Směrnice pro nakládání s osobními údaji Auditovaná organizace: Bytové družstvo Skuteckého - Laudova Sídlo: Laudova 1385/31, Praha 6 Řepy, 163 00 IČO: 24128228 tel: 728 404 344 e-mail: podatelna@druskula.cz Obsah: 1) Úvod 2) Legislativa 3) Terminologie 4) Zásady zpracovávání osobních údajů 5) Shromažďované osobní údaje 6) Údaje o statutárních orgánech organizace 7) Likvidace údajů po ukončení doby jejich zpracování 8) Závěrečná ustanovení Zpracoval Účinnost od Schváleno Vít Hanuljak, projektový manažer Schválení členskou schůzí BD Mgr. Vladimíra Hloušková, Ing. Roman Rábek Verze 1.0 Datum 18. 3. 2018 Počet stran 8 Stránka 1 z 8
1. Úvod Tento interní předpis upravuje postup statutárních orgánů Bytového družstva Skuteckého Laudova (dále jen organizace) a dalších pověřených osob při nakládání, zpracovávání a ochraně osobních údajů zpracovávaných podle platné legislativy (uvedené v kap. Legislativa). Tyto zásady se vztahují na osobní údaje členů organizace, jakožto i na zaměstnance a osoby, které osobní údaje zpracovávají na základě smlouvy uzavřené s organizací (správcovská firma). 2. Legislativa a) Normy - ČSN ISO/IEC 27001 (norma stanovující požadavky na systém managementu bezpečnosti informací) - ČSN ISO/IEC 27005 (norma stanovující požadavky na řízení rizik) b) Zákony - Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů v platném znění (dále jen zákon ) - chystaná novela - Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů - Zákon č. 499/2004 Sb., o archivnictví a spisové službě a o změně některých zákonů v platném znění - Zákon č. 262/2006 Sb., zákoník práce v platném znění - Zákon č. 89/2012 Sb., občanský zákoník c) Ostatní právní předpisy (v rámci EU) - Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále také obecné nařízení nebo GDPR ) - Nařízení Evropského parlamentu a Rady (EU) č. 910/2014, o elektronické identifikaci a službách (eidas) - eprivacy, která nahrazuje směrnici o soukromí a elektronických komunikacích 2002/58/ES, která byla novelizována směrnicí 2009/136/ES a která je do českého právního řádu transponována zákonem č. 127/2005 Sb., o elektronických komunikacích, a rovněž zákonem č. 480/2004 Sb. 3. Terminologie Vymezení pojmů dle GDPR: a) správce osobních údajů - určuje účel a zpracování osobních údajů (statutární orgán organizace) b) zpracovatel osobních údajů - zpracovává osobní údaje jménem správce (částečně statutární orgán organizace, všichni zaměstnanci zpracovatele, kteří mohou mít přístup k osobním údajům, web provider) Stránka 2 z 8
c) subjekt údajů - fyzická osoba jejíchž osobní údaje se zpracovávají (členové statutárního orgánu a smluvní pracovníci organizace) d) souhlas - aby bylo zpracování osobních údajů zákonné, musí být osobní údaje zpracovávány na základě souhlasu subjektu údajů, nebo s ohledem na nějaký jiný legitimní základ e) poveřenec pro ochranu osobních údajů - poradní orgán správce, který dohlíží nad zpracováním osobních údajů v organizaci a řídí činnosti ochrany osobních údajů f) práva jednotlivce (právo na informace, právo na opravu a výmaz osobních údajů, právo být zapomenut, právo na přenositelnost osobních údajů, právo vznést námitku) Vymezení pojmů dle 4 zákona č.101/2000sb. a) osobní údaj - jakýkoliv údaj týkající se určeného nebo určitelného subjektu údajů, subjekt údajů se považuje za určený nebo určitelný, jestliže lze na základě jednoho či více osobních údajů přímo či nepřímo zjistit jeho identitu b) citlivý údaj - osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofickém přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě subjektu údajů c) anonymní údaj - takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů d) subjekt údajů - fyzická osoba, k níž se osobní údaje vztahují e) zpracování osobních údajů - jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky (zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace) f) shromažďování osobních údajů - systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování g) uchovávání osobních údajů - udržování údajů v takové podobě, která je umožňuje dále zpracovávat h) blokování osobních údajů - vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat i) likvidace osobních údajů - fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování j) správce - každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj; zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak k) zpracovatel - každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle tohoto zákona l) zveřejněný osobní údaj - osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu. Stránka 3 z 8
4. Zásady zpracovávání osobních údajů 4.1 Se souhlasem subjektů - souhlas musí mít písemnou formu a musí z něho být patrno, v jakém rozsahu je poskytován, komu a k jakému účelu, na jaké období a kdo jej poskytuje - souhlas může být kdykoliv písemně odvolán - tento souhlas musí být uchován po celou dobu zpracovávání osobních údajů 4.2 Bez souhlasu subjektů - bez souhlasů lze osobní údaje zpracovávat pouze na základě právního předpisu, za účelem ochrany majetku a osob, ochrany důležitých zájmů subjektů údajů 4.3 Osobní údaje se uchovávají pouze po dobu, která je nezbytná k účelu jejich zpracovávání. 4.4 Lze shromažďovat a zpracovávat jen ty osobní údaje, které odpovídají stanovenému účelu a rozsahu zpracování. 4.5 Zpracovávají se pouze pravdivé a přesné osobní údaje. 4.6 Pro statistické účely je nutné osobní údaje anonymizovat. 4.7 Pokud se na příslušný účel zpracování osobních údajů nevztahuje ustanovení zákona o osvobození od vyžadování souhlasu ke zpracováním osobních údajů, musí si správce vyžádat od fyzické osoby, k níž se osobní údaje vztahují, souhlas se zpracováním těchto osobních údajů. 4.8 Tato směrnice se nevztahuje na nahodilé shromažďování osobních údajů, jímž je takové shromažďování, kdy současně platí, že: - údaje nejsou tříděny či jinak systematizovány - údaje jsou shromažďovány na základě náhody, neočekávané události apod. - shromažďované údaje nemají stejnou strukturu - shromažďované údaje mohou být nepřesné nebo neúplné. 5. Shromažďované osobní údaje 5.1 Organizace je správcem, který provádí zpracování, shromažďování, uchovávání, zveřejňování a likvidaci osobních údajů a pověřuje zpracovatele zpracováním osobních údajů těchto subjektů: a) členové statutárních orgánů organizace (na základě výkonu funkce) b) smluvní pracovníci organizace (na základě smluvního vztahu) 5.2 Správce zajišťuje splnění opatření stanovených touto směrnicí ve vztahu ke zpracovateli a k členům statutárních orgánů organizace. 5.3 Oprávněné osoby v rámci plnění svých povinností při výkonu funkce plní opatření k ochraně osobních údajů ve smyslu této směrnice. 5.4 Správce zajišťuje zahrnutí problematiky ochrany osobních údajů do plánu vzdělávání členů statutárních orgánů organizace. 5.5 Správce organizuje kontrolní činnost k dodržování zásad ochrany osobních údajů a v případě zjištěných nedostatků přijímá opatření k jejich odstranění. Stránka 4 z 8
5.6 Správce je povinen zajistit oprávněným osobám podmínky pro ukládání nosičů s osobními údaji a vyžadovat jejich používání. 5.7 Správce je povinen bez zbytečného odkladu zajistit práva fyzických osob (právo na informace, právo na opravu a výmaz osobních údajů, právo být zapomenut, právo na přenositelnost osobních údajů, právo vznést námitku). 5.8 Přístupy oprávněných osob k osobním údajům, které jsou zpracovávány prostřednictvím podnikového informačního systému, musí být chráněny: - individuálním heslem každé jednotlivé oprávněné osoby - antivirovou ochranou a systémem záloh. 5.9 Písemnosti musí být uložena minimálně v uzamykatelných místnostech s režimovým přístupem. 5.10 Data obsahující osobní údaje, která jsou zobrazena na monitoru osobního počítače, musí být zabezpečena před volným přístupem neoprávněných osob a před zneužitím zobrazených osobních údajů. 6. Údaje o statutárních orgánech a smluvních pracovnících organizace 6.1 Personální a mzdová dokumentace Účelem je vedení personální a mzdové dokumentace. Údaje těchto subjektů údajů zpracovává: - organizace jako správce - smluvní správcovská firma a jeho mzdová účetní jako zpracovatel 6.2 Osobní spis Osobní spis obsahuje následující materiál: osobní údaje - souhlas s výkonem funkce - čestné prohlášení k výkonu funkce - souhlas se zpracováváním osobních údajů - osobní dotazník - změny v osobních údajích smlouvy - pracovní smlouva a její dodatky, změny - dohoda o odpovědnosti za ztrátu svěřených předmětů - dohoda o pracovní činnosti - dohoda o provedení práce práce a chování - záznamy o školení z pravidel bezpečnosti práce - záznamy o školení z pravidel ochrany osobních údajů u určených členů statutárních orgánů příjmy a požitky - mzdový nebo platový výměr - evidence o zdanitelných příjmech ze závislé činnosti - evidence daní z příjmů ze závislé činnosti Stránka 5 z 8
- evidence příspěvků na zdravotní a sociální pojištění - evidence jiných pojištění - evidenční list pro důchodové zabezpečení 6.3 Ochrana osobních údajů v osobním spisu Materiály vedené v osobním spisu statutárních orgánů a smluvních pracovníků organizace slouží výhradně pro interní potřebu organizace. Správce je povinen zajistit ochranu těchto osobních údajů před neoprávněným přístupem nepovolaných osob nebo zneužitím. Správce je oprávněn poskytovat informace o statutárních orgánech a smluvních pracovnících organizace v rozsahu daném 314 zákoníku práce. V jiných případech pouze se souhlasem uvedených subjektů. Základní povinnosti statutárních orgánů a smluvních pracovníků organizace ( 303 odst. 2a) zákoníku práce) je zachovávat mlčenlivost o skutečnostech, o nichž se dozvěděli při výkonu funkce nebo zaměstnání a které v zájmu zaměstnavatele nelze sdělovat jiným osobám; to neplatí, pokud byli této povinnosti zproštěni statutárním orgánem, nestanoví-li zvláštní právní předpis jinak. Při zpracování materiálů vedených v osobním spisu statutárních orgánů a smluvních pracovníků organizace prostřednictvím výpočetní techniky je správce povinen zabezpečit ochranu osobních údajů dle GDPR a zákona. 6.4 Údaje o úrazech zaměstnanců Evidence údajů o úrazech statutárních orgánů a smluvních pracovníků organizace je určena nařízením vlády č. 201/2010 Sb. Kniha úrazů: (1) V knize úrazů se evidují všechny úrazy statutárních orgánů a smluvních pracovníků organizace, ke kterým došlo, a to nejpozději do 24 hodin od okamžiku, kdy se organizace o úrazu dozví. (2) V knize úrazů se uvede a) pořadové číslo úrazu, b) jméno, popřípadě jména, příjmení a datum narození zraněného, c) popis úrazu, d) popis události, při které k úrazu došlo, včetně údaje o datu a místě události, e) zda a kým byl úraz ošetřen, f) podpis statutárního orgánu organizace, který provedl zápis do knihy úrazů, g) další údaje, pokud jsou potřebné k sepsání záznamu o úrazu. (3) Osobní údaje, které jsou součástí knihy úrazů, mohou být zpracovávány pouze za účelem evidence úrazů, popřípadě jako podklad pro vyhotovení záznamu o úrazu. 6.5 Prostředky a způsob zpracování a) správce (organizace) vede osobní spisy statutárních orgánů a smluvních pracovníků organizace, kam zakládá podklady všech shromažďovaných údajů v listinné formě, b) zpracovatel (správcovská firma) zpracovává údaje svým programovým vybavením ekonomický systém, modul personální a mzdový. Stránka 6 z 8
Zabezpečení údajů: a) Správce ukládá osobní spis statutárních orgánů a smluvních pracovníků organizace (dokumenty) do pořadačů v kanceláři sídla organizace (za běžící kalendářní rok) a je zde uložena i dokumentace za předcházející 2-3 roky a dlouhodobý archív listinných dokumentů. b) Zpracovatel zajišťuje zabezpečení údajů jejich zálohováním a archivací ve svém ekonomickém systému. 6.6 Souhlas subjektů údajů se zpracováním osobních údajů Členové statutárních orgánů nebo smluvní pracovníci svým podpisem na osobním dotazníku potvrdí kromě správnosti údajů i souhlas se zpracováním osobních údajů a poučení ve smyslu GDPR a zákona. 6.7 Přístupnost údajů a) člen statutárního orgánu a smluvní pracovník organizace má přístup pouze ke svému osobnímu spisu (zákon č. 262/2006 Sb.), b) správce a zpracovatel mají přístup ke kompletní databázi. 6.8 Povinnosti oprávněných osob ke zpracovávání osobních údajů Určení zaměstnanci smluvní správcovské firmy, kteří v rámci svých pracovních povinností zpracovávají osobní údaje, nebo s nimi přicházejí do styku jsou povinni: a) zachovávat mlčenlivost o osobních údajích a přijatých opatření k jejich ochraně ze strany organizace, a to i po ukončení svého pracovního poměru b) vyvarovat se jakéhokoli jednání, které by vedlo k neoprávněnému zveřejnění osobních údajů c) dbát na pravdivost zpracovávaných osobních údajů d) neumožnit zpracovávání osobních údajů jiné osobě, která není pro konkrétní účel zpracování oprávněnou osobou e) vytištěné dokumenty obsahující osobní údaje neprodleně odebírat z tiskáren, kopírek nebo faxů f) skartovat dokumenty, které již nebudou potřebovat či využívat g) zachovávat jedinečnost a důvěrnost přístupového hesla, tj. nesdílet heslo s jinou osobou, nezaznamenávat heslo např. na papíře, v souborech v počítači nebo na přenosových médiích h) využívat automatického odhlášení uživatele při nečinnosti počítače i) nepoužívat elektronickou poštu pro zasílání osobních údajů vyjma konkrétních pracovních povinností j) v případě zjištění porušení opatření k ochraně osobních údajů (nebo nabytí podezření) informovat neprodleně správce Všichni určení členové statutárních orgánů, kteří se podílejí na sběru a zpracovávání osobních údajů musí být seznámeni s platnou legislativou k ochraně osobních údajů v rámci pravidelných školení. Četnost minimálně jednou za rok nebo častěji, například při změně legislativy. Stránka 7 z 8
7. Likvidace údajů po ukončení doby jejich zpracování Organizace postupuje dle zákona č. 499/2004 Sb., Zákon o archivnictví a spisové službě a o změně některých zákonů. Doba uložení personální a mzdové dokumentace, ekonomické agendy a skladového hospodářství se dále řídí Archivačním a skartačním řádem organizace. 8. Závěrečná ustanovení 8.1 Kontrolu dodržování povinností zaměstnanců při ochraně osobních údajů dle GDPR a zákona provádí správce nebo jím určená osoba. 8.2 Směrnice je závazná pro statutární orgány organizace a zaměstnance smluvní správcovské firmy zmocněné ke zpracovávání osobních údajů. 8.3 Tato směrnice nabývá účinnosti dnem schválení členskou schůzí Bytového družstva Skuteckého - Laudova. V Praze dne 24. 5. 2018 Schvaluji:. Mgr. Vladimíra Hloušková předsedkyně představenstva BD. Ing. Roman Rábek místopředseda představenstva BD Stránka 8 z 8