GDPR & cookies

Tato směrnice je vnitřním předpisem obchodní společnosti VETTRONIC s.r.o., IČ: 17531713, se sídlem Vodní 2415/3, Předměstí, 746 01 Opava, zapsána v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 90412 (dále jen „správce“) přijatá za účelem zajištění ochrany osobních údajů spravovaných správcem. Tato směrnice je přijata v souvislosti s nabytím účinnosti Nařízení Evropského parlamentu a rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů v platném znění (dále jen „nařízení“).

Tato směrnice obsahuje závazné pokyny, informace, pravidla, postupy a poučení pro zaměstnance správce a případné spolupracující osoby správce, které se k dodržování této směrnice zaváží. Směrnice je rovněž závazná pro jednatele společnosti. Všechny osoby, které jsou povinny řídit se touto směrnicí budou nadále pro účely této směrnice označovány jako „povinné osoby“.

Cílem této směrnice je zajištění odpovídajícího standardu ochrany osobních údajů. Dodržování této směrnice přispěje ke snížení rizika spočívajícího v možném porušení povinností, které správci ukládá nařízení, jakož i další platné a účinné právní předpisy.

„Osobním údajem“ se pro účely tohoto dokumentu rozumí jakákoli informace týkající se určené nebo určitelné fyzické osoby, k níž se osobní údaje vztahují. Tato se považuje za určenou nebo určitelnou, jestliže lze fyzickou osobu přímo či nepřímo identifikovat, zejména na základě čísla, kódu nebo jednoho či více prvků specifických pro její fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. „Subjekty údajů“ se pro účely této směrnice rozumí zejména zákazníci, potenciální zákazníci, dodavatelé, potenciální dodavatelé správce a zájemci o zaměstnání u správce.

„Zpracováním osobních údajů“ je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů jako je shromáždění, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení osobních údajů, a to bez ohledu na to, zda je prováděno s pomocí či bez pomoci automatizovaných postupů.

„Nosičem osobních údajů“ je jakýkoli materiál nebo zařízení, na kterém jsou zachyceny nebo na kterém jsou nahrány osobní údaje. Může se tak jednat o papírovou dokumentaci včetně šanonů a složek, CD, DVD, externí disky, softwarové vybavení, disk počítače, server apod.

Správce zpracovává osobní údaje v souvislosti se svou obchodní činností. Správce zpracovává osobní údaje pouze v nezbytném rozsahu. Povinné osoby nejsou oprávněny shromažďovat jakékoli jiné údaje o fyzických osobách nesouvisející s činností správce. Povinné osoby dále nejsou oprávněny se zpracovávanými osobními údaji nakládat v rozporu s touto směrnicí, uzavřenou smlouvou nebo platnou právní úpravou.

Povinné osoby nejsou oprávněny využít osobní údaje k jiným účelům, než pro jaké byly shromážděny.

Veškeré osobní údaje jsou údaji důvěrnými, tj. vztahuje se na ně mlčenlivost a povinné osoby nejsou oprávněny tyto informace jakkoli sdělovat nebo poskytovat jakýmkoli třetím osobám vyjma plnění účelu, pro který byly tyto osobní údaje shromážděny. Povinná osoba nesmí osobní údaje a související informace, jakož i informace o zabezpečení osobních údajů správcem, sdělovat ani spolupracovníkům nedotýká-li se toto sdělení výkonu pracovní činnosti, rodinným příslušníkům, osobám blízkým apod.

Je zakázáno osobní údaje jakkoli sdružovat či vytvářet jakékoli databáze osobních údajů není-li to nezbytné pro plnění účelu, pro který byly osobní údaje shromážděny, a nedal-li k těmto činnostem správce svůj výslovný souhlas.

Povinné osoby nejsou oprávněny údaje jakkoli prodávat, pronajímat či jinak za úplatu či bezúplatně zpřístupňovat třetím osobám či je využít pro získání majetkového prospěchu ať již svého, tak jakékoli třetí osoby.

Povinné osoby nesmí přistupovat k jiným osobním údajům, než jsou ty, které nezbytně potřebují pro výkon své činnosti pro správce. Zvláště není dovoleno pokoušet se o přístup do zabezpečených složek svěřených jiné povinné osobě a přistupovat k softwarovému nebo hardwarovému vybavení svěřené jiné povinné osobě bez výslovného pokynu správce.

Bezodkladně poté, co se povinné osoby dozví o případném narušení zabezpečení osobních údajů, jsou povinny tuto skutečnost okamžitě sdělit správci a specifikovat, v čem narušení zabezpečení spočívá.

Povinné osoby jsou povinny dodržovat zásadu tzv. „čistého pracovního stolu“, tj. před opuštěním pracoviště jsou vždy povinny zkontrolovat, zda jsou veškeré nosiče, na kterých jsou osobní údaje uchovávány řádně zajištěny v souladu s touto směrnicí. Bez provedení této kontroly není povinná osoba oprávněna opustit pracoviště, leda by setrvání na pracovišti hrozilo větší újmou, než jaká by mohla být způsobena poškozením, ztrátou, zničením nebo zcizením nosiče osobních údajů.

Povinné osoby jsou vázány podniknout veškerá nezbytná opatření, aby předešly a zamezily poškození, ztrátě, zničení nebo zcizení nosiče osobních údajů.

Veškeré poznámky a zápisky obsahující osobní údaje musí být bezodkladně poté, co jejich uchování pozbyde významu, skartovány.

Povinné osoby jsou při jednotlivých činnostech zpracování povinny dodržovat tyto závazné pokyny:

Komunikace

Veškerá e-mailová komunikace probíhá vždy jen prostřednictvím zabezpečené e-mailové adresy, která byla povinné osobě správcem poskytnuta. Není dovoleno používat osobní e-mailové adresy pro komunikaci obsahující osobní údaje zpracovávané správcem.

Veškerá komunikace probíhá prostřednictvím zařízení svěřených povinné osobě správcem nebo zařízení, které byly správcem pro dané použití schváleny.

Zakazuje se poskytování jakýchkoli osobních údajů telefonicky nebo nezabezpečenou poštou.

V případě, že má povinná osoba jakoukoli pochybnost o identitě druhé osoby, které by měla sdělit jakékoli osobní údaje, musí zachovat mlčenlivost, až do vyjasnění veškerých pochybností.

V případě, že povinná osoba při zpracování jakékoli dokumentace zjistí, že její součástí je jakákoli listina určená pouze k soukromým účelům subjektu údajů, je povinna okamžitě ustat se zpracováním osobních údajů z této listiny, listinu řádně zajistit proti náhodnému přečtení (tj. např. vložit do obálky) a předat subjektu údajů nebo bezpečně uložit pro pozdější předání subjektu údajů.

Jakákoli zásilka adresovaná na jméno fyzické osoby (tj. jejímž adresátem není správce) bude neotevřená předána adresátovi, a to ve lhůtě co nejkratší. Ostatní zásilky se otevírají a předávají jednotlivým pracovníkům, kteří mají svěřenu dotčenou záležitost. Zásilky určené správci musí být vždy opatřeny údajem o datu příjmu. Pokud by takovým údajem mohla být listina znehodnocena, opatří se tímto údajem obálka, ve které listina přišla.

Nábor zaměstnanců

Za nábor zaměstnanců jsou odpovědní jednatelé. Jiné osoby nemají přístup k údajům zájemců o zaměstnání.

Již při zadávání poptávky po nových zaměstnancích uveřejní povinná osoba odkaz na Zásady ochrany osobních údajů přijatých společností tak, aby subjekt údajů měl ještě před poskytnutím údajů správci informaci o tom, jakým způsobem správce data zpracovává a jakým způsobem s nimi zachází.

Informace o uchazečích, u kterých je patrné, že k uzavření pracovněprávního vztahu nedojde s ohledem na jejich nevyhovující kvalifikaci nebo další nevyhovující okolnosti, musí být okamžitě zlikvidovány, tj. musí dojít k nenávratnému výmazu jakýchkoli elektronických kopií těchto informací, jakož i ke skartaci dokumentů obsahujících tyto osobní údaje.

U zájemců, kteří nebyli pro danou pracovní pozici vybráni, ale u kterých je pravděpodobnost, že by jim v blízké době mohla být nabídnuta jiná pracovní nabídka, je možné, aby jejich osobní údaje byly zpracovávány i po obsazení nabízené pozice, ovšem pouze po přiměřenou dobu – tj. po dobu 3 měsíců. Po uplynutí této doby je již pravděpodobné, že by subjekt údajů o nabídku zaměstnání neměl zájem, a povinná osoba přistoupí k likvidaci takovýchto osobních údajů.

Zakazuje se sdělovat zájemcům o zaměstnání nepravdivé nebo zkreslující informace.

Zakazuje se sbírat u uchazečů o zaměstnání více informací, než kolik povinná osoba potřebuje pro vyhodnocení vhodnosti kandidáta.

Zaměstnanecká evidence

Při přijetí do zaměstnání zjišťuje správce od subjektů údajů pouze takové informace, které nezbytně potřebuje pro plnění zákonných povinností a uplatňování práv zaměstnavatele v souvislosti s pracovním poměrem zaměstnanců, mzdové účetnictví, odvody daní, poplatků a povinných odvodů na sociální, zdravotní, případně úrazové pojištění, evidence docházky do zaměstnání, plnění povinností týkajících se bezpečnosti a ochrany zdraví při práci a evidence pracovních cest.

Povinné osoby nejsou oprávněny od zaměstnanců zjišťovat jakékoli jiné osobní údaje v souvislosti se zpracováním.

Získané osobní údaje jsou uchovávány v zaměstnaneckých složkách na zabezpečeném místě v uzamčené kanceláři. Povinné osoby jsou oprávněny tyto osoby zpřístupnit pouze zpracovatelům uvedeným v Záznamu o zpracování č. 3. Je přísně zakázáno zaměstnanecké složky vynášet z příslušné kanceláře, nedal-li k tomu správce výslovný pokyn. Zaměstnanecké složky obsahují vždy pracovní smlouvu nebo dohodu o provedení práce či o pracovní činnosti, případný mzdový list, vstupní dotazník, prohlášení poplatníka daně z příjmů fyzických osob a vyúčtování daně z příjmů fyzických osob. Zaměstnanecké složky mohou obsahovat i další dokumenty bezprostředně související s pracovním poměrem.

Povinné osoby nejsou oprávněny sdělovat ostatním spolupracovníkům více osobních údajů, než je nezbytné pro výkon spolupráce.

Povinné osoby musí subjekt údajů seznámit se Zásadami ochrany osobních údajů přijatých správcem bezprostředně před uzavřením pracovního poměru. Současně bude subjektu údajů předána Informace o zpracování osobních údajů zaměstnanců.

Odběratelsko-dodavatelské vztahy

Ke komunikaci s odběrateli a dodavateli je oprávněna pouze povinná osoba určená správcem. Povinné osoby vždy přistupují k osobním údajům odběratelů a dodavatelů pouze v nezbytných případech a v nezbytném rozsahu. Komunikace probíhá vždy podle pravidel stanovených výše v sekci „komunikace“.

Povinné osoby musí každého nového odběratele nebo dodavatele prokazatelně informovat o přijatých Zásadách ochrany osobních údajů (zasláním e-mailového oznámení).

O vymáhání dospělých dosud neuhrazených pohledávek rozhoduje jednatel společnosti. Nezbytné údaje jsou v takovém případě postoupeny poskytovateli právních služeb.

Povinné osoby jsou povinny zachovávat mlčenlivost o všech skutečnostech, o kterých se dozví v souvislosti s dodavatelsko-odběratelskými vztahy správce.

Informace o projektech jsou ukládány do tzv. zakázkových šanonů, které jsou dostupné v kanceláři správce. Zakázkové šanony obsahují zejména technické údaje o projektu a průběhu jeho realizace. Povinné osoby nejsou oprávněny zakládat do zakázkových šanonů jakékoli listiny obsahující osobní údaje, není-li to nezbytně nutné. Povinné osoby přistupují k zakázkovým šanonům v souvislosti s realizací projektů. K zakázkovým šanonům již realizovaných projektů přistupují povinné osoby pouze v případě řešení reklamace nebo jiných nároků vyplývajících z realizovaného projektu.

Datová schránka

Přístup do datové schránky má pouze jednatel společnosti, případně pověřený zaměstnanec, kterého jednatel společnosti správou datové schránky pověří, a smluvně vázaný poskytovatel účetních služeb. Osoby pověřené přístupem do datové schránky nejsou ovšem oprávněny učinit jakékoli podání bez vědomí a souhlasu jednatele společnosti.

Přístupové údaje k datové schránce jsou považovány za údaje důvěrné a heslo je potřeba podrobit zvláštní ochraně s ohledem na skutečnost, že prostřednictvím datové schránky může být učiněna řada závazných a vymahatelných úkonů.

Datovou schránkou mohou být osobní údaje zpřístupňovány třetím osobám v případech, kdy tak stanoví zákon (podání pro daňovou správu, zdravotní pojišťovny, Českou správu sociálního zabezpečení, Kooperativu, pojišťovnu, apod.) nebo v případě, kdy k tomu bude správce vyzván soudním příkazem nebo jiným rozhodnutím správního orgánu příslušného k výkonu dozoru nad činností správce.

Marketing

Správce je oprávněn vykonávat marketingovou činnost a zveřejňovat prezentaci společnosti, jakož i svých výrobků prostřednictvím svých webových stránek www.vettronic.eu. V rámci těchto prezentací může správce uvést i kontakt na některé povinné osoby, pokud zveřejnění kontaktu odpovídá pracovní náplni dané pracovní pozice.

Povinné osoby nejsou oprávněny měnit informace uveřejněné na webových stránkách bez vědomí a výslovného pokynu jednatele společnosti.

Správce zřídil uživatelský účet služeb Facebook za účelem prezentace společnosti. Osoba pověřená správou účtu není oprávněna umožnit přístup k účtům jakékoli třetí osobě. Tato osoba není oprávněna zveřejnit prostřednictvím tohoto účtu jakékoli osobní údaje. Osoba pověřená správou účtu může odpovídat na vznesené dotazy uživatelů služby, nesmí je však sama aktivně kontaktovat.

Účetnictví

Veškeré účetní podklady jsou shromažďovány v uzamčené kanceláři a předávány zpracovateli smluvně vázanému poskytovateli účetních služeb. Účetní údaje jsou rovněž předávány prostřednictvím softwarového řešení Pohoda, do kterého jsou průběžně pověřeným pracovníkem zaznamenávány veškeré prodeje.

Veškeré účetní záznamy jsou vedeny v účetním softwarovém řešení Pohoda.

Povinné osoby nesmí umožnit přístup k uživatelskému účtu Pohoda žádné třetí osobě ani žádné třetí osobě nesdělit heslo k uživatelskému účtu.

Povinné osoby jsou ve všech věcech týkajících se vedení účetnictví oprávněny komunikovat pouze s účetní, která je smluvně vázána a má se správcem uzavřenu Smlouvu o zachování důvěrnosti informací.

Bez výslovného pokynu správce nejsou povinné osoby oprávněny poskytnout jakékoli informace týkající se účetnictví jakékoli třetí osobě.

Povinné osoby jsou povinny využívat pouze takové hardwarové vybavení, které jim bylo ze strany správce přiděleno, nebo které bylo správcem schváleno pro užívání v souvislosti se zpracováním osobních údajů. Povinné osoby nejsou oprávněny měnit bezpečnostní nastavení svěřeného hardwarového vybavení.

Povinné osoby nejsou oprávněny vynášet svěřené hardwarové vybavení mimo prostor vymezený správcem pro užívání takovéhoto zařízení. To neplatí pro mobilní zařízení, u kterých dal správce souhlas s užíváním mimo vymezený prostor.

V případě, že bude hardwarové vybavení se souhlasem správce vyneseno mimo vymezený prostor, je povinná osoba zavázána uchovávat zařízení na bezpečném místě. Při přepravě zařízení musí být toto vždy pod dohledem povinné osoby. Povinná osoba není oprávněna zpřístupnit takové zařízení jakékoli třetí osobě.

V případě, že je povinné osobě přidělen uživatelský účet, je tato povinna zabezpečit jej odpovídajícím heslem dostatečné síly. Heslo vždy musí obsahovat malá i velká písmena, číslice a zvláštní znaky, přičemž minimálním počtem znaků hesla je 8. Povinná osoba není oprávněna takovéto heslo ke svému uživatelskému účtu sdělit jakékoli třetí osobě a za přístup k osobním údajům prostřednictvím svého uživatelského účtu plně odpovídá.

Zakazuje se jakékoli informace o heslech umísťovat na hardwarové vybavení nebo do snadno přístupných nebo viditelných míst.

Zakazuje se instalace jakéhokoli softwaru na hardwarové vybavení správce bez vědomí a výslovného souhlasu správce.

Zakazuje se hardwarové vybavení správce nebo vybavení obsahující osobní údaje zpracovávané správcem připojovat k jakýmkoli neznámým nebo nezabezpečeným sítím.

Na veškerých počítačích i telefonech vždy musí být aktivováno automatické uzamknutí obrazovky nebo displeje maximálně po 3 minutách nečinnosti tak, aby opakované odemknutí přístroje vyžadovalo zadání bezpečnostního hesla.

Povinné osoby, které od správce obdrželi klíč nebo jiný přístupový prostředek do jakéhokoli objektu využívaném správcem, musí tyto přístupové prostředky řádně zabezpečit a chránit je před poškozením, zničením a zejména ztrátou nebo zcizením. V případě, že dojde ke ztrátě nebo zcizení takového přístupového prostředku, je povinná osoba o této skutečnosti bezodkladně informovat správce, který přijme vhodná opatření k tomu, aby nemohlo dojít k úniku, ztrátě nebo zcizení dat uchovávaných v objektu (tj. zejména zajistí bezodkladnou výměnu zámku, deaktivaci přístupového čipu apod.).

Povinné osoby nesmí přístupové prostředky do objektu ponechat v nezabezpečeném prostoru bez dozoru nebo je ponechat v dispozici jakékoli třetí osoby.

Povinné osoby, které od správce obdrží jakékoli hardwarové vybavení, na které se ukládají osobní údaje zpracovávané správcem, nesmí nechat toto hardwarové vybavení v nezabezpečeném prostoru bez dozoru nebo jej ponechat v dispozici třetí osoby. V případě, že dojde k poškození, ztrátě, zničení či zcizení takovéhoto zařízení, musí o této skutečnosti povinná osoba bezodkladně informovat správce. V případě, že má povinná osoba podezření, že by jí svěřené hardwarové vybavení mohlo být předmětem hackerského útoku, je povinna bezodkladně o této skutečnosti informovat správce a podniknout veškeré nezbytné kroky k tomu, aby dokončení útoku zabránila (tj. okamžitě kontaktovat správce IT a splnit veškeré jím udělené pokyny).

Povinné osoby jsou vždy před opuštěním jakéhokoli chráněného zamykatelného prostoru správce povinny se přesvědčit, že zanechaly všechna elektrická zařízení řádně zabezpečená, okna dobře zavřená a dveře musí být řádně zamknuty. Povinné osoby nejsou oprávněny opustit místa, která jsou napojena na bezpečnostní systém bez toho, aniž by tento bezpečnostní systém aktivovaly. Ustanovení tohoto odstavce neplatí v případě, že v prostoru se stále nacházejí jakákoli další povinná osoba mající do daných prostor přístup.

Archiv společnosti je chráněn uzamykatelnými dveřmi. Do archivu mají přístup pouze jednatelé a jimi určené osoby. Tyto osoby dbají na to, aby dveře archivu byly vždy řádně uzamčeny a veškerá okna uzavřena. Bez provedení této kontroly nejsou povinné osoby oprávněny opustit archiv.

Bezpečnostním incidentem se rozumí porušení zabezpečení osobních údajů, které vede nebo by mohlo vést k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

V případě, že povinná osoba zjistí jakýkoli bezpečnostní incident nebo jeho hrozbu, je povinna tuto skutečnost okamžitě oznámit správci.

V případě, že dojde k bezpečnostnímu incidentu, oznámí správce toto porušení bez zbytečného odkladu, pokud možno do 72 hodin od okamžiku, kdy se o incidentu dozvěděl, Úřadu pro ochranu osobních údajů, ledaže je nepravděpodobné, že by narušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud správce vyhodnotí, že záležitost je bagatelní, tedy bez rizika pro práva a svobody fyzických osob, neoznámí tuto skutečnost dozorovému úřadu, ale přijme taková opatření, aby se incident neopakoval.

Při určování rizika porušení zabezpečení vychází správce zejména z kategorie osobních údajů, které byly bezpečnostním incidentem dotčeny, charakteru porušení zabezpečení a počtem dotčených subjektů údajů. Vyšší riziko představují zvláštní kategorie údajů (tj. údaj o zdravotním stavu), případně údajů, jimiž lze způsobit subjektu újmu či zásah do jeho práv. Správce vezme rovněž v úvahu, zda k porušení došlo úmyslně či nedbalostně, kdy úmyslný čin výrazně zvyšuje riziko bezpečnostního incidentu.

Pokud správce vyhodnotí, že by bezpečnostní incident mohl mít vliv na práva a svobody fyzických osob, uvede v oznámení:

Pokud incident představuje vysoké riziko pro práva a svobody subjektu údajů, musí správce o incidentu informovat rovněž subjekt údajů. To neplatí, pokud by tato povinnost vyžadovala nepřiměřené úsilí. V takovém případě ovšem všechny subjekty údajů musí být informovány stejně účinným způsobem pomocí veřejného oznámení.

Správce upozornil povinné osoby, že pokud poruší povinnost mlčenlivosti s ohledem na osobní údaje zpracovávané správcem, mohou se dopustit přestupku dle § 44 a 44a zákona č. 101/2000 Sb., o ochraně osobních údajů.

Správce dále upozornil povinné osoby, že neoprávněným nakládáním s osobními údaji se mohou dopustit trestného činu neoprávněného nakládání s osobními údaji dle § 180 zákona č. 40/2009 Sb., trestní zákoník v platném znění.

Vedle toho je správce oprávněn vymáhat po povinných osobách náhradu újmy, která mu porušením povinností povinné osoby vznikla, a to až do výše stanovené Zákoníkem práce nebo Občanským zákoníkem v platném znění.

Osoba pověřená správcem je povinna vést složku, ve které budou založeny dokumenty:

Za účelem sjednotit postup při nakládání s písemnostmi nebo jinými záznamy, jejichž původcem je správce, nebo kterými správce disponuje v souvislosti se svou činností, přijal správce tyto závazné pokyny. Za správné vedení archivu odpovídá pověřený jednatel, který zabezpečuje systematické zakládání archiválií.

Materiály uložené v archivu musí být uloženy tak, aby nedošlo k jejich poškození, zničení, ztrátě nebo zcizení. K zapůjčení archiválií mimo archiv může dojít pouze s vědomím pověřeného jednatele společnosti a v odůvodněných případech.

Vždy nejpozději do 31.3. roku následujícího po roce, ve kterém byly písemnosti vyřízeny, se provádí jejich uložení do archivu správce. Před uložením do archivu musí být písemnosti označeny názvem písemnosti, časovým zařazením, skartačním znakem a skartační lhůtou. Skartační znaky vyjadřují dokumentární hodnotu jednotlivých druhů písemností:

Archiv slouží zejména k uložení písemností a záznamů, které:

Skartace se dotýká pouze dokumentů, které nepatří do archivní péče a nedůležitých písemností, které byly navrženy ke zničení.

Žádné písemnosti nesmí být odevzdávány přímo do sběru, všechny dokumenty určené ke skartaci musí být nenávratně zlikvidovány tak, aby nemohlo dojít k jejich obnově.