osobních údajů Společností je dáno na základě následujících podmínek zakotvených v čl. 6 GDPR:
  • Zákonnost zpracování skrze udělený souhlas subjektu údajů

Ke zpracování osobních údajů Společností není třeba výslovný souhlas subjektu.

  • Zákonnost zpracování vyplývající ze smlouvy uzavřené mezi Společností a subjektem údajů

Na základě smluv uzavřených mezi Společností a subjekty údajů je nezbytné zpracování některých osobních údajů, a to pro splnění smlouvy nebo pro provedení opatření přijatých před uzavřením smlouvy.

  • Zákonnost zpracování vyplývající Společnosti z některé její zákonné povinnosti

Společnost má v souvislosti s výkonem své činnosti mnoho povinností, které jí ukládají jednotlivé právní předpisy, a to zákon o spotřebitelském úvěru, živnostenský zákon, zákon o účetnictví, daňové zákony, zákon o pojišťovnictví, zákon o AML atd.

  • Zákonnost zpracování vyplývajících z oprávněných zájmů Společnosti

Společnost jako správce údajů má vedle výše uvedených zákonných důvodů ke zpracování osobních údajů jednotlivých subjektů též zákonný důvod k hájení svých oprávněných zájmů, mezi které patří především možnost zpracovávat osobní údaje za účelem vymáhání pohledávek.

III. Povinnosti správce údajů

Společnost prostřednictvím dokumentu s názvem Metodika pro posouzení zpracování osobních údajů prováděného správcem údajů a vyhodnocení povinností správce údajů, vyhodnotila, které povinnosti zakotvené v GDPR na ni v návaznosti na její činnost dopadají. Po použití této Metodiky dospěla Společnost k závěru, že je povinna vést záznamy o zpracování osobních údajů.

Jmenování pověřence pro ochranu osobních údajů a posouzení vlivu na ochranu osobních údajů není Společnost dle závěru Metodiky povinna realizovat.

Vedení záznamů o zpracování osobních údajů vede Společnost, která za účelem vedení záznamů o činnostech zpracování, za něž odpovídá, pověří zodpovědnou osobu uvedenou v příloze této vnitřní směrnice.

Společnost se zavazuje průběžně aktualizovat zhodnocení provedená na základě výše uvedené metodiky, které povinnosti zakotvené v GDPR na ni dopadají. Společnost se za tímto účelem zavazuje pověřit zodpovědnou osobu uvedenou v příloze této vnitřní směrnice.

K vyřizování stížností subjektů a poskytnutí informací týkajících se ochrany a zpracování osobních údajů pověří Společnost zodpovědnou osobu uvedenou v příloze této vnitřní směrnice.

IV. Zabezpečení osobních údajů

  • Fyzická bezpečnost objektu

Společnost se zavazuje přijmout a dodržovat níže uvedená opatření a zásady ochrany objektu prostor, ve kterých má sídlo, s tím cílem, aby přijatá opatření zajistily fyzickou bezpečnost objektu jako je ochrana před vstupem nepovolaných osob a před neoprávněnou manipulací s chráněnými osobními údaji v budovách a prostorech Společnosti.

  • Společnost se zavazuje zajistit, že přístup třetím osobám bude do jejích prostor umožněn pouze za doprovodu pracovníka společnosti. Vstup do prostor Společnosti bude zajištěn bezpečnostními dveřmi, které znemožní třetím osobám libovolný vstup.
  • Pracovníci Společnosti jsou povinni prostory Společnosti řádně zamykat, a to především při skončení pracovní doby.
  • Pracovníci Společnosti, kteří nakládají s osobními údaji, jsou povinni tyto osobní údaje řádně ukládat do zamykatelných skříní, aby k nim neměly přístup nepovolané osoby.
  • Při vzniku bezpečnostního incidentu jsou pracovníci Společnosti povinni zamezit třetím osobám libovolnému nakládání s osobními údaji, a to svépomocí či přivoláním Policie ČR.
  • O těchto povinnostech budou všichni pracovníci Společnosti proškoleni a tento dokument je závazný pro všechny pracovníky Společnosti, kteří jsou povinni povinnosti v něm obsažené dodržovat.
  • Společnost se zavazuje určit osobu zodpovědnou za fyzickou bezpečnost objektu uvedenou v příloze této vnitřní směrnice.

  • Personální bezpečnost

Opatření přijatá v souvislosti se zajištěním personální bezpečnosti představuje systém opatření souvisejících s výběrem, určením a kontrolou osob, které přicházejí do kontaktu se shromažďovanými osobními údaji. Společnost tímto zavazuje vymezit konkrétní okruh osob, které mají přístup k osobním údajům. Dále personální bezpečnost obsahuje rovněž výchovu a vzdělávání těchto osob, které se Společnost zavazuje seznámit s dopady GDPR a s tímto vnitřním předpisem. Společnost se také zavazuje určit osobu zodpovědnou za průběžné proškolování pracovníků uvedenou v příloze této vnitřní směrnice.

