Pokyn Úroveň přístupu A SŽDC PO-35/2018-ŘO1 Pokyn ředitele odboru finančního pro ochranu osobních údajů Schváleno pod čj. S 47103/2018 SŽDC-GŘ-O1 Dne: 04. 10. 2018 Ing. Hana Eliášová, MSc. ředitelka odboru finančního
Účinnost od ode dne zveřejnění SŽDC PO-35/2018 ŘO1 Pokyn ředitele odboru finančního pro ochranu osobních údajů Gestorský útvar: Správa železniční dopravní cesty, státní organizace Generální ředitelství Odbor finanční Praha www.szdc.cz Rok vydání: 2018 Náklad: vydáno pouze v elektronické podobě Správa železniční dopravní cesty, státní organizace, rok 2018 Tento dokument je duševním vlastnictvím státní organizace Správa železniční dopravní cesty, na které se vztahuje zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů. Státní organizace Správa železniční dopravní cesty je v uvedené souvislosti rovněž vykonavatelem majetkových práv. Tento dokument smí fyzická osoba použít pouze pro svou osobní potřebu, právnická osoba pro svou vlastní vnitřní potřebu. Poskytování tohoto dokumentu nebo jeho části v jakékoliv formě nebo jakýmkoliv způsobem třetí osobě je bez svolení státní organizace Správa železniční dopravní cesty zakázáno. 2
ZÁZNAMY O OPRAVÁCH A ZMĚNÁCH Držitel listinné podoby tohoto dokumentu je odpovědný za včasné a správné zapracování účinných oprav a změn a za provedení příslušného záznamu. Oprava/změna a její pořadové číslo Číslo jednací Účinnost od Opravu/změnu zapracoval
OBSAH Strana ČÁST PRVNÍ Úvodní ustanovení...5 ČÁST DRUHÁ Stanovení odpovědnosti...5 ČÁST TŘETÍ Účel a místo zpracování osobních údajů...5 ČÁST ČTVRTÁ Postup při zpracování osobních údajů...5 ČÁST PÁTÁ Opatření k ochraně osobních údajů...6 ČÁST ŠESTÁ Opatření proti neoprávněnému nebo nahodilému přístupu...7 ČÁST SEDMÁ Opatření proti neoprávněnému zpracování a zneužití...7 ČÁST OSMÁ Přístup subjektu údajů k informacím...7 ČÁST DEVÁTÁ Údržba a opravy...8 ČÁST DESÁTÁ Odborná způsobilost osob...8 ČÁST JEDENÁCTÁ Závěrečné ustanovení...8 4
ČÁST PRVNÍ Úvodní ustanovení Tento Pokyn vedoucího zaměstnance pro ochranu osobních údajů (dále jen Pokyn ) je vydáván na základě ustanovení Směrnice SŽDC č. 97 k zajištění ochrany osobních údajů (dále jen Směrnice č. 97 ) v platném znění. Účelem tohoto Pokynu je aplikace výše uvedené směrnice do konkrétních podmínek při zpracovávání osobních údajů na O1. Veškerá ustanovení tohoto Pokynu lze vykládat jen v souladu s nařízením EP a Rady (EU) 2016/679 - obecné nařízení o ochraně osobních údajů (dále jen GDPR), ostatními příslušnými obecně závaznými právními předpisy a Směrnicí SŽDC č. 97, ochrana osobních údajů (dále jen Směrnice č. 97). ČÁST DRUHÁ Stanovení odpovědnosti Za soulad zpracování osobních údajů s GDPR, Směrnicí č. 97 a ostatními právními předpisy zodpovídá ředitel odboru. (1) Oddělení mimořádných událostí a škod ČÁST TŘETÍ Účel a místo zpracování osobních údajů Evidence osobních údajů za účelem vymáhání náhrad škod po vinících. Místo zpracování osobních údajů: GŘ SŽDC, s. o., objekt Praha 1, Hybernská 1014/13. Objekt Praha 1, Dlážděná 1003/7. (2) Oddělení závazků a pohledávek a EDP Evidence osobních údajů pro účely upomínání a schvalování splátkových kalendářů a odpisů Místo zpracování osobních údajů: GŘ SŽDC, s. o., objekt Praha 1, Dlážděná 1003/7 Objekt Praha 1, Hybernská 1014/13. (3) Oddělení finančně platebního styku Evidence osobních údajů pro účely vedení seznamu osob s přístupy k bankovním účtům. Místo zpracování osobních údajů: GŘ SŽDC, s. o., objekt Praha 1, Dlážděná 1003/7. (4) Sekretariát Účelem zpracování osobních údajů je dokumentace docházky zaměstnanců odboru. Dokumentace obsahuje měsíční přítomnost a nepřítomnost zaměstnanců odboru včetně dovolenkových lístků, potvrzení o pracovní neschopnosti, cestovní příkazy apod. Místo zpracování osobních údajů: GŘ SŽDC, s. o., objekt Praha 1, Dlážděná 1003/7. (1) Pro účel dle Části třetí, odst. (1): ČÁST ČTVRTÁ Postup při zpracování osobních údajů a) Údaje o vinících škodních a Mimořádných událostí jsou zajišťovány nejčastěji ze spisů Policie ČR, nebo z Vyhodnocení příčin a okolností vzniku mimořádné události b) Osobní údaje jsou vedeny v interních databázích a souborech xls pro potřeby odpovědných zaměstnanců, kteří zpracovávají požadavky na náhrady škod. 5
c) Osobní údaje jsou využívány výlučně pro účely kontaktování konkrétního viníka a doručení požadavku na náhradu škody. (2) Pro účel dle Části třetí, odst. (2): a) Osobní údaje jsou předávány příslušnou OJ, která žádá o schválení odpisu, nebo splátkového kalendáře. b) Osobní údaje pro vystavení upomínky jsou vedeny v IS SAP a zaměstnanec odpovědný za upomínání je dále nikam neukládá. Osobní údaj je pak vázán pouze na konkrétní upomínku. c) Osobní údaje schvalovaných dokumentů jsou součástí pouze konkrétního schvalovaného dokumentu. d) Osobní údaje jsou využity výlučně pro kontaktování příslušného dlužníka s výzvou k úhradě. (3) Pro účel dle Části třetí, odst. (4): a) Osobní údaje jsou vedeny v interních databázích a souborech xls pro potřeby odpovědných zaměstnanců, kteří zpracovávají informace týkající se docházky a nepřítomnosti na pracovišti. b) Zaměstnanci odboru dokladují svou přítomnost a nepřítomnost na předkládaných dokumentech. c) Osobní údaje jsou využity výlučně pro personální účely odboru. ČÁST PÁTÁ Opatření k ochraně osobních údajů (1) Vstup do budovy na adrese Dlážděná 1003/7, je zabezpečen čtečkou vstupních karet a nepřetržitou službou vrátného. Vstup do administrativní části budovy na adrese Hybernská 1014/13, je zabezpečen číselným kódem zadávaným na vstupních dveřích. (2) Osobní údaje zpracovávané pro účel dle Části třetí, odst. (1) jsou uloženy na pracovišti s uzamykatelnými vstupními dveřmi a v elektronické formě jsou osobní údaje uloženy na úložišti PC zaměstnanců, které mají vlastní přístupová hesla. Údaje jsou uloženy také v databázi s nastavenými přístupovými oprávněními pro zaměstnance oddělení mimořádných událostí a škod a další, kterým vedoucí oddělení explicitně přístupové oprávnění schválil. (3) Osobní údaje zpracovávané pro účel dle Části třetí, odst. (2) jsou uloženy na pracovišti s uzamykatelnými vstupními dveřmi a na osobních počítačích zaměstnanců s unikátními přístupovými údaji a na sdílených úložištích, ke kterým jsou práva přístupu přidělována administrátorem těchto úložišť. (4) Osobní údaje zpracovávané pro účel dle Části třetí, odst. (4) jsou uloženy na pracovišti s uzamykatelnými vstupními dveřmi a v uzamykatelných skříních. Dále pak na osobním počítači zaměstnance s unikátními přístupovými údaji. (5) Přístup k osobním údajům, zpracovávaným pro účel dle Části třetí, odst. (1) a odst. (2), je umožněn oprávněným osobám se znalostí přístupového hesla a s potvrzeným přístupem administrátora ke sdíleným diskům. Činnost a nakládání s osobními údaji každé oprávněné osoby je možné zpětně vysledovat. (6) Náhradní klíče ke kancelářím jsou uloženy na nepřetržitě obsazené vrátnici a jejich vydání podléhá režimovým opatřením. (7) Vstup do budovy (pracoviště Hybernská) je zabezpečen speciálním elektronickým kódovacím zámkem. (8) Osobní údaje zpracovávané pro účel dle Části třetí, odst. (4) a) Osobní údaje jsou uloženy pouze v PC u zmocněné osoby a PC je opatřen heslem. Písemné záznamy osobních údajů nejsou pořizovány, 6
b) Přístup k elektronickým záznamům je umožněn jen oprávněné osobě se znalostí přístupového hesla. c) Osobní údaje zpracovávané pro účel dle Části třetí, odst. (4) jsou v listinné podobě uloženy v uzamykatelné skříni na sekretariátu. Elektronická podoba je v aplikaci EVYDO SŽDC. Likvidace osobních údajů se řídí interním předpisem R2 - spisový řád. ČÁST ŠESTÁ Opatření proti neoprávněnému nebo nahodilému přístupu (1) Opravy, úpravy a údržba (včetně běžného úklidu resp. čištění) prostředků zpracování osobních údajů a prostoru, kde probíhá zpracování osobních údajů, prováděné nikoliv oprávněnými osobami jsou možné jen za nepřetržitého osobního dohledu oprávněné osoby. (2) Při každém opuštění prostoru, kde dochází ke zpracování osobních údajů, jej poslední oprávněná osoba uzamkne. (3) Při každém opuštění pracoviště oprávněná osoba odhlásí svůj osobní počítač od uživatelského účtu. ČÁST SEDMÁ Opatření proti neoprávněnému zpracování a zneužití (1) Přístup ke zpracovávaným a zpracovaným osobním údajům je umožněn jen oprávněným osobám ve smyslu Směrnice č. 97. (2) Přístup k elektronickým záznamům je umožněn jen těmto oprávněným osobám se znalostí přístupového hesla. V dotčených PC byl instalován antivirový program s vlastností logování programu, který umožňuje získat podrobné informace o aktivitách a úkonech, které byly provedeny. ČÁST OSMÁ Postup při uplatňování práv subjektu údajů (1) Subjekt údajů má právo na přístup ke svým osobním údajům zpracovávaných SŽDC, na jejich opravu nebo výmaz, popřípadě na omezení zpracování, na přenositelnost a právo vznést námitku proti zpracování. (2) Za účelem uplatnění svých práv se může každý subjekt údajů obrátit na Pověřence, a to prostřednictvím emailové adresy gdpr@szdc.cz, osobně nebo písemně. (3) O všech došlých žádostech subjektů údajů a jejich vyřízení je vedena evidence u Pověřence. (4) Pověřenec žádost posoudí a postoupí ji k vyřízení O3. Po vyřízení žádosti zašle O3 odpověď Pověřenci, který zašle odpověď subjektu údajů o vyřízení jeho žádosti. (5) Po provedeném šetření vydá Pověřenec pokyn k uplatnění práva ve všech systémech vedených odborem informatiky spravovaných prostřednictvím odborného útvaru (vlastníka dat). (6) Žádosti se vyřizují bez zbytečného odkladu, nejpozději však do jednoho měsíce od přijetí žádosti od subjektu údajů. 7
ČÁST DEVÁTÁ Údržba a opravy Ředitel odboru zajistí, aby osoba provádějící údržbu a opravy postupovala vždy v souladu s podmínkami smlouvy, nebo objednávky o provádění servisní činnosti, zejména: postupovala podle návodů na údržbu a doporučení výrobce udržovala zařízení v provozuschopném stavu v rozsahu a v nastavení podle projektové dokumentace neprováděla žádné změny v nastavení zařízení bez požadavku uživatele spolupracovala s uživatelem při podezření z porušení OOÚ neumožňovala zásah do zařízení třetím osobám bez vědomí nebo prokazatelného pokynu uživatele plnila povinnosti stanovené interní Směrnicí č. 97, o ochraně osobních údajů, v rozsahu vyžadovaném předmětnou údržbou nebo opravami ČÁST DESÁTÁ Odborná způsobilost osob Osoby pověřené obsluhou zařízení, jímž jsou zpracovávány osobní údaje, musí být poučeny o zásadách provozu zařízení: zachovat mlčenlivost o technických, organizačních a zjištěných skutečnostech souvisejících s obsluhou a dbát, aby se tyto skutečnosti nedostaly k nepovolaným osobám. Zásada mlčelivosti se nevztahuje na informační povinnost podle zvláštních zákonů neposkytovat jakékoliv informace související s provozem sdělovacím prostředkům či jiným než k tomu oprávněným osobám odpovědné osoby jsou povinny 1x ročně absolvovat školení formou e-learningu ČÁST JEDENÁCTÁ Závěrečné ustanovení (1) V souvislosti s výše uvedenou legislativou ukládám všem zaměstnancům zpracování a uchovávání osobních údajů v souladu s tímto Pokynem. (2) Pokyn nabývá účinnosti dnem zveřejnění. 8