Smernica o získavaní osobných údajov

Smernica
o získavaní osobných údajov, okruhu osôb oprávnených na získavanie osobných údajov, stanovení rozsahu osobných údajov potrebných na zabezpečenie účelu ich získavania pre jednotlivé systémy
osobných údajov, pravidlách ich spracovávania a o nakladaní s osobnými údajmi po skončení účelu, na ktorý boli získavané

I. Účel

Spoločnosť s ručením obmedzeným – Ladislav Derzsi AUTOTECHNIKA – vydáva túto smernicu za účelom zabezpečenia ochrany osobných údajov, zamedzenia získavania osobných údajov fyzických osôb nad rozsah ­potrieb účelu ich spracovávania, zabezpečenia záväzných pravidiel ich spracovávania a zabezpečenia ochrany pred zneužitím osobných údajov po skončení účelu, na ktorý boli získavané.

II. Rozsah

Smernica je záväzná pre všetkých zamestnancov s.r.o. v rozsahu zodpovednosti vyplývajúcej z ich pracovného zaradenia alebo poverenia, pracovnej zmluvy, pracovnej náplne, ako aj pre všetkých externých spolupracovníkov vykonávajúcich činnosť v spoločnosti na základe iných právnych skutočností a zmlúv.

III. Rozsah osobných údajov potrebných na zabezpečenie účelu ich spracovania pre jednotlivé informačné systémy

1. Informačný systém – sporová agenda

– meno, priezvisko, rodné meno,

– dátum narodenia,

– bydlisko: názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, poštové smerovacie číslo, názov okresu a názov štátu,

– rodné číslo,

– (uviesť všetky tie osobné údaje, ktoré sú potrebné v rámci súdneho konania).

2. Informačný systém – personálna a mzdová agenda 

– meno a priezvisko,

– rodné číslo,

– dátum a miesto narodenia,

– bydlisko: názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, poštové smerovacie číslo, názov okresu a názov štátu,

– národnosť,

– rodinný stav,

– rodinní príslušníci,

– štátna príslušnosť,

– dosiahnuté vzdelanie,

– pracovná prax – priebeh predchádzajúcich zamestnaní,

– číslo občianskeho preukazu a pod.

3.  Informačný systém – evidencia kontateľov:

– meno, priezvisko, rodné meno,

– dátum narodenia,

– bydlisko: názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, poštové smerovacie číslo, názov okresu a názov štátu,

– štátna príslušnosť,

– ak ide o konateľa – právnickú osobu, obchodné meno, sídlo spoločnosti, adresa, IČO.

4.  Informačný systém – eshop:

– meno,

– priezvisko,

– email,

– telefón,

– adresa doručenia: názov ulice, orientačné, prípadne súpisné číslo domu, názov obce, poštové smerovacie číslo, názov kraja a názov štátu,

– fakturačná adresa,

– heslo.

IV. Okruh zamestnancov oprávnených na získavanie, spracovávanie a likvidáciu osobných údajov

Okruh zamestnancov oprávnených na získavanie, spracovávanie a likvidáciu osobných údajov v rámci jednotlivých informačných systémov osobných údajov v s.r.o. tvoria osoby, ktoré majú schválené žiadosti o vytvorenie prístupu do jednotlivých informačných systémov v zmysle platnej smernice o prideľovaní, modifikácii a rušení prístupu do IS.

V. Záväzné pravidlá spracovávania osobných údajov

Pri získavaní a spracovávaní osobných údajov sú zamestnanci povinní dodržiavať nasledovné záväzné pravidlá:

1. Pri získavaní osobných údajov do jednotlivých informačných systémov osobných údajov v rámci s.r.o. vyžadovať od fyzických osôb len tie osobné údaje, ktoré sú potrebné pre účel ich spracovávania v rozsahu uvedenom v čl. III tejto smernice.

2. Získavať osobné údaje môže len ten zamestnanec s.r.o., ktorý v rámci pracovnej zmluvy a náplne práce spracováva osobné údaje fyzických osôb (ďalej len „oprávnená osoba“).

3. Pri získavaní a spracovávaní osobných údajov je oprávnená osoba povinná zabezpečiť ochranu osobných údajov tak, že získavať a spracovávať osobné údaje môže len v prítomnosti oprávnených osôb. V prípade, ak v mieste získavania alebo spracovávania osobných údajov sa nachádza aj ďalšia neoprávnená osoba, je oprávnená osoba povinná prijať opatrenia na to, aby tieto údaje nemohli byť známe tejto neoprávnenej osobe a zabrániť tomu, aby táto neoprávnená osoba mohla do písomností obsahujúcich osobné údaje nahliadnuť a pod.

4. Pred opustením alebo vzdialením sa z pracoviska je oprávnená osoba povinná vypnúť informačný systém osobných údajov v PC, aby k nemu bez zadania stanoveného hesla nemala prístup iná osoba ako tá, ktorá má schválený prístup do IS.

5. Pred opustením alebo vzdialením sa z pracoviska je oprávnená osoba povinná spisové materiály, ktoré obsahujú osobné údaje (informačný systém v manuálnej podobe), uložiť do uzamykateľnej skrine a túto uzamknúť, aby k nim nemala prístup iná neoprávnená osoba, vypnúť automatizovaný informačný systém v PC a uzamknúť miestnosť, v ktorej sa tieto IS nachádzajú. Je zakázané ponechať spisové materiály obsahujúce osobné údaje alebo zapnutý informačný systém osobných údajov v jeho automatizovanej podobe bez dozoru oprávnenej osoby. Za tým účelom sú jej vydané kľúče, ktoré má so sebou, zakazuje sa jej tieto požičiavať inej neoprávnenej osobe.

6. Údajová základňa pre jednotlivé podsystémy je na doménovom serveri. Prístup k údajom je na základe schválených žiadostí o zriadenie prístupu. Prístup je administrátor povinný zabezpečiť menom a heslom vstupu do domény a tento pravidelne štvrťročne obmieňať.

7. Administrátor je povinný údajovú základňu raz do mesiaca zálohovať na CD nosičoch.

8. Prístup môže byť udelený zamestnancom len v súlade s príslušnou smernicou o prideľovaní, modifikácii a rušení prístupov do IS.

9. V prípade straty kľúčov alebo straty hesla je oprávnená osoba povinná bezodkladne informovať priameho nadriadeného a administrátora a zabezpečiť výmenu zámkov a výmaz hesla, aby nemohlo dôjsť k ich zneužitiu inou neoprávnenou osobou.

10. Zamestnanci zabezpečujúci upratovanie priestorov, kde sa informačné systémy osobných údajov nachádzajú, boli poučení o právach a povinnostiach v zmysle zákona č. 122/2013 Z. z. a o povinnosti mlčanlivosti. V prípade zistenia písomností alebo iných skutočností obsahujúcich osobné údaje v upratovaných priestoroch sú tieto osoby povinné ich zabezpečiť pred zneužitím inou osobou a túto skutočnosť bezodkladne nahlásiť priamemu nadriadenému.

11. Pri získavaní osobných údajov je oprávnená osoba ­povinná informovať dotknutú osobu (t. j. tú fyzickú osobu, od ktorej osobné údaje získava) o účele, na ktorý budú osobné údaje slúžiť, a o tom, že tieto budú poskytnuté sprostredkovateľovi. V prípade, ak s.r.o. poverila spracovávaním sprostredkovateľa až po získaní osobných údajov, oprávnená osoba v lehote najneskôr troch mesiacov to oznámi dotknutým osobám. Tiež je povinná informovať dotknutú osobu o právnom základe získavania osobných údajov, napr. Obchodný zákonník, Občiansky zákonník, Zákonník práce v znení neskorších predpisov a pod.

12. Ak sú spracovávané osobné údaje súčasťou platnej zmluvy, ktorej jednou zo strán je do­tknutá osoba, podpis dotknutej osoby na zmluve vyjadruje súčasne jej písomný súhlas so spracovávaním osobných údajov.

13. Oprávnená osoba pri získavaní osobných údajov je povinná overiť si správnosť a aktuálnosť osobných údajov.
Oprávnená osoba kontroluje a overuje správnosť a aktuál­nosť osobných údajov po ich získaní a zaradení v ­informačnom systéme osobných údajov.
Pri informačnom systéme sporová agenda sa vzhľadom na jednorazovosť použitia osobných údajov aktuálnosť a pravdivosť osobných údajov po ich overení pri ich získavaní ďalej nekontroluje a neoveruje.

14. Spoločnosť s ručením obmedzeným povinne poučí oprávnené osoby o právach a povinnostiach pri získavaní, spracovávaní a likvidácii osobných údajov v súlade so zákonom č. 122/2013 Z. z. a o povinnosti mlčanlivosti o osobných údajoch, o ktorých sa v rámci svojej činnosti dozvedeli. Spoločnosť s ručením obmedzeným zabezpečí poučenie sprostredkovateľa o povinnosti mlčanlivosti o osobných údajoch, ktoré mu odstúpi na spracovanie, stanoví účel, na ktorý ich môže použiť, a spôsob ich vrátenia a. s. po skončení účelu, na ktorý boli sprostredkovateľovi poskytnuté, a to v poverení alebo v zmluve.

15. Opravu alebo likvidáciu osobných údajov oznámi oprávnená osoba v lehote 30 dní od ich vykonania dotknutej osobe.

16. Získavať osobné údaje nevyhnutné na dosiahnutie účelu spracovávania kopírovaním, skenovaním alebo iným zaznamenávaním úradných dokladov na nosič informácií možno len vtedy, ak s tým dotknutá osoba písomne ­súhlasí alebo ak to výslovne umožňuje osobitný zákon (napr. fotokópie občianskeho preukazu a pod.).

17. Ak s.r.o. získava osobné údaje na účely identifikácie fyzickej osoby pri jej jednorazovom vstupe do jej priestorov, je poverený zamestnanec oprávnený od nej požadovať meno, priezvisko, titul a číslo občianskeho preukazu alebo číslo služobného preukazu, alebo číslo cestovného dokladu, štátnu príslušnosť a preukázanie pravdivosti poskytnutých osobných údajov predkladaným dokladom.

18. Zakazuje sa, aby zamestnanci s.r.o. získavali osobné údaje fyzických osôb pod zámienkou iného účelu alebo inej činnosti než účelu, na ktorý sú získavané.

19. Spracúvať osobné údaje, ktoré odhaľujú rasový či etnický pôvod, politické názory, náboženskú vieru alebo svetonázor, členstvo v politických stranách alebo politických hnutiach, údaje týkajúce sa zdravia alebo pohlavného ­života sa v podmienkach s.r.o. zakazuje.

20. Údaje o členstve v odborových organizáciách môžu byť v s.r.o. získavané len so súhlasom dotknutej osoby, a to len v rámci personálnej agendy, resp. PaM k plateniu členských príspevkov.

21. Pri spracovávaní osobných údajov možno využiť na účely určenia fyzickej osoby všeobecne použiteľný identifikátor (rodné číslo) len vtedy, ak jeho použitie je nevyhnutné na dosiahnutie daného účelu spracovávania a len v tých IS, v ktorých je to touto smernicou umožnené. Zverejňovať tento identifikátor sa zakazuje.

22. Oprávnená osoba zabezpečí likvidáciu tých osobných údajov, ktoré sa nedajú opraviť alebo doplniť tak, aby boli správne a aktuálne.

23. Poskytovať osobné údaje z informačných systémov osobných údajov môže len oprávnená osoba, a to dotknutej osobe alebo sprostredkovateľovi. Poskytovať osobné údaje na telefonickú otázku sa zakazuje. Pri písomnom styku sa podpis na korešpondencii porovná s podpisom dotknutej osoby v materiáloch príslušného IS.

24. Oprávnená osoba môže poskytnúť osobné údaje z informačného systému osobných údajov aj kontrolnej komisii na jej písomné požiadanie s uvedením účelu, na ktorý sú údaje potrebné. Údaje poskytuje na podpis a podpisom potvrdzuje vrátenie písomností obsahujúcich osobné údaje.

25. Kontrolná komisia je povinná pri svojej činnosti dodržiavať stanovené pravidlá ochrany osobných údajov, je povinná zachovávať o nich mlčanlivosť a nesie zodpovednosť za ich zneužitie po poskytnutí jej týchto údajov.

26. Kontrolná komisia po skončení účelu, na ktorý jej boli osobné údaje poskytnuté, je povinná cestou osoby poverenej dozorom na ochranu osobných údajov zabezpečiť likvidáciu jej poskytnutých  výpisov, resp. kópií. V prípade, ak jej boli poskytnuté originály, tieto na podpis ihneď vráti oprávnenej osobe.

27. Od miestností, kde sa nachádzajú informačné systémy, sú vyhotovené 3 ks kľúčov, z ktorých jeden sa pridelí oprávnenej osobe, jeden upratovačke a jeden je uložený v trezore u konateľa s.r.o. Vstup do objektu, kde sa nachádzajú IS osobných údajov, v mimopracovnej dobe je možný len na povolenie priameho nadriadeného, prípadne konateľa s.r.o. a o prítomnosti sa vedie záznam. Povolenie sa vydáva v ústnej forme.

28. Kľúče od trezoru, registračných pokladníc a skríň, kde sa nachádzajú uložené IS osobných údajov, sú vydané oprávnenej osobe. Rezervný kľúč je uložený v trezore, plechovej skrini a pod. v kancelárii konateľa.

29. Vstup do pracovnej stanice (PC), z ktorej je prístup k danému IS obsahujúcemu osobné údaje, je chránený heslom, ktoré prideľuje administrátor. Uvedené individuálne heslá spravuje administrátor a tieto je povinný ukladať v zapečatenej obálke do trezoru, do plechovej skrine v kancelárii konateľa s.r.o.

30. Kontrolu nad dodržiavaním tejto smernice vykonáva osoba poverená dozorom nad ochranou osobných údajov v s.r.o. a konateľ s.r.o. v štvrťročných intervaloch, priamy nadriadený oprávneného pracovníka a administrátor priebežne.

31. Výsledok kontroly sa zapíše do knihy kontrol, ktorú je povinná viesť osoba poverená dohľadom nad ochranou osobných údajov v s.r.o.

VI. Likvidácia osobných údajov

1. Oprávnená osoba po splnení účelu spracovávania osobných údajov zabezpečí bezodkladne za účasti osoby ­poverenej dohľadom nad ochranou osobných údajov v s.r.o. likvidáciu tých osobných údajov, u ktorých bol účel ich spracovávania splnený.

2. Osobné údaje získané od budúcich potenciálnych ­zamestnancov pred prijatím do pracovného pomeru oprávnená osoba bez prieťahov vráti späť doporučenou zásielkou do vlastných rúk s návratkou. Podpísaná návratka je dokladom o zlikvidovaní osobných údajov.

3. O likvidácii osobných údajov sa vyhotoví písomný ­záznam, ktorý podpíše oprávnená osoba a osoba poverená dozorom nad ochranou osobných údajov v s.r.o. Záznam obsahuje len anonymné údaje (napr. evidenčné číslo a pod.).

4. Oprávnené osoby a osoba poverená dohľadom nad ochranou osobných údajov v s.r.o. sú povinné pri likvidácii osobných údajov vykonať ich likvidáciu tak, aby tieto údaje sa stali nečitateľnými a nemohli byť zneužité inou neoprávnenou osobou, napr. pri automatizovanom spracovaní ich vymazaním z dát súboru informačného systému, pri manuálnej podobe ich skartovaním.

………………………………………………………………………………………..

podpis štatutárneho orgánu spoločnosti s ručením obmedzeným Ladislav Derzsi AUTOTECHNIKA