  • IT bezpečnost

Bezpečnost v této rovině řeší Společnost skrze vlastní IT oddělení, které zajišťuje kompletní zabezpečení na kybernetické úrovni. To zahrnuje především zabezpečení všech počítačů a úložišť Společnosti, zabezpečení síťového připojení Společnosti k internetu, nastavení bezpečnostních prvků pro přístup do jednotlivých databází Společnosti apod.

  • Zajištění bezpečnosti u zpracovatelů

Společnost v rámci spolupráce s jednotlivými zpracovateli, kteří mají přístup k osobním údajům, které Společnost zpracovává, uzavírá smlouvu o spolupráci. Jedná se o společnosti daňový poradce Ing . V. Malinka. V rámci každé takové smlouvy je vždy zakotvena povinnost zpracovatele zajistit soulad jeho nakládání s osobními údaji s GDPR a dále také zabezpečit všechny osobní údaje získané od Společnosti před zneužitím, rozšiřováním a jiným neoprávněným nakládáním s předmětnými osobními údaji. Za porušení těchto povinností se zpracovatel zavazuje uhradit Společnosti vedle náhrady škody i dohodnutou smluvní pokutu. Společnost má kdykoliv možnost kontroly dodržování těchto povinností přímo u zpracovatele, který se zavázal tuto kontrolu nejen umožnit, ale i poskytnout Společnosti veškerou potřebnou součinnost. Společnost se také zavazuje určit osobu zodpovědnou za průběžnou kontrolu jednotlivých zpracovatelů uvedenou v příloze této vnitřní směrnice.

Jednatel průběžně sleduje soulad všech vnitřních předpisů s právními a regulatorními předpisy. Jednatel v případě zjištění nesouladu vnitřních předpisů s právními nebo regulatorními předpisy, upozorní neprodleně na tuto skutečnost. Jednatel je povinen v tomto případě rozhodnout o změně vnitřního předpisu. Jednatel dohlíží na zodpovědné osoby a řádný výkon jejich činnosti dle tohoto vnitřního předpisu. Všichni pracovníci Společnosti, obchodní zástupci či případně i externí spolupracující subjekty, jsou povinni poskytnout jednateli maximální součinnost a na vyžádání mu předkládat podklady či vyjádření ke kontrolované skutečnosti. Tato pravidla úzce navazují na již přijaté vnitřní předpisy Společnosti.

V. Postup v případě narušení bezpečnosti

  • Společnost s vědomím existence povinnosti ohlašovat případy narušení bezpečnosti stanoví následující postup reakce na zjištění, že došlo k porušení ochrany osobních údajů.

  • Jednotliví pracovníci nebo zodpovědné osoby, kteří zjistí, že došlo k porušení ochrany osobních údajů, o tom neprodleně informují jednatele Společnosti.

  • Následně bude provedena analýza toho, jakým způsobem došlo k porušení bezpečnosti osobních údajů, zda hrozí následek pro práva a svobody fyzických osob a pokud ano, tak jak vysoké riziko bude porušení bezpečnosti osobních údajů mít pro práva a svobody fyzických osob.

  • Bude-li v návaznosti na provedenou analýzu zjištěno, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob, je jednatel Společnosti povinen nejpozději do 72 hodin od okamžiku kdy bylo porušení zjištěno, ohlásit toto porušení příslušnému dozorovému úřadu, a to pomocí formuláře Oznámení o porušení zabezpečení osobních údajů subjektu údajů, který je přílohou této vnitřní směrnice.

  • Bude-li v návaznosti na provedenou analýzu zjištěno, že toto porušení bude znamenat vysoké riziko pro práva a svobody jednotlivých fyzických osob, je jednatel Společnosti povinen zajistit, aby byly tyto jednotlivé fyzické osoby bez zbytečného odkladu o tomto porušení a jeho rozsahu informovány. Pro účely tohoto vnitřního předpisu se informováním bez zbytečného odkladu rozumí oznámení provedené písemně nebo prostřednictvím emailu ve lhůtě maximálně 3 pracovní dny ode dne zjištění příslušné skutečnosti, a to pomocí formuláře Oznámení o porušení zabezpečení osobních údajů subjektu údajů, který je přílohou této vnitřní směrnice.

  • Společnost se zavazuje k maximální spolupráci s dozorovým úřadem a k co možná nejrychlejší a nejefektivnější nápravě vzniklého porušení bezpečnosti osobních údajů.

VI. Účinnost

  • Tento vnitřní předpis je účinný ode dne 08.05. 2024.

