Zásady Organizace globálního zabezpečení Strana 1 ze 9 102.0 Zásady globální ochrany soukromí Prohlášení o zásadách ADP shromažďuje a používá relevantní, náležité a obvyklé Osobní údaje (včetně Firemních kontaktních údajů a Citlivých osobních údajů) pro své vlastní obchodní účely uvážlivým, zodpovědným a zákonným způsobem. ADP kromě toho slouží jako Zpracovatel dat pro své Klienty, a v této roli zpracovává Osobní údaje týkající se zaměstnanců Klienta. Ve své funkci Zpracovatele dat bude ADP zpracovávat Osobní údaje klienta pouze v souladu s kontrakty s Klientem a ostatními pokyny, které obdržela od svých Klientů. Rozsah zásad Tyto zásady se vztahují na zaměstnance a dodavatele ADP v podnicích a sídlech ADP po celém světě. Představují minimální standard. Mohou být rozšířeny o další zásady a postupy, které stanoví další požadavky v těch zeměpisných oblastech, kde příslušné zákony kladou přísnější požadavky na ADP. Tyto zásady se vztahují na informace v jakékoli podobě (např. v elektronickém nebo fyzickém formátu). Tyto zásady se rovněž vztahují na média, zařízení a vybavení obsahující Osobní údaje, které je ve vlastnictví nebo pod kontrolou ADP. Účel zásad Tyto zásady poskytují návod k dodržování právních, regulačních a smluvních požadavků týkajících se osobních údajů. Nedodržení těchto zásad může vyústit v progresivní kázeňský postih, zahrnující až ukončení pracovního poměru. Žádosti o odchylky od jakékoli zásady zabezpečení musí projít přes příslušného Firemního referenta zabezpečení vaší obchodní jednotky nebo dané země. 102.1 Rámec řízení ochrany soukromí 102.1.01 Role a odpovědnosti Stížnosti a dotazy týkající se ochrany soukromí ADP se bude seriózně zabývat všemi oznámeními o porušení těchto Zásad. ADP rovněž pečlivě posoudí všechna oznámení, že Osobní údaje nebyly chráněny dostatečným způsobem, a to i když taková oznámení budou spadat mimo rozsah těchto Zásad.
Zásady Organizace globálního zabezpečení Strana 2 ze 9 Každý Zaměstnanec nebo Místní dodavatel, který obdrží stížnost na ochranu soukromí nebo zjistí možné porušení těchto Zásad, musí neprodleně takovou stížnost nebo zjištění nahlásit v kanceláři pro ochranu soukromí e-mailem na adresu Privacy@adp.com, nebo svému nadřízenému, vedoucímu oddělení lidských zdrojů či pracovníkovi právního oddělení. ADP bude se svými Klienty úzce spolupracovat po jakémkoli oznámení, že došlo k porušení těchto Zásad s ohledem na Osobní údaje obsažené v datech Klienta, nebo v případě jakéhokoli bezpečnostního incidentu zahrnujícího data Klienta. Porušení těchto Zásad Zaměstnancem ADP nebo Místním dodavatelem může mít za následek kázeňský postih, vedoucí až k možnému ukončení zaměstnaneckého poměru nebo smluvního vztahu. Prvky programu plnění zásad ADP bude udržovat program ochrany soukromí jako podporu pro dodržování těchto Zásad a jakýchkoli příslušných zákonů či smluvních ujednání týkajících se nakládání s Osobními údaji. ADP jmenovala náležité vedoucí a zmocněnce pro ochranu soukromí, kteří jsou zodpovědní za dohlížení na zavádění programů ochrany soukromí ve svých příslušných obchodních jednotkách a funkčních oblastech. Globální vedoucí referent ochrany soukromí předá požadavky programu globální ochrany soukromí těmto vedoucím ochrany soukromí, a poskytne jim pomoc a dohled při implementaci programu ochrany soukromí v daném místě. S ohledem na citlivost Osobních údajů budou všichni Zaměstnanci a Místní dodavatelé, kteří přistupují k Osobním údajům, adekvátně proškoleni v souvislosti s jimi zpracovávanými Osobními údaji. Vzhledem ke globální povaze těchto Zásad a možným odchylkám v místních zákonech a zvycích bude ADP aplikovat místní postupy řešící ty situace, kdy místní zákony kladou na ADP odlišné požadavky. Více informací o ochraně soukromí programu ADP naleznete v kontaktních údajích uvedených v definicích části/normy Globální ochrana soukromí. Správce ochrany soukromí Správci ochrany soukromí jsou manažeři ADP, kteří byli jmenováni odpovědným manažerem a/nebo výkonným vedením ADP, aby implementovali, ověřovali a prosazovali efektivní ochranu soukromí a integraci řízení kontroly ochrany údajů do všech obchodních praktik, které mají dopad na ADP a Údaje Klienta, a kontrolovali, že jsou k dispozici dostatečné zdroje a rozpočet ke splnění interních, smluvních a regulačních povinností ADP. Správci ochrany soukromí mohou delegovat úkoly a přidělovat odpovídající zdroje potřebné ke splnění jejich povinností a dosažení cílů shody.
Zásady Organizace globálního zabezpečení Strana 3 ze 9 Program zabezpečení informací ADP musí po celou dobu udržet oficiální Program zabezpečení informací, který obsahuje správní, technická a fyzická bezpečnostní opatření, která jsou přiměřeně navržena k ochraně všech osobních údajů, pod svou kontrolou před (i) očekávanými hrozbami a riziky, a (ii) neoprávněným přístupem nebo použitím. ADP bude v každém případě usilovat o poskytování zabezpečení úměrně k citlivosti Osobních údajů, které mají být chráněny. Nejvyšší úsilí bude zaměřeno na ochranu Citlivých osobních údajů a ostatních Osobních údajů, jejichž odhalení by mohlo způsobit značné škody či potíže postižené Osobě. Tento požadavek se vztahuje jak na Osobní údaje uchovávané ADP jakožto Vlastníkem dat, tak i na Osobní údaje Klienta Zpracovávané ADP. 102.2 Osobní údaje 102.2.01 Shromažďování Osobních dat Shromažďování a použití Osobních údajů ADP shromažďuje a používá relevantní, náležité a obvyklé Osobní údaje (včetně Firemních kontaktních údajů a Citlivých osobních údajů) pro své vlastní obchodní účely uvážlivým, zodpovědným a zákonným způsobem. Tam, kde jsou Osobní údaje ze strany ADP shromažďovány záměrně, bude použití těchto Osobních údajů omezeno na jeden či více níže uvedených účelů: účely uvedené v příslušném prohlášení o ochraně soukromí nebo formuláři souhlasu, účely, u kterých Osoba důvodně očekává, že údaje budou zpracovány (např. vyplnění dotazníku), doplňkové a kompatibilní obchodní účely, a ostatní účely požadované nebo povolené zákonem Souhlas s ochranou soukromí a vzájemná dohoda ADP poskytne Osobám přiměřenou příležitost ohradit se proti Zpracování jejich Osobních údajů. ADP se vždy pokusí dosáhnout rozumné vzájemné dohody, pokud Osoba vznese námitku ke Zpracování jeho/jejích Osobních údajů. V oblastech, kde místní zákony vyžadují jednoznačný nebo výslovný souhlas Osob se shromažďováním a jiným Zpracováním jejich Osobních údajů, ADP takový souhlas získá. Kde je to v rozumné míře možné, Osobám musí být umožněno odvolat svůj souhlas poté, co jej udělily. Za určitých okolností, například ve spojení se zaměstnáním či aktivitami dodržování zákonů, však může být odvolání souhlasu omezeno a může mít za následek
Zásady Organizace globálního zabezpečení Strana 4 ze 9 ztrátu výsad či práv Osoby. Pokud například Zaměstnanec vznese námitku proti přenosu Osobních údajů poskytovateli benefitu, může Zaměstnanec ztratit možnost účastnit se příslušného benefičního programu. Souhlas a vzájemná dohoda nejsou obecně požadovány pro Zpracování Osobních údajů tam, kde místní zákony ukládají ADP povinnost zpracovávat Osobní údaje. Firemní kontaktní údaje týkající se Profesionálních pracovníků mohou být obecně použity pro jakékoli legitimní obchodní účely, včetně marketingu, a to bez souhlasu. ADP však vyvine rozumné úsilí dosáhnout vzájemné dohody při požadavcích na omezení použití Firemních kontaktních údajů Profesionálních pracovníků týkajících se marketingových aktivit. ADP rovněž dodrží všechny příslušné zákony, které omezují použití Firemních kontaktních údajů Profesionálních pracovníků. Prohlášení o ochraně soukromí - Transparentnost Tam, kde ADP shromažďuje Osobní údaje od Osob pro své vlastní účely, bude Osobám předloženo prohlášení o ochraně soukromí, ve kterém je zpravidla uvedeno: typy shromažďovaných Osobních údajů a zdroje, ze kterých jsou Osobní údaje shromažďovány (pokud není zdrojem Osoba samotná), účely a použití, pro které budou Osobní údaje zpracovány, typy příjemců, kterým mohou být Osobní údaje odhaleny, zda mohou být osobní údaje převedeny do jiných zemí, že jsou aplikována přiměřená bezpečnostní opatření pro zachování soukromí, a práva a možnosti, které Osoby ve vztahu ke svým Osobním údajům mohou mít. Jako minimální standard budou tato prohlášení předložena na vyžádání a na webových stránkách ADP. Místní zákony, zásady a postupy mohou klást další požadavky, které musí být splněny, ve vztahu k obsahu, formátu, jazyku či dodání prohlášení. 102.2.02 Uchovávání osobních dat Přístup k datům a korekce ADP se zavazuje poskytnout Osobám přiměřenou příležitost zkontrolovat si své vlastní Osobní údaje. Tam, kde Osoby mají právo přístupu dané zákonem, smí rovněž potvrdit přesnost a úplnost svých Osobních údajů a nechat své Osobní údaje pozměnit, je-li to zapotřebí. Možnost úprav a přístupu k Osobním údajům nesmí být omezena přenosy Osobních údajů tato možnost musí být k dispozici bez ohledu na to, kde se v rámci ADP Osobní údaje fyzicky nacházejí. Právo Osob přistupovat ke svým Osobním údajům však není neomezené. Například přístup a/nebo korekce mohou být odepřeny, pokud (i) jsou náklady na poskytnutí přístupu nepřiměřené
Zásady Organizace globálního zabezpečení Strana 5 ze 9 vzhledem k možnému přínosu pro Jednotlivce, nebo (ii) by poskytnutí takového přístupu nebo korekce mohlo ohrozit soukromí jiné Osoby nebo nepřiměřeně vystavit citlivé informace o společnosti. Právo přístupu Profesionálních pracovníků k údajům může být navíc omezeno na ty Osobní údaje, které musí být zpřístupněny v souladu se zákonem. Přesnost a uchovávání dat ADP přijme přiměřená opatření, aby udržovala Osobní údaje přesné, úplné a aktuální, dle potřeb pro provádění Zpracování. V mnoha případech se ADP spolehne na Osoby, které svým přístupem a úpravami Osobních údajů s tímto procesem pomohou. Osobní údaje budou uchovávány a ničeny v souladu [se zásadami ADP] a s příslušným zákonem. 102.2.03 Předávání Osobních dat Interní a externí odhalení Mezinárodní přenosy dat a) Interní odhalení. S ohledem na citlivost Osobních údajů ADP omezí odhalení Osobních údajů v rámci svých Přidružených společností na ty Zaměstnance a Místní dodavatele, kteří důvodně potřebují přístup k těmto Osobním údajům za účelem plnění jim přidělených funkcí účinným a efektivním způsobem. b) Externí odhalení. S ohledem na citlivost Osobních údajů bude ADP přenášet osobní údaje třetím stranám pouze tehdy, pokud (i) takové třetí strany jednají jménem ADP nebo v zájmu plnění obchodních potřeb a takové třetí strany jsou povinny ze zákona nebo na základě smlouvy omezit vlastní použití Osobních údajů pro příslušné účely, v souladu s částí Shromažďování a použití výše, (ii) je zveřejnění jinak zákonem povolené, (iii) se souhlasem dotyčné osoby, nebo (iv) v případě nouze. ADP odhalí třetím stranám pouze ty části Osobních údajů, které jsou důvodně potřebné k plnění obchodních potřeb ADP nebo ke splnění právního požadavku. ADP odhalí Osobní údaje pouze těm Zpracovatelům dat, kteří jsou právně či smluvně povinni: 1. vyhovět všem příslušným zákonům a nařízením ochrany soukromí, 2. omezit použití Osobních údajů na definované a náležité účely, 3. zabezpečit Osobní údaje a upozornit ADP na jakákoli porušení, a 4. podstoupit pravidelná hodnocení ze strany ADP či jiných příslušných třetích stran. Místní zákony, zásady a postupy mohou klást další požadavky, které musí být splněny, ve vztahu ke kvalifikaci a využití Zpracovatelů dat. Veškeré přenosy Citlivých osobních údajů z ADP a do ADP musí být prováděny přiměřeně bezpečným způsobem v souladu s požadavky příslušných zákonů a interních postupů ADP.
Zásady Organizace globálního zabezpečení Strana 6 ze 9 c) Odhalení z obchodně nezbytných důvodů. ADP smí odhalit Osobní údaje, je-li to zapotřebí pro: ovlivnění licence, prodeje či převodu podniku nebo aktiv podniku, prosazení práv ADP, ochranu jejího majetku, nebo ochranu práv, majetku či bezpečí ostatních, nebo podporu externího auditu, dodržování zásad a funkcí řízení firmy. d) Odhalení z důvodů právních zmocnění. ADP smí odhalit Osobní údaje, je-li to požadováno zákonem. ADP je například povinna odhalit Osobní údaje týkající se finančního vyrovnání se Zaměstnanci daňovým úřadům. ADP může být také povinna poskytnout Osobní údaje vládním úřadům ve spojení s výkazy týkajícími se boje proti korupci, bezpečnosti práce a podobných nezbytných požadavků. ADP může být navíc povinna odhalit Osobní údaje třetím stranám ve spojení s právními či regulačními řízeními, například v reakci na soudní předvolání. e) Mezinárodní přenosy Osobních údajů. ADP smí přenášet Osobní údaje přes hranice států, avšak musí za všech okolností zajistit adekvátní ochranu údajů. Například: ADP realizovala příslušné Modelové kontrakty pro zajištění adekvátní ochrany Osobních údajů přenášených do USA a dalších zemí z Evropského hospodářského prostoru ( EHP ) a Švýcarska. Modelové kontrakty poskytují primární právní základ pro interní přenosy Osobních údajů ADP z jejích provozů v EHP do provozů v USA a do ostatních subjektů ADP mimo EHP a Švýcarsko. ADP smí rovněž přenášet ostatní Osobní údaje EHP z USA dále do dalších zemí, za použití kontraktů, které zajišťují adekvátní ochranu Osobních údajů. 102.3 Zpracovatel dat 102.3.01 Zpracovatel Klientských dat ADP jako Zpracovatel dat ADP slouží jako Zpracovatel dat pro své Klienty, a v této roli Zpracovává Osobní údaje týkající se zaměstnanců Klienta. Ve funkci Zpracovatele dat: Bude ADP Zpracovávat Osobní údaje Klienta pouze v souladu s kontrakty s Klientem a ostatními pokyny, které obdržela od svých Klientů. Bude ADP chránit Osobní údaje Klienta pomocí kontrolních prvků pro zabezpečení údajů, které jsou stejně přísné jako prvky, které ADP využívá na ochranu Osobních údajů svých zaměstnanců.
Zásady Organizace globálního zabezpečení Strana 7 ze 9 ADP smí odhalit Osobní údaje Klienta Přidruženým společnostem a zpracovatelům třetích stran pro potřeby provádění služeb požadovaných Klientem. ADP zajistí, že všechny Přidružené společnosti a zpracovatelé třetích stran za všech okolností vyhoví požadavkům na ochranu soukromí a zabezpečení obsaženým v kontraktech Klienta. ADP smí odhalit Osobní údaje Klienta, je-li to požadováno zákonem. Pokud to zákon nezakazuje, ADP informuje svého klienta před provedením jakýchkoli takových požadovaných odhalení a přiměřeným způsobem umožní Klientovi provést potřebná opatření na ochranu Osobních údajů. ADP se může spoléhat, že její Klienti dokáží dodržovat všechny aspekty zákona na ochranu dat. Klienti ADP jsou například zodpovědní za potvrzení, že požadované Zpracování splňuje platné právní požadavky, za poskytnutí požadovaných prohlášení o ochraně soukromí svým zaměstnancům, a za respektování práv na soukromí svých zaměstnanců. ADP vyvine přiměřené úsilí, aby Klientům poskytla potřebnou pomoc s dodržováním ochrany soukromí. Aplikace ADP, které shromažďují Osobní údaje, budou například obsahovat upozornění odkazující Osoby na své zaměstnavatele ohledně otázek týkajících se soukromí. ADP vyvine přiměřené úsilí, aby vůči svým Klientům ohledně svých aktivit zpracování vystupovala transparentně. ADP bude se svými Klienty podle potřeby spolupracovat zejména při autorizaci přeshraničních přenosů Osobních údajů Klienta pomocí Modelových kontraktů, či jiných příslušných mechanismů přenosu dat. Pokud ADP zjistí jakékoli skutečné či domnělé zneužití Osobních údajů Klienta nebo neoprávněný přístup, který narušuje bezpečnost, integritu či důvěrnost jakýchkoli Osobních údajů Klienta, ADP přijme příslušná opatření na omezení a zmírnění následků incidentu, včetně okamžitého upozornění Klienta. 102.4 Zkratky a definice 102.4.01 Zkratky a definice Zkratky a definice použité v zásadě 102.0 Přidružená společnost Jakákoli společnost, která sdílí společné vlastnictví s ADP. Zaměstnanec Zaměstnanec ADP. Firemní kontaktní údaje Firemní kontaktní údaje ( FKÚ ) sestávají z následujících údajů týkajících se pouze Zaměstnanců, Místních dodavatelů a Profesionálních pracovníků: 1. Jméno 2. Pracovní funkce 3. Název společnosti
Zásady Organizace globálního zabezpečení Strana 8 ze 9 4. Adresa firmy 5. Číslo firemního telefonu a faxu 6. Firemní e-mailové adresy, a/nebo 7. Čísla ID zaměstnance přidělená od ADP nebo jakékoli Přidružené společnosti V závislosti na zeměpisné a funkční oblasti se mohou vyskytnout rozdíly ve Zpracování Firemních kontaktních údajů. Rovněž je třeba prověřit postupy a zásady přidružené společnosti a funkční oblasti. Klient Společnost, která angažuje ADP k poskytování služeb, které zahrnují Zpracování Osobních údajů v jejím zastoupení. Klienti angažují ADP zejména k poskytování různých služeb zpracování dat a lidských zdrojů, které zahrnují shromažďování, analýzu a zpracování Osobních dat zaměstnanců Klienta. Vlastník dat Společnost, která určuje způsob a účel Zpracování ve vztahu k jakýmkoli Osobním údajům. ADP je například Vlastník dat ve vztahu ke svým vlastním datům lidských zdrojů a firemním údajům. Každý Klient ADP je vlastníkem dat Osobních údajů, jež poskytuje ADP o zaměstnancích Klienta pro účely poskytování služeb Klientovi ze strany ADP. Zpracovatel dat Společnost, která Zpracovává údaje na žádost Vlastníka dat ve vztahu k jakýmkoli Osobním údajům. ADP je například Zpracovatel dat ve vztahu k údajům, se kterými nakládá při poskytování služeb pro Klienty. Osoba Fyzická osoba, která komunikuje s ADP nebo jakýmkoli Klientem ADP jakožto zaměstnanec nebo jménem sebe či rodiny. Pro účely těchto Zásad jsou Zaměstnanci, Místní dodavatelé a zaměstnanci Klienta považování za Osoby. Modelový kontrakt Formulář kontraktu schválený Evropskou komisí a ostatními dozorčími úřady, který zajišťuje adekvátní ochranu pro přenos Osobních údajů. Informace o Modelových kontraktech schválených Evropskou komisí jsou k dispozici online na adrese: http://ec.europa.eu/justice/data-protection/international-transfers/transfer/index_en.htm Místní dodavatel Osoba (jiná než Zaměstnanec), která poskytuje služby ADP na základě smlouvy, a která má nezávislý přístup do podniku nebo k počítačovému systému ADP. Mezi Místní dodavatele například patří dočasní pracovníci a ostatní, kteří disponují přístupem k Osobním údajům na úrovni zaměstnance. Osobní údaje Jakékoli údaje, které (samostatně nebo v kombinaci s ostatními údaji pod přímou kontrolou ADP) mohou být použity k identifikaci, vyhledání či kontaktování Osoby, společně se všemi údaji souvisejícími s touto Osobou. Mezi Osobní údaje patří všechny Citlivé osobní údaje a ostatní zřejmé údaje, například jméno osoby nebo e-mailová adresa, a stejně tak i méně zřejmé údaje, například jakékoli adresy internetového protokolu (IP) nebo biometrická data, pokud lze taková data případně spojit s Osobou. Osobní informace mohou být na libovolném médiu nebo mohou mít libovolnou podobu, včetně počítačových nebo elektronických záznamů, ale mohou být i v papírové podobě.
Zásady Organizace globálního zabezpečení Strana 9 ze 9 Zpracování Libovolná operace nebo sada operací prováděná s Osobními údaji, ať už automatickými prostředky nebo ne, např. shromažďování, záznam, organizování, ukládání, adaptace či úprava, vyvolání, nahlížení, použití, přenos, odhalení pomocí přenosu, šíření či jiné zpřístupnění, uspořádání či kombinace, blokování nebo smazání rozptýlením či destrukce. Profesionální pracovník Osoba (jiná než Zaměstnanec), která komunikuje s ADP z pozice obchodní, komerční či profesionální. Mezi Profesionální pracovníky patří kontaktní osoby Klienta a dodavatele. Citlivé osobní údaje Citlivé osobní údaje představují podskupinu Osobních údajů, které jsou kvůli své povaze klasifikovány zákonem nebo zásadami jako takové, jejichž zabezpečení a zachování soukromí vyžaduje zvýšenou ochranu. Mezi Citlivé osobní údaje patří: všechna vládou přidělená identifikační čísla (včetně čísel sociálního pojištění ve Spojených Státech, čísel sociálního pojištění či podobných čísel v jiných zemích, čísel řidičského průkazu, čísel pasu a národních identifikačních čísel) čísla finančních účtů Osob (čísla bankovních účtů, čísla kreditních karet a ostatní údaje, pokud tyto údaje umožňují přístup k finančnímu účtu Osoby) zdravotní záznamy Osoby, genetické a biometrické údaje, včetně všech údajů, které jsou Chráněnými zdravotními údaji v souladu se zákonem Spojených Států Health Insurance Portability and Accountability Act (HIPAA) data výkazů spotřebitele, včetně lustračních výkazů z prostředí zaměstnání a ostatních údajů podléhajících zákonu Fair Credit Reporting Act ve Spojených Státech a podobné legislativě v ostatních zemích, a data týkající se rezidentů EU, která jsou klasifikována jako Speciální kategorie dat v souladu s evropskými zákony, mezi něž patří: a) rasa nebo etnický původ, b) politické přesvědčení, c) náboženské vyznání, d) členství v odborech, e) sexuální život nebo sexuální orientace, f) fyzické nebo mentální zdraví, a g) obvinění z trestného činu nebo záznamy týkající se trestných činů a nařčení z trestných činů.