S cílem usnadnit uživatelům používat naše webové stránky využíváme cookies. Používáním našich stránek souhlasíte s ukládáním souborů cookie na vašem počítači / zařízení. Nastavení cookies můžete změnit v nastavení vašeho prohlížeče.

naše cena Kč 55
skladem
naše cena Kč 399
skladem
naše cena Kč 349
skladem

SMĚRNICE OOÚ

  
SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

SPOLEČNOSTI
CF Agency, s.r.o.



1. ÚVODNÍ USTANOVENÍ
1.1 Společnost CF Agency, s.r.o., se sídlem Čermákova 567/18, 625 00 Brno, IČO: 056 10 877 , zapsaná v obchodním rejstříku vedeném Krajským soudem v Brně, spisová značka C 96721 (dále jen Společnost).
1.2 V rámci činnosti Společnosti dochází ke zpracování osobních údajů zákazníků, obchodních partnerů a zaměstnanců.
1.3 Společnost je správcem osobních údajů.
1.4 Zpracovatelem osobních údajů je společnost


2. ÚČEL
2.1 Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů ve Společnosti. Tato směrnice je jedním z organizačních opatření ochrany osobních údajů ve smyslu článku 32 Nařízení GDPR.
2.2 Směrnice pro ochranu osobních údajů upravuje technicko-organizační opatření k zajištění ochrany osobních údajů v souladu s platnou a účinnou legislativou v této oblasti, zejména, nikoliv však výlučně zákonem č. 101/2000 Sb., o ochraně osobních údajů, ve znění pozdějších předpisů a Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů), s cílem zajištění zpracování osobních údajů v souladu s touto legislativou a principy, na kterých je vystavěná.

3. PŮSOBNOST
3.1 Tato směrnice se vztahuje na každého pracovníka Společnosti (dále jen Zaměstnanec) a další Oprávněné osoby, které zpracovávají osobní údaje nebo plní jinou činnost, která je upravena v Nařízení GDPR.
3.2 Každý Zaměstnanec, jehož se tato směrnice dotýká, bude proškolen na ochranu osobních údajů dle této směrnice a proškolení své osoby stvrdí podpisem.

4. DEFINICE POJMŮ A ZKRATEK
4.1 Pro účely této směrnice mají uvedené pojmy následující význam:
4.1.1 Automatizované zpracování je zejména:4.1.1.1 ukládání informací na nosiče dat,4.1.1.2 provádění logických nebo aritmetických operací s těmito daty, zejména jejich změna, výmaz, vyhledávání nebo rozšiřování uskutečňované zcela nebo zčásti pomocí automatizovaných postupů,4.1.1.3 provádění archivace informací jejich uložením na archivační paměťová média a v případě potřeby obnovení informací z archivních médií.
4.1.2 Dozorový úřad je Úřad pro ochranu osobních údajů (sídlo Pplk.Sochora 27, 170 00, Praha 7, webové stránky www.uoou.cz).
4.1.3 DPIA je posouzení vlivu na ochranu osobních údajů (anglicky Data Protection Impact Assessment), to znamená posouzení, jakým způsobem může zpracování osobních údajů zasáhnout do svobod a práv lidí.
4.1.4 DPO je pověřenec pro ochranu osobních údajů (anglicky Data Protection Officer), hlavním úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi, které z Nařízení GDPR plynou.
4.1.5 ICT jsou informační a komunikační technologie.
4.1.6 Manuální zpracování je jakékoliv zpracování s výjimkou zpracování automatizovaného (např. zpracování v listinné podobě, kartotéky, spisy, archiv).
4.1.7 Nařízení GDPR je Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
4.1.8 Oprávněná osoba je:4.1.8.1 Zaměstnanec, který v rámci plnění povinností plynoucích mu z pracovní náplně má přístup k osobním údajům a dále je zpracovává, a4.1.8.2 osoba, fyzická nebo právnická, která má na základě smluvního vztahu Společností povolený přístup k osobním údajům (externí pracovník, dodavatel, apod.).
4.1.9 Osobní údaj je jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě (tj. subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
4.1.10 Osobní údaj zvláštní kategorie je osobní údaj vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
4.1.11 Profilování je jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, chování, místa, kde se nachází, nebo pohybu.
4.1.12 Příjemce je každý subjekt, kterému jsou osobní údaje zpřístupněny. Za příjemce se nepovažuje subjekt, který:4.1.12.1 zpracovává osobní údaje pro potřeby výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci,4.1.12.2 v případech veřejného pořádku a vnitřní bezpečnosti,4.1.12.3 pro předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů,4.1.12.4 pro významný hospodářský a finanční zájem České republiky nebo Evropské unie.
4.1.13 Souhlas subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
4.1.14 Správce je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování.
4.1.15 Subjekt údajů je každá fyzická osoba, včetně osob samostatně výdělečně činných.
4.1.16 Zpracovatel osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
4.1.17 Zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

5. ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
5.1 Statutární orgán nebo jím výslovně pověřená osoba určuje účel/y a prostředky zpracování osobních údajů pro každou evidenci ve Společnosti. Tyto osoby dále určí dobu, po kterou bude každý osobní údaj zpracováván, nebo kritéria, pomocí kterých půjde tato doba určit. Osobní údaje jsou zpracovávány po dobu určenou právními předpisy nebo po dobu trvání licence ke zpracovávání osobních údajů správcem.
5.2 Zaměstnanci jsou povinni zpracovávat osobní údaje ve vztahu k subjektu údajů korektně a zákonným způsobem.
5.3 Každý Zaměstnanec smí zpracovávat osobní údaje pouze pro účely určené Společností, a pouze při použití Společností určených prostředků.
5.4 Zaměstnanci jsou oprávněni zpracovávat osobní údaje pouze v souladu s pokyny Společnosti. Zaměstnanci smí zpracovávat pouze osobní údaje nezbytné pro plnění svých povinností vůči Společnosti. Společnost za tímto účelem umožňuje Zaměstnancům přístup pouze k nezbytně nutným evidencím osobních údajů.
5.5 Má-li Zaměstnanec podezření, nebo dozví-li se, že jsou osobní údaje jakéhokoliv subjektu údajů nepřesné, neúplné či zastaralé, ohlásí to nadřízenému Zaměstnanci Společnosti nebo Zaměstnanci Společnosti, který s oprávněnou osobou za Společnost jedná.
5.6 Má-li Zaměstnanec podezření, nebo dozví-li se, že jsou osobní údaje zpracovávány déle, než je nezbytné pro účely, pro které jsou zpracovávány, ohlásí to nadřízenému Zaměstnanci Společnosti nebo Zaměstnanci Společnosti, který s oprávněnou osobou za Společnost jedná.

6. PŘED ZAČÁTKEM ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
6.1 Účely (důvody) zpracování osobních údajů v jednotlivých agendách vychází ze zvláštních zákonů, nebo jsou osobní údaje zpracovávány na základě rozhodnutí správce.
6.2 Ke každému účelu zpracování musí být přiřazen právní titul, mezi které patří:6.2.1 souhlas subjektu údajů se zpracováním osobních údajů,6.2.2 plnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo opatření přijatá před uzavřením smlouvy na žádost tohoto subjektu údajů,6.2.3 plnění právní povinnosti Společnosti,6.2.4 zpracování nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,6.2.5 plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci,6.2.6 účely oprávněných zájmů Společnosti nebo třetí strany.