  • Tento vnitřní předpis vydává a je oprávněn měnit výhradně jednatel Společnosti.

  • Jednatel, který vydal příslušný vnitřní předpis, odpovídá za soulad tohoto vnitřního předpisu s právními a regulatorními předpisy.

Příloha č. 1 vnitřní směrnice Pravidla přijatá za účelem dodržování povinností souvisejících s ochranou osobních údajů – seznam zodpovědných osob

Společnost Pure Vitality s.r.o., na základě této přílohy pověřuje níže uvedené pracovníky k zajištění následujících činností, které určení pracovníci v rámci své činnosti budou zajišťovat:

  • vedení záznamů o činnostech zpracování – Tobiáš Král, jednatel.
  • aktualizaci zhodnocení provedených na základě Metodiky pro posouzení zpracování osobních údajů prováděné správcem údajů a vyhodnocení povinností správce údajů – Tobiáš Král, jednatel.
  • vyřizování stížností subjektů a poskytnutí informací týkajících se ochrany a zpracování osobních údajů – Tobiáš Král, jednatel.
  • kontrolu zajištění fyzické bezpečnost objektu – Tobiáš Král, jednatel .
  • průběžné proškolování pracovníků Společnosti týkající se bezpečnosti – Tobiáš Král, jednatel.
  • průběžnou kontrolu jednotlivých zpracovatelů – Tobiáš Král, jednatel.

Příloha č. 2 vnitřní směrnice - Oznámení o porušení zabezpečení osobních údajů dozorovému úřadu

Úřad pro ochranu osobních údajů

Pplk. Sochora 27
Praha 7

170 00

____________________________

V ……….…. dne …..…….

Správce osobních údajů: Pure Vitality s.r.o.

IČ: 213 91 106

Sídlem: Schwaigrova 15, 617 00, brno

Oznámení o porušení zabezpečení osobních údajů

Vážení,

s odkazem na práva a povinnosti plynoucí z Nařízení Evropského parlamentu a Rady EU č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), jsem jako správce osobních údajů povinen Vás jakožto dozorový orgán informovat v případě, že dojde nebo reálně hrozí porušení zabezpečení osobních údajů poskytnutých mi subjektem těchto údajů.

S ohledem na výše uvedené si Vás proto dovoluji informovat o skutečnosti, že došlo k incidentu bezpečnosti dat, který [může znamenat/znamená] ohrožení osobních údajů, které zpracováváme. [V době od do/ dne – identifikace časového období porušení], došlo k [konkrétní popis incidentu]. Tento bezpečnostní incident byl zjištěn [dne ……………].

Ohrožená data [mohou obsahovat/obsahují] osobní údaje jako například [identifikovat typ ohrožených osobních údajů]. Dle našich zjištění nebyly ohroženy žádné další následující osobní údaje [identifikovat typy neohrožených údajů]. Jako správce osobních údajů jsme již přijali následná nápravná opatření [konkrétní popis přijatých opatření].

V případě potřeby či doplnění informací nás prosím kontaktujte, a to e-mailem [emailová adresa] nebo na telefonu [telefonní číslo].

S pozdravem

___________________________

[podpis správce údajů]

Příloha č. 3 vnitřní směrnice - Oznámení o porušení zabezpečení osobních údajů subjektu údajů

[jméno a příjmení/název společnosti subjektů údajů]

[adresa]

…………………………..

…………………………..

…………………………..

____________________________

V …………. dne ……..….

Oznámení o porušení zabezpečení osobních údajů

Vážený/í/á [doplnit oslovení],

s odkazem na práva a povinnosti plynoucí z Nařízení Evropského parlamentu a Rady EU č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), jsem jako správce údajů osobních údajů povinen Vás jakožto subjekt údajů informovat v případě, že dojde nebo reálně hrozí porušení zabezpečení Vámi poskytnutých osobních údajů.

S ohledem na výše uvedené si Vás proto dovoluji informovat o skutečnosti, že došlo k incidentu bezpečnosti dat, který [může znamenat/znamená] ohrožení osobních údajů, které zpracováváme. [V době od do/Dne – identifikace časového období porušení], došlo k [celkový popis incidentu]. Tento bezpečnostní incident byl zjištěn [dne ……………].

Ohrožená data [mohou obsahovat/obsahují] osobní údaje jako například [identifikovat typ ohrožených osobních údajů]. Dle našich zjištění nebyly ohroženy žádné další následující osobní údaje [identifikovat typy neohrožených údajů]. Jako správce osobních údajů jsme již přijali následná nápravná opatření [konkrétní popis přijatých opatření].

Pro další podrobnosti a informace nás můžete kontaktovat, a to e-mailem [emailová adresa] nebo na telefonu [telefonní číslo].

S pozdravem

____________________________

[podpis správce údajů]