Pokyn Úroveň přístupu A SŽDC PO-27/2018-ŘO5 Pokyn ředitele odboru smluvních vztahů O5 pro ochranu osobních údajů Schváleno pod čj. 44924/2018- SŽDC-GŘ-O5 dne 5.9.2018 JUDr. Hana Honzáková ředitelka odboru smluvních vztahů
SŽDC PO-27/2018-ŘO5 Pokyn ředitele odboru smluvních vztahů O5 pro ochranu osobních údajů Gestorský útvar: Správa železniční dopravní cesty, státní organizace Generální ředitelství Odbor smluvních vztahů Praha www.szdc.cz Rok vydání: 2018 Náklad: vydáno pouze v elektronické podobě Správa železniční dopravní cesty, státní organizace, rok 2018 Tento dokument je duševním vlastnictvím státní organizace Správa železniční dopravní cesty, na které se vztahuje zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů. Státní organizace Správa železniční dopravní cesty je v uvedené souvislosti rovněž vykonavatelem majetkových práv. Tento dokument smí fyzická osoba použít pouze pro svou osobní potřebu, právnická osoba pro svou vlastní vnitřní potřebu. Poskytování tohoto dokumentu nebo jeho části v jakékoliv formě nebo jakýmkoliv způsobem třetí osobě je bez svolení státní organizace Správa železniční dopravní cesty zakázáno. 2
ZÁZNAMY O OPRAVÁCH A ZMĚNÁCH Držitel listinné podoby tohoto dokumentu je odpovědný za včasné a správné zapracování účinných oprav a změn a za provedení příslušného záznamu. Oprava/změna a její pořadové číslo Číslo jednací Účinnost od Opravu/změnu zapracoval 3
OBSAH Strana ČÁST PRVNÍ Úvodní ustanovení... 5 ČÁST DRUHÁ Stanovení odpovědnosti... 5 ČÁST TŘETÍ Účel a místo zpracování údajů... 5 ČÁST ČTVRTÁ Postup při zpracování osobních údajů... 5 ČÁST PÁTÁ Opatření k ochraně osobních údajů... 5 ČÁST ŠESTÁ Opatření proti neoprávněnému nebo nahodilému přístupu... 6 ČÁST SEDMÁ Opatření proti neoprávněnému zpracování a zneužití... 6 ČÁST OSMÁ Přístup subjektu údajů k informacím... 6 ČÁST DEVÁTÁ Odborná způsobilost osob... 6 ČÁST DESÁTÁ Závěrečná opatření... 7 4
ČÁST PRVNÍ Úvodní ustanovení (1) Tento Pokyn vedoucího zaměstnance pro ochranu osobních údajů (dále jen Pokyn ) je vydáván na základě ustanovení Směrnice SŽDC č. 97 k zajištění ochrany osobních údajů (dále jen Směrnice č. 97 ) v platném znění. (2) Účelem tohoto Pokynu je aplikace výše uvedené směrnice do konkrétních podmínek při zpracovávání osobních údajů na O5. (3) Veškerá ustanovení tohoto Pokynu lze vykládat jen v souladu s nařízením EP a Rady (EU) 2016/679 - obecné nařízení o ochraně osobních údajů (dále jen GDPR), ostatními příslušnými obecně závaznými právními předpisy a Směrnicí SŽDC č. 97, ochrana osobních údajů (dále jen Směrnice č. 97). ČÁST DRUHÁ Stanovení odpovědnosti Za soulad zpracování osobních údajů s GDPR, Směrnicí č. 97 a ostatními právními předpisy zodpovídá ředitel odboru. ČÁST TŘETÍ Účel a místo zpracování osobních údajů (1) Oddělení smluvních vztahů s dopravci a provozovateli drah: Účelem zpracování osobních údajů je evidence docházky zaměstnanců oddělení a dokumentace docházky zaměstnanců odboru. Dokumentace obsahuje měsíční přítomnost a nepřítomnost zaměstnanců odboru včetně dovolenkových lístků, potvrzení o pracovní neschopnosti, cestovní příkazy, účetní doklady k proplacení, apod. Místo zpracování osobních údajů: GŘ SŽDC, s.o., objekt Praha 8, Křižíkova 552/2, kancelář č. 107, 1. patro. (2) Oddělení evidence výkonů a poplatků dopravců Účelem zpracování osobních údajů je evidence docházky zaměstnanců oddělení. Místo zpracování osobních údajů: GŘ SŽDC, s.o., objekt Praha 1, Dlážděná 1003/7, kancelář č. 403, 4. patro. ČÁST ČTVRTÁ Postup při zpracování osobních údajů (1) Zaměstnanci odboru dokladují svou přítomnost a nepřítomnost na předkládaných dokumentech. (2) Evidenci docházky vedou vedoucí jednotlivých oddělení. (3) Dokumentaci docházky zpracovává odpovědný zaměstnanec dle příslušných nařízení a opatření. ČÁST PÁTÁ Opatření k ochraně osobních údajů (1) Vstup do obou budov je přes vrátnici nepřetržitě obsazenou vrátným a osazenou čtečkou služebních průkazů a je umožněn pouze zaměstnancům se služebním průkazem s příslušným oprávněním. 5
(2) Vstup do prostoru zpracování osobních údajů (kanceláře č. 107 a 403) je zabezpečen zámkem FAB. Náhradní klíče od místností zpracovávání OÚ jsou uloženy ve vrátnici. (3) Osobní údaje jsou uloženy v PC u zmocněné osoby a PC je opatřen heslem. Písemné osobní údaje jsou uloženy v uzamčeném kontejneru. Elektronická podoba je v aplikaci EVYDO SŽDC. (4) Likvidace osobních údajů se řídí interním předpisem R2 - spisový řád. ČÁST ŠESTÁ Opatření proti neoprávněnému nebo nahodilému přístupu (1) Při každém opuštění prostoru, kde dochází ke zpracování osobních údajů, jej poslední oprávněná osoba uzamkne. (2) Odpovědní zaměstnanci důsledně dodržují zásadu prázdného stolu a zamknuté obrazovky. ČÁST SEDMÁ Opatření proti neoprávněnému zpracování a zneužití (1) Přístup ke zpracovávaným a zpracovaným osobním údajům je umožněn jen oprávněným osobám ve smyslu Směrnice č. 97. (2) Přístup k elektronickým záznamům je umožněn jen těmto oprávněným osobám se znalostí přístupového hesla. V dotčených PC byl instalován antivirový program s vlastností logování programu, který umožňuje získat podrobné informace o aktivitách a úkonech, které byly provedeny. ČÁST OSMÁ Přístup subjektu údajů k informacím (1) Pokud subjekt údajů podá žádost o informaci o zpracování svých osobních údajů (dále v textu žádost o informaci ), sdělí mu ji osoba zajišťující OOÚ bez zbytečného odkladu, nejpozději však do 15 kalendářních dnů od přijetí žádosti. (2) Je-li žádost nejasná nebo neúplná, je žadatel vyzván k jejímu upřesnění nebo doplnění. Lhůta pro odpověď na žádost o informaci začne běžet až po dostatečném upřesnění nebo doplnění. (3) Osoba zajišťující OOÚ vždy prokazatelným způsobem ověří, že žadatel je subjektem údajů, na něž se žádost o informaci vztahuje. Ověření dle předchozí věty uchovává O5 po celou dobu zpracování osobních údajů, na něž se žádost o informaci vztahuje, a nejméně 3 roky po jeho skončení. ČÁST DEVÁTÁ Odborná způsobilost osob (1) Osoby pověřené obsluhou zařízení, jímž jsou zpracovávány osobní údaje, musí být poučeny o zásadách provozu zařízení, zachovat mlčenlivost o technických, organizačních a zjištěných skutečnostech souvisejících s obsluhou a dbát, aby se tyto skutečnosti nedostaly k nepovolaným osobám. (2) Zásada mlčelivosti se nevztahuje na informační povinnost podle zvláštních zákonů, neposkytovat jakékoliv informace související s provozem sdělovacím prostředkům či jiným než k tomu oprávněným osobám. 6
ČÁST DESÁTÁ Závěrečná ustanovení (1) V souvislosti s výše uvedenou legislativou ukládám všem zaměstnancům zpracování a uchovávání osobních údajů v souladu s tímto Pokynem. (2) Pokyn nabývá účinnosti dnem zveřejnění. 7