7. INFORMAČNÍ POVINNOST
7.1 Při shromažďovaní osobních údajů přímo od subjektu údajů musí být subjekt údajů, ke kterému se osobní údaje vztahují, informován nejpozději v okamžiku získávání jeho osobních údajů o:7.1.1 totožnosti a kontaktních údajích správce a jeho případného zástupce,7.1.2 kontaktních údajích případného DPO Společnosti,7.1.3 účelech zpracování, pro které jsou osobní údaje určeny, a o právních základech pro zpracování,7.1.4 oprávněných zájmech Společnosti nebo třetí strany v případě, že je zpracování založeno na tomto právním titulu,7.1.5 případných příjemcích nebo kategorií příjemců osobních údajů,7.1.6 případném úmyslu Společnosti předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo odkazu na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny,7.1.7 době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, o kritériích použitých pro stanovení této doby,7.1.8 existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,7.1.9 pokud je zpracování založeno na souhlasu nebo výslovném souhlasu, o existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,7.1.10 existenci práva podat stížnost u dozorového úřadu,7.1.11 skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, a zda má subjekt údajů povinnost osobní údaje poskytnout, a ohledně možných důsledků neposkytnutí těchto údajů,7.1.12 skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
7.2 Při shromažďovaní osobních údajů jiným způsobem než od subjektu údajů, musí být subjekt osobních údajů, k němuž se osobní údaje vztahují, informován nejpozději v okamžiku první komunikace se subjektem údajů nebo při prvním zpřístupnění jeho osobních údajů, v každém případě však do 1 měsíce, o:7.2.1 totožnosti a kontaktních údajích správce a jeho případného zástupce,7.2.2 kontaktních údajích případného DPO Společnosti,7.2.3 účelech zpracování, pro které jsou osobní údaje určeny, a o právních základech pro zpracování,7.2.4 kategoriích dotčených osobních údajů,7.2.5 případných příjemcích nebo kategorií příjemců osobních údajů,7.2.6 případném úmyslu Společnosti předat osobní údaje do třetí země nebo mezinárodní organizaci a existenci či neexistenci rozhodnutí Komise o odpovídající ochraně nebo odkazu na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny,7.2.7 době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, o kritériích použitých pro stanovení této doby,7.2.8 oprávněných zájmech Společnosti nebo třetí strany v případě, že je zpracování založeno na tomto právním titulu,7.2.9 existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i práva na přenositelnost údajů,7.2.10 pokud je zpracování založeno na souhlasu nebo výslovném souhlasu, o existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,7.2.11 existenci práva podat stížnost u dozorového úřadu,7.2.12 zdroji, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů,7.2.13 skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
7.3 Informační povinnost dle tohoto článku plní oprávněné osoby shromažďující osobní údaje od subjektů údajů.
7.4 Subjekty osobních údajů jsou informování formou dokumentu přístupném na webových stránkách.

8. VYŘIZOVÁNÍ ŽÁDOSTÍ SUBJEKTŮ ÚDAJŮ
8.1 Základní zásady vyřizování žádosti:
8.1.1 Společnost přijímá žádosti subjektů údajů v elektronické podobě (zaslané e-mailem) nebo v listinné podobě (zaslané v písemné podobě na adresu sídla Společnosti). V případě, že se subjekt údajů obrátí na Společnost se žádostí ve věci výkonu svých práv v ústní formě telefonicky nebo osobně, příslušný Zaměstnanec subjekt údajů informuje o možnosti zformulovat svoji žádost elektronicky; v případě, že subjekt trvá na vyřízení žádosti telefonicky nebo ústně, žádost bude vyřízena tímto způsobem a evidovaná do informačního systému Společnosti.
8.1.2 Žádosti mohou být Společnosti zaslané i jí určeným zpracovatelem, odpovědnost za vyřízení takových žádostí má však vždy Společnost.
8.1.3 Společnost bude nakládat s přijatou žádostí dle postupu níže v případě, že:8.1.3.1 se žádost týká osobních údajů a/nebo jejich zpracování,8.1.3.2 v žádosti se uvádí požadavek na výkon práv subjektu údajů dle Právních předpisů v oblasti ochrany osobních údajů, nebo8.1.3.3 se v žádostí uvádí, že je spojena s Právními předpisy v oblasti ochrany osobních údajů.
8.2 Postup při vyřizování žádosti subjektu údajů:
8.2.1 Zaměstnanec, který obdržel v jakékoliv formě (písemně, telefonicky, osobně) jakoukoliv žádost či stížnost fyzické osoby, která se týká nebo by se mohla týkat ochrany osobních údajů, zejména žádosti ve smyslu článků 15-22 Nařízení GDPR, oznámí tuto skutečnost příslušné pověřené osobě, kterou je Saeed Khan, jednatel společnosti Chanar s.r.o.
8.2.2 Ověření identity subjektu údajů – aby bylo zajištěno jednání s konkrétní dotčenou osobou, a to nejen v případě, že je žádost podaná zmocněncem subjektu údajů. Ověření bude prováděno vždy přiměřeným způsobem, který zaručí dostatečnou identifikaci subjektu údajů s ohledem na formu podání, využitý komunikační prostředek a obsah žádosti subjektu údajů.
8.2.3 Vyjasnění žádosti a jejího předmětu – v případě, že ze žádosti není zřejmé, čeho se subjekt údajů dožaduje, nebo jsou v žádosti obsažené chybné informace, jejichž správné znění je však potřebné pro její vyřízení, subjekt údajů bude vyzván k její upřesnění.
8.2.4 Posouzení žádosti – pověřená osoba posoudí, zda má subjekt údajů právo na výkon daného práva a zda neexistuje výjimka, která by tento výkon znemožňovala.
8.2.5 Vyřízení žádosti:8.2.5.1 Zamítnutí žádosti – k zamítnutí žádosti dochází ve chvíli, kdy subjekt údajů není oprávněn vykonat požadované právo nebo existuje výjimka, kvůli které tento výkon není možný. V odůvodnění zamítavé odpovědi na žádost musí být uvedeny důvody zamítnutí a informace o možnosti podat stížnost u dozorového úřadu a vyřízení záležitosti soudní cestou.8.2.5.2 Vyhovění žádosti – k vyhovění žádosti dochází ve chvíli, kdy je subjekt údajů oprávněn vykonávat svoje právo a neexistuje výjimka, která by mu v tom bránila.
8.2.6 Subjekt údajů musí být informován o krocích, které byly podniknuty v souvislosti s vyřizováním jeho žádosti bez zbytečného odkladu a nejpozději do 1 měsíce od jejího podání. V případě větší složitosti záležitosti nebo většího počtu žádosti či námitek podaných subjektem údajů během 1 měsíce, může být lhůta pro vyřízení prodloužena o 2 měsíce. O prodloužení lhůty musí být subjekt údajů informován, včetně důvodů pro tento odklad. Odpověď bude subjektu údajů podána ve stejné formě, v jaké byla podána jeho žádost, pokud nebude dohodnuto jinak.
8.2.7 Vyřizování žádosti se činí bezplatně. Pokud jsou žádosti subjektem údajů podané zjevně nedůvodně nebo nepřiměřeně, zejména pokud se opakují, může Společnost účtovat za vyřízení žádosti přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo s učiněním požadovaných úkonů, případně může odmítnou žádosti vyhovět. Zjevnou nedůvodnost nebo nepřiměřenost žádosti musí být Společnost schopna dokázat.
8.2.8 V případě, že neexistuje pokyn Společnosti k řešení konkrétního požadavku, vyžádá si příslušná pověřená osoba pokyn od statutárního orgánu Společnosti, konkrétně od Saeeda Khana, jednatele společnosti CF Agency, s.r.o. 
8.2.9 Uchování požadavků a odpovědí bude realizováno tak, že příslušná pověřená osoba, kterou je Saeed Khan, jednatel společnosti CF Agency,  s.r.o., a která vyřizovala požadavek, zajistí ihned po vyřízení každého jednotlivého požadavku soubor všech relevantních dostupných informací a podkladů dokumentujících podání požadavku a jeho vyřízení a zajistí uchování souboru. Soubor se uchovává v písemné formě a/nebo v elektronické formě v uzavřeném nepřepisovatelném formátu, v zabezpečeném úložišti v sídle Společnosti s omezeným přístupem a je přístupný pouze statutárnímu orgánu Společnosti a kontrolnímu orgánu Společnosti, pokud je zřízen, jiným osobám je přístupný pouze na základě svolení statutárního orgánu Společnosti.
8.3 Postupy ohledně jednotlivých práv subjektů údajů:
8.3.1 Právo na přístup:8.3.1.1 V obdržené žádosti o uplatnění práva na přístup se identifikuje jeden z následujících předmětů žádosti:8.3.1.1.1 potvrzení, zda jsou nebo nejsou Společností zpracovávané osobní údaje daného subjektu údajů,8.3.1.1.2 informace o tom, jak jsou osobní údaje subjektu údajů zpracovávány,8.3.1.1.3 přehled veškerých nebo určitých osobních údajů, které jsou o subjektu údajů zpracovávány.8.3.1.2 Toto právo je nepodmíněné a nejsou zde žádné výjimky, takže se žádosti musí vyhovět, přičemž se musí brát ohled na práva a svobody třetích osob, které by mohly být dotčeny poskytnutím vyžádaného přehledu. V případě dotazů či nejasností prosím kontaktujte Saida Khana, jednatele společnosti CF Agency, s.r.o.8.3.1.3 Splnění práva na přístup bude zajištěno procesem: příjetí e-mailu nebo dopisu a odeslání odpovědi ve stejné formě.8.3.1.4 Za splnění práva na přístup je odpovědný Saeed Khan, jednatel společnosti CF Agency, s.r.o.
8.3.2 Právo na opravu:8.3.2.1 Osobní údaje zpracovávané Společností musí být úplné, správné a aktuální. Na základě žádosti subjektu údajů se do všech systémů Společnosti a jí pověřených zpracovatelů či příjemců vloží opravené nebo doplněné údaje a ty budou použity při všech dalších zpracováních.8.3.2.2 Pokud je v žádosti subjektů údajů obsažen také požadavek na omezení zpracování po dobu, než bude oprava údajů provedena a takové opatření je nezbytné pro ochranu práv a svobod subjektu údajů, dojde k přerušení zpracování osobních údajů po dobu, kdy probíhá jejich oprava. V případě dotazů či nejasností prosím kontaktujte Saeeda Khana, jednatele společnosti CF Agency, s.r.o.8.3.2.3 Splnění práva na opravu bude zajištěno procesem: příjetí e-mailu nebo dopisu a odeslání odpovědi ve stejné formě.8.3.2.4 Za splnění práva na přístup je odpovědný Saeed Khan, jednatel společnosti CF Agency, s.r.o.
8.3.3 Právo na výmaz (právo být zapomenut):8.3.3.1 Subjekt údajů je oprávněn požadovat výmaz jen za určitých podmínek, a to když:8.3.3.1.1 osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány,8.3.3.1.2 subjekt údajů odvolá souhlas, na jehož základě byly údaje zpracovány, a neexistuje žádný další právní důvod pro zpracování8.3.3.1.3 subjekt údajů vznese námitku proti zpracování a neexistují žádné převažující oprávněné důvody Společnosti pro zpracování,8.3.3.1.4 osobní údaje byly zpracovány protiprávně,8.3.3.1.5 osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Evropské unie nebo České republiky,8.3.3.1.6 osobní údaje byly neprávem shromážděny v souvislosti s nabídkou služeb informační společnosti dítěti.8.3.3.2 Každá žádost musí být individuálně posouzena, zda jsou podmínky splněny a zda se neuplatní žádné výjimky, na základě, kterých musí být určité osobní údaje i přes žádost o výmaz zpracovávány (např. k plnění zákonné povinnosti). V případě dotazů či nejasností prosím kontaktujte Saeeda Khana, jednatele společnosti Chanar, s.r.o.8.3.3.3 V případě, že Společnosti vyhodnotí, že požadované údaje lze vymazat, uvědomí o této skutečnosti i všechny ostatní zpracovatelé a zajistí, aby ani tito zpracovatelé již předmětné osobní údaje nezpracovávali.8.3.3.4 Splnění práva na výmaz bude zajištěno procesem: příjetí e-mailu nebo dopisu, výmazu všech osobních údajů ze všech míst zpracovávání a odeslání odpovědi ve stejné formě.8.3.3.5 Za splnění práva na výmaz je odpovědný Saeed Khan, jednatel společnosti CF Agency, s.r.o.
8.3.4 Právo na omezení zpracování:8.3.4.1 Omezení zpracování je dočasné opatření, o které může subjekt údajů žádat v případě:8.3.4.1.1 že zpracování je protiprávní, subjekt údajů odmítá výmaz a žádá místo něho omezení,8.3.4.1.2 aby se aplikovalo během vyřizování žádosti na opravu nebo vznesení námitky subjektu údajů proti zpracování (subjekt údajů popírá přesnost údajů),8.3.4.1.3 jako ochrana proti vymazání osobních údajů, ke kterému by jinak došlo (např. subjekt vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody Společnosti převažují nad důvody subjektů dat).8.3.4.2 Za některých podmínek můžou být osobní údaje, u kterých je zpracování omezeno, zpracovány pro určité účely, např.: ochrana právních zájmů nebo zpracování se souhlasem subjektu. V případě dotazů či nejasností prosím kontaktujte Saida Khana, jednatele společnosti CF Agency, s.r.o.8.3.4.3 Splnění práva na omezení zpracování bude zajištěno procesem: příjetí e-mailu nebo dopisu, omezení zpracování všech osobních údajů na všech místech zpracovávání a odeslání odpovědi ve stejné formě.8.3.4.4 Za splnění práva na výmaz je odpovědný Saeed Khan, jednatel společnosti CF Agency, s.r.o.
8.3.5 Právo na přenositelnost:8.3.5.1 Právo na přenositelnost může subjekt údajů uplatnit v případě, že je zpracování založeno na právním důvodu uděleného souhlasu a pro účely uzavření a plnění smlouvy a zároveň když je zpracování prováděno automatizovaně. Výjimkou je zpracování nezbytné ve veřejném zájmu nebo při výkonu veřejné moci.8.3.5.2 Osobní údaje (poskytnuty Společnosti subjektem údajů nebo vytvořeny na základě požadavků subjektu údajů) budou poskytnuty ve strojově čitelném formátu (např. XML).8.3.5.3 Subjekt údajů může rovněž požádat o předání těchto osobních údajů jinému správci, a to bez souhlasu Společnosti.8.3.5.4 Přenos osobních údajů se uskuteční v takové formě, která minimalizuje bezpečnostní rizika (např. za využití šifrování).8.3.5.5 Pokud byly vyžádané osobní údaje předány subjektu údajů, oznámení subjektu údajů se podá jen v případě, že došlo k omezením v důsledku např. dopadu na práva třetích osob.8.3.5.6 Splnění práva na přenositelnost bude zajištěno procesem: příjetí e-mailu nebo dopisu, zpracování osobních údajů do formy, kterou je možné předat (e-mail - zip složka ve formátu xls, pošta - dopis s CD s daty ve formátu xls) a odeslání dat subjektu údajů, případně určenému správci.8.3.5.7 Za splnění práva na výmaz je odpovědný Saeed Khan, jednatel společnosti CF Agency, s.r.o.
8.3.6 Právo vznést námitku:8.3.6.1 Prvním krokem ke zpracování námitky je zjištění, zda je podávána proti zpracování osobních údajů týkající se Společnosti, resp. pro marketingové účely, oprávněné zájmy Společnosti nebo zda jde o zpracování ve veřejném zájmu nebo pro vědecké či statistické účely týkající se jedinečné situace subjektu údajů.8.3.6.2 Právo vznést námitku proti zpracování pro účely přímého marketingu je nepodmíněné a námitce se musí vždy vyhovět, přičemž není podstatné, na jakém právním důvodu se toto zpracování zakládá.8.3.6.3 Každá žádost musí být individuálně posouzena, zda jsou podmínky splněny a zda se neuplatní žádné výjimky. V případě dotazů či nejasností prosím kontaktujte Saeeda Khana, jednatele společnosti CF Agency, s.r.o.8.3.6.4 Po vyhovění žádosti nesmí být osobní údaje používány pro dané účely (marketing, oprávněný zájem, statistika, výzkum) a budou v souladu s principem minimalizace vymazány. Pokud jsou dané osobní údaje zpracovávány pro jiné účely, toto zpracování může probíhat i nadále.8.3.6.5 Splnění práva vznést námitku bude zajištěno procesem: příjetí e-mailu nebo dopisu, posouzení oprávněnosti námitky, odeslání odpovědi ve stejné formě, případné zastavení zpracování osobních údajů.8.3.6.6 Za splnění práva vnést námitku je odpovědný Saeed Khan, jednatel společnosti CF Agency, s.r.o.
8.3.7 Oznámení subjektům údajů ohledně výmazu, opravy nebo omezení zpracování:8.3.7.1 V případě vyhovění výkonu výše uvedených práv, musí být zpracovatelé a jiní příjemci osobních údajů informováni o jakémkoliv výmazu, opravě nebo omezení zpracování. Zároveň musí být jasně instruováni k podniknutí kroků k danému výmazu, opravě nebo omezení zpracování.

9. HLAVNÍ BEZPEČNOSTNÍ RIZIKA
9.1 Mezi hlavní bezpečnostní rizika, které hrozí při zpracování osobních údajů ve Společnosti patří zejména:9.1.1 zničení nebo zneužití technických prostředků,9.1.2 přístup neoprávněných osob k osobním údajům,9.1.3 zneužití záznamů ohledně osobních údajů oprávněnými osobami,9.1.4 živelní událost,9.1.5 odcizení dokumentů, které obsahují osobní údaje - cizí osobou nebo zaměstnancem,9.1.6 odcizení osobních údajů při předávání ke zpracování účetní.

10. POSOUZENÍ RIZIK BEZPEČNOSTI OSOBNÍCH ÚDAJŮ
10.1 V rámci Společnosti je definován proces posuzování rizik bezpečnosti osobních údajů. Tento proces určuje stanovenou metodiku hodnocení rizik, tj. postupy a kritéria pro posuzování rizik a vyhodnocení identifikovaných rizik.
10.2 Proces posouzení rizik bezpečnosti osobních údajů probíhá následovně: posouzení probíhá formou porady se zaměstnanci, vše se zaznamená a vyhodnotí.
10.3 Posouzení rizik se provádí v pravidelných intervalech, s maximálním rozestupem 3 roky, nebo v případě takových situací, které mají nebo mohou mít vliv na bezpečnost osobních údajů.

11. OŠETŘENÍ RIZIK BEZPEČNOSTI OSOBNÍCH ÚDAJŮ
11.1 V rámci Společnosti je definován proces k ošetření rizik bezpečnosti osobních údajů. Tento proces vybírá vhodné varianty na ošetření identifikovaných rizik s ohledem na výsledky posouzení rizik.
11.2 Proces ošetření rizik bezpečnosti osobních údajů probíhá následovně: dochází především k vyhnutí se riziku (osobní údaje již nejsou zpracovávány), modifikaci riziku (např. se použijí bezpečnější nástroje a postupy pro práci s osobními údajů), akceptaci rizika (pouze v případě, že riziko pro zpracování osobních údajů je zanedbatelné).
11.3 S ohledem na identifikovaná rizika bezpečnosti osobních údajů je:11.3.1 proveden výběr vhodných opatření k ošetření identifikovaných rizik,11.3.2 vytvořen plán pro použití navrhovaných opatření k eliminaci nebo snížení identifikovaných rizik bezpečnosti osobních údajů.

12. PRAVIDLA ŘÍZENÍ PŘÍSTUPU K OSOBNÍM ÚDAJŮM
12.1 Řízení přístupu k prostředkům ICT je prováděno za uplatnění následujících principů, které se uplatňují jak pro Zaměstnance, tak pro externí subjekty jako obchodní partnery a dodavatele, např. zajišťující služby pro Společnost na základě smluvního vztahu:12.1.1 princip minimálního oprávnění, tzn. přidělení pouze takových oprávnění, která jsou nezbytná k plnění jeho pracovních/smluvních povinností,12.1.2 princip pravidelného přezkoumávání přístupových oprávnění,12.1.3 princip revize a změny přístupových oprávnění při změně pracovní pozice či pracovní náplně Zaměstnance nebo změně smluvního vztahu s jinými subjekty,12.1.4 princip odebrání všech přístupových oprávnění při ukončení pracovního/smluvního vztahu.
12.2 Pravidla řízení přístupu se uplatňují pro zaměstnance a externí subjekty, kterým má být umožněn přístup do informačního systému Společnosti.
12.3 Každý zaměstnanec a externí subjekt má přidělen jednoznačný identifikátor. Pro tvorbu identifikátorů jsou stanovena jednotná pravidla v rámci Společnosti. Tato pravidla jsou: identifikátor - heslo je pravidelně, nejméně jednou za rok, změněno.
12.4 Uživatel podá svoji žádost o přidělení přístupových práv stanoveným a formálním způsobem k rukám Saeeda Khana, jednatele společnosti CF Agency, s.r.o.
12.5 Při zjištění porušení pravidel autorizace dochází k okamžitému zablokování přístupových oprávnění.
12.6 Uživatelé jsou odpovědni za autentizační informace (hesla) a jsou povinni zajistit jim řádnou ochranu.

13. ZABEZPEČENÍ PŘÍSTUPU HESLEM
13.1 Systém správy hesel ve Společnosti má za cíl zajištění kvality hesla a způsobů jeho použití při autentizaci uživatele podle potřeb Společnosti pro zajištění zabezpečení přístupu do informačního systému Společnosti. Systém správy hesel zabezpečí mimo jiné požadavky vynucení pravidelné změny hesla uživateli a stanovení parametrů hesel (např. doba platnosti nebo existence stanovených znaků).

14. PRAVIDLA POUŽÍVÁNÍ PROSTŘEDKŮ ICT
14.1 Zaměstnanci pracující s ICT prostředky, které mu byