Manuál pro ochranu dat pro skupinu Saferoad Group

Transkript

1 Manuál pro ochranu dat pro skupinu Saferoad Group

2

3 Obsah 1. Úvod do problematiky ochrany dat 5 2. Prováděcí shrnutí 7 3. Shromažďování dat 8 4. Citlivá osobní data a zvláštní kategorie osobních dat Oznámení Žádosti o přístup Kvalita, důvěrnost a bezpečnost dat Ukládání Odhalení Datové přenosy Marketingová opatření a webové stránky Oznámení o aktivitách při zpracování dat Tresty Co dělat a nedělat Hlášení Školení Interní audit Divize odpovědná za osobní data v rámci skupiny Saferoad Kontaktní informace na odpovědné vedoucí pracovníky Související dokumenty 23

4 4 Pojem ochrana dat odkazuje na zákony a předpisy nařízené zeměmi, které mají zajistit, že osobní data budou shromažďována, zpřístupňována a jinak zpracovávána poctivým a legálním způsobem.

5 1. Úvod do problematiky ochrany dat Pojem ochrana dat odkazuje na zákony a předpisy nařízené zeměmi, které mají zajistit, že osobní data (nebo informace související s fyzickou osobou) budou shromažďována, zpřístupňována a jinak zpracovávána poctivým a legálním způsobem. Zákony na ochranu dat zakazují zpracovávání určitých kategorií osobních dat jinak než za výjimečných okolností a stanovují podmínky, jež musí být splněny, aby bylo zpracovávání osobních dat legální. Skupina Saferoad zpracovává osobní data každý den. Soukromí jednotlivců a bezpečnost osobních dat je pro skupinu Saferoad důležitá. Proto skupina Saferoad zavedla tento manuál, aby se zajistilo, že zpracovávání osobních dat, které provádí, je v souladu s příslušnou legislativou ochrany dat. Účelem tohoto manuálu je poskytnout zaměstnancům skupiny Saferoad základní pochopení situací, které jsou obvykle řízeny zákony pro ochranu dat a umožnit tak zaměstnancům skupiny Saferoad tyto zákony dodržovat. Tento manuál platí pro všechny ve skupině Saferoad - všechny zaměstnance, manažery, výkonné vedoucí pracovníky a členy představenstva ( zaměstnanci ). Navíc k obecným směrnicím musí zaměstnanci, kteří jsou odpovědní za aktivity, zahrnující zpracovávání osobních dat, dodržovat podrobné požadavky místních zákonů na ochranu dat. 5

6 6 Zákony na ochranu dat stanovují omezení kategorií osobních dat, které lze shromažďovat, za jakých okolností se tato data smí shromažďovat a jak dlouho se tato data smí ukládat.

7 2. Prováděcí shrnutí Zákony na ochranu dat stanovují omezení kategorií osobních dat, které lze shromažďovat, za jakých okolností se tato data smí shromažďovat a jak dlouho se tato data smí ukládat. Plánované shromažďování dat (jako například shromažďování osobních dat zaměstnanců nebo zákazníků, nákup dat zákazníků pro marketingové účely a shromažďování osobních dat prostřednictvím webových stránek) je nutno podrobně analyzovat, aby se zajistilo, že nepovede k porušení zákonů na ochranu dat. Klíčová je nutnost přiměřenosti a transparentnosti a fyzické osoby musí být informovány o tom, že skupina Saferoad shromažďuje jejich osobní data. Osobní data se smí sdělovat třetím stranám pouze, pokud je pro to stanoven legální základ, a pouze za předpokladu, že byla učiněna příslušná opatření, jako je smlouva o zpracování dat. Přenosy osobních dat organizacím mimo Evropský hospodářský prostor (EHS) nebo přístup k osobním datům organizacemi mimo EHS smí probíhat pouze, pokud odesílající organizace obdržela ujištění, že přijímající organizace bude osobní data odpovídajícím způsobem chránit. Porušení může vést k nárokům na náhradu škody, peněžitým trestům nebo trestům odnětí svobody a rovněž administrativním sankcím uděleným dozorčím úřadem. 7

8 3. Shromažďování dat Osobní data jsou jakékoli informace, které přímo nebo nepřímo souvisí s identifikovanou nebo identifikovatelnou fyzickou osobou. Osobní data lze shromažďovat pouze pro specifické, jednoznačné a legální účely a nelze je dále zpracovávat způsobem, který není v souladu s těmito účely. Pokud nelze stanovit legální účel v souladu s právem dané země, osobní data nelze shromažďovat. Zpracovávání osobních dat je jakákoli operace nebo sled operací, která se z osobními daty provádí, ať už automaticky nebo nikoli, včetně, zahrnující mimo jiné shromažďování, organizaci, ukládání, úpravy, sdělování, blokování nebo mazání. Zpracovávání osobních dat je legální pouze, pokud: fyzická osoba, k níž se osobní data vztahují, s tím dala svůj souhlas; zpracování je nutné pro realizaci smlouvy, jejíž je fyzická osoba stranou, nebo za účelem přijetí opatření na žádost fyzické osoby před uzavřením smlouvy; zpracování je nutné pro compliance s právními závazky, jejichž subjektem skupina Saferoad je; zpracování je nutné za účelem ochrany životně důležitých zájmů fyzické osoby; zpracování je nutné pro provedení úkolu, prováděného ve veřejném zájmu nebo v rámci výkonu úřední moci vůči skupině Saferoad nebo třetí straně, které se data odhalují; nebo zpracování je nutné za účelem legálního zájmu uplatňovaného skupinou Saferoad nebo třetí stranou nebo stranami, kterým se data odhalují, pokud nad takovým zájmem nestojí zájem soukromí fyzické osoby, ke které se osobní data vztahují. 8

9 V situacích, kdy to vyžaduje příslušný zákon nebo kde se to považuje za přiměřeně praktické a vhodné, by se osobní data měla shromažďovat se souhlasem dotyčných osob. Souhlas osob, jejichž osobní data jsou shromažďována, by měl být jednoznačný, výslovný a dotyčná osoba by měla mít možnost jej odvolat. Při shromažďování osobních dat je nutno zohlednit potřebu přiměřenosti a transparentnosti. V souladu s tím by shromažďovaná osobní data měla být přiměřená, relevantní a nikoli nadbytečná ve vztahu k účelům, pro které jsou data shromažďována a/nebo dále zpracovávána. 9

10 Citlivá osobní data by neměla být shromažďována, pokud není takové shromažďování považováno za nutné a legální v rámci příslušného zákona. 10

11 4. Citlivá osobní data a zvláštní kategorie osobních dat Citlivá osobní data jsou osobní data, která odhalují rasový nebo etnický původ, politické názory, náboženské nebo filozofické smýšlení, členství v odborové organizaci, zdraví nebo sexuální život. Citlivá osobní data by neměla být shromažďována, pokud není takové shromažďování považováno za nutné a legální v rámci příslušného zákona. Další kategorie osobních dat, které neobsahují citlivá osobní data, ale přesto jim je poskytnuta zvláštní ochrana v rámci příslušných zákonů na ochranu dat, by měly být zpracovávány se zohledněním potřeby zvláštní ochrany. Příklady takových zvláštních kategorií osobních dat zahrnují mimo jiné: data související s přestupky, rozsudky trestu nebo bezpečnostními opatřeními, která lze provádět pouze pod dohledem úřední moci; informace o úvěruschopnosti; osobní data dětí; a osobní identifikační čísla. 11

12 12 Pokud to vyžaduje příslušný zákon nebo pokud je to přiměřeně praktické a vhodné, fyzickým osobám by mělo být sděleno, že jejich osobní data jsou zpracovávána.

13 5. Oznámení Pokud to vyžaduje příslušný zákon nebo pokud je to přiměřeně praktické a vhodné, fyzickým osobám by mělo být sděleno, že jejich osobní data jsou zpracovávána. Toto oznámení musí obsahovat nejméně následující informace: název právní organizace, která sama nebo ve spojení s dalšími určuje účely a prostředky zpracovávání osobních dat (někdy označovaná jako správce dat); účely, pro které mají být osobní data zpracována; jakékoli další informace, které jsou potřebné pro fyzické osoby, aby mohly uplatňovat svá práva v souvislosti se zpracováním, jako například druhy osobních dat, příjemci nebo kategorie příjemců těchto dat a povaha veškerých přístupových práv v rámci příslušného zákona, jak je popsáno v části Žádosti o přístup Pokud fyzická osoba podá žádost o obdržení informací týkajících se zpracovávání osobních dat ve skupině Saferoad, o odmítnutí zpracování osobních dat nebo o opravu chyb v těchto osobních datech, skupina Saferoad by měla reagovat způsobem, který vyžaduje příslušný zákon nebo který je jinak považován za přiměřeně praktický a vhodný po konzultaci s VP risk managementem. 13

14 14 Zaměstnanec, který má přístup k osobním datům, musí zpracovávat data pouze v souladu s účelem zpracování a nesmí sdílet, distribuovat nebo jinak odhalovat osobní data třetí straně, pokud mu to nebylo nařízeno skupinou Saferoad.

15 7. Kvalita, důvěrnost a bezpečnost dat Zpracovaná osobní data musí být přesná a v potřebném rozsahu aktuální. Osobní data, která jsou nepřesná nebo neúplná, je třeba vymazat nebo opravit. Zaměstnanec, který má přístup k osobním datům, musí zpracovávat data pouze v souladu s účelem zpracování a nesmí sdílet, distribuovat nebo jinak odhalovat osobní data třetí straně, pokud mu to nebylo nařízeno skupinou Saferoad. Je nutno implementovat vhodná technická a organizační opatření na ochranu osobních dat proti náhodnému nebo nelegálnímu zničení, náhodné ztrátě nebo změně, neautorizovanému prozrazení nebo přístupu nebo jakýmkoli dalším nelegálním způsobům zpracování. Rozsah těchto opatření by měl být přiměřený riziku, které zpracování představuje, a povaze osobních dat. Narušení bezpečnosti, které ohrožuje důvěrnost nebo bezpečnost osobních dat zpracovávaných skupinou Saferoad, je třeba ihned nahlásit nadřízenému a VP risk managementu. 8. Ukládání Osobní data je třeba ukládat jen po nezbytně dlouhou dobu s ohledem na účely, pro které byla shromážděna, a příslušné zákonné období pro ukládání. Když vyprší období pro ukládání osobních dat, data by měla být trvalým a bezpečným způsobem vymazána. 15

16 16 Osobní data se smí odhalovat třetím stranám, jako jsou subdodavatelé, partneři a přidružené subjekty skupiny Saferoad, pouze, pokud je k tomu právní základ.

17 9. Odhalení Osobní data se smí odhalovat třetím stranám, jako jsou subdodavatelé, partneři a přidružené subjekty skupiny Saferoad, pouze, pokud je k tomu právní základ. Při odhalování osobních dat třetí straně je třeba písemně stanovit, zda se třetí strana s ohledem na odhalená osobní data považuje za správce dat nebo za zpracovatele dat. Pojem zpracovatel dat označuje právní organizaci, která zpracovává osobní data z pověření správce dat. Pojem správce dat označuje právní organizaci, která sama nebo ve spojení s dalšími určuje účely a prostředky zpracovávání osobních dat. Pokud to příslušný zákon vyžaduje, je nutno uzavřít smlouvu o zpracování dat s každým zpracovatelem dat, například v souvislosti s využíváním cloudových služeb nebo externích IT služeb. V těchto smlouvách musí být zahrnut požadavek, aby zpracovatel dat chránil osobní data před dalším odhalením a aby zpracovával data pouze v souladu s pokyny skupiny Saferoad. Smlouva o zpracování dat by měla od zpracovatele dat rovněž vyžadovat, aby implementoval vhodná bezpečnostní opatření pro ochranu dat a uchovával je v důvěrnosti a aby zavedl procesy na oznámení narušení dat. 17

18 10. Datovépřenosy Přenosy osobních dat organizacím mimo Evropský hospodářský prostor (EHS) nebo přístup k osobním datům organizacemi mimo EHS jsou povoleny pouze, pokud odesílající organizace obdržela ujištění, že přijímající organizace bude osobní data odpovídajícím způsobem chránit. Toho lze docílit využitím jedné ze smluv skupiny Saferoad na standardní přenos dat, jak je stanoveno v příloze 1 (pro přenosy správci dat, který není v EHS) nebo příloze 2 (pro přenosy zpracovateli dat, který není v EHS) tohoto manuálu. Smlouvy o standardním přenosu dat skupiny Saferoad jsou založeny na šablonách, které používá Evropská komise, a je nutno je doplnit o detaily příslušného přenosu. 11. Marketingová opatření a webové stránky Využití osobních dat pro marketingová opatření, jako například kampaně přímého marketingu,marketing na sociálních sítích nebo nákup osobních dat pro marketingové účely, musí splňovat požadavky příslušného zákona. Pokud nelze stanovit legální účel dovolující shromažďování a využívání osobních dat pro marketingové účely, osobní data nesmí být pro tyto účely využita. Fyzické osoby mají právo oznámit, že odmítají zpracovávání svých osobních dat pro účely týkající se přímého marketingu. Pokud fyzická osoba toto oznámení podá, je nutno jej respektovat. Každá z externích webových stránek skupiny Saferoad musí obsahovat prohlášení o internetové bezpečnosti, včetně procesů pro souhlas s používáním souborů cookies, aby splňovala požadavky příslušného zákona. 18

19 12. Oznámení o aktivitách při zpracování dat Každá společnost ve skupině Saferoad je povinna oznamovat aktivity týkající se zpracovávání dat příslušnému dozorčímu úřadu, pokud neplatí výjimka z oznamovací povinnosti. Pokud se změní aktivity týkající se zpracovávání dat, je třeba provést posouzení, zda je třeba aktualizovat nebo doplnit oznámení, které se podává příslušnému dozorčímu úřadu. 13. Tresty Tresty za porušení zákonů na ochranu dat zahrnují nároky na náhradu škody fyzickým osobám, jejichž osobní data byla nelegálně zpracována, pokuty a tresty odnětí svobody. Dozorčí úřad může navíc zakázat dílčím společnostem v rámci skupiny Saferoad zapojovat se do určitých akcí týkajících se zpracovávání dat a udělit další administrativní sankce. Evropská unie zvažuje návrhy na zvýšení trestů za porušení zákonů na ochranu dat, jako jsou administrativní tresty, až na 5 % ročního celosvětového obratu správce dat nebo 100 milionů eur. 19

20 14. Co dělat a nedělat CO DĚLAT: Při shromažďování a zpracovávání citlivých osobních dat a dalších zvláštních kategorií osobních dat postupujte se zvláštní opatrností. Poskytujte fyzickým osobám informace a reagujte na žádost o přístup v rozsahu vyžadovaném příslušným zákonem nebo jinak považovaným za přiměřeně praktický a vhodný po konzultaci s VP risk managementem. Uchovávejte osobní data v důvěrnosti a implementujte úroveň bezpečnosti přiměřenou riziku, které představuje zpracovávání dat, a povaze osobních dat. 20

21 CO NEDĚLAT: Neshromažďujte osobní data bez stanovení účelu jejich zpracovávání a období, během kterého je tento účel relevantní. Neshromažďujte osobní data na základě toho, že je dobré je mít. Neodhalujte a nepřenášejte osobní data, a to ani přidruženým subjektům skupiny Saferoad, bez implementace vhodných opatření, jako například smlouvy o zpracování dat. 21

22 15. Hlášení Zaměstnanci, kteří mají podezření na to, že ve skupině Saferoad došlo k porušení těchto zásad nebo relevantních zákonů na ochranu dat, by měli kontaktovat VP risk management. 16. Školení Skupina Saferoad poskytuje odpovídající školení pro všechny zaměstnance, které je v souladu s profilem rizika skupiny Saferoad a je adekvátní odpovědnosti daného zaměstnance. 17. Interní audit VP risk management je odpovědný za periodické provádění objektivních, komplexních auditů Korporátního compliance programu, včetně ochrany dat, s přihlédnutím k specifickým oblastem operací, geografickému umístění a právním závazkům skupiny Saferoad. 18. Divize odpovědná za osobní data v rámci skupiny Saferoad Každá společnost v rámci skupiny Saferoad je správcem dat s ohledem na zpracovávání osobních dat, která se v této společnosti vyskytnou. Příslušná společnost je tedy odpovědná za zacházení s osobními daty v souladu s tímto manuálem a příslušnou legislativou pro ochranu dat. Každá společnost je dále odpovědná za vedení aktuální interní evidence v souvislosti se zpracováním osobních dat, za která je společnost odpovědná. 22

23 19. Kontaktní informace na odpovědné vedoucí pracovníky CEO je odpovědný za celkový přehled a implementaci Korporátního compliance programu. VP risk management je odpovědný za každodenní compliance skupiny Saferoad s tímto manuálem a zákony na ochranu dat. 20. Související informace Tento manuál je třeba číst ve spojení s následujícími dokumenty: Popis Korporátního compliance programu Kodex chování (Code of Conduct) 23

24 2016 All rights reserved Saferoad AS Enebakkveien Oslo Norway T mail@saferoad.com saferoad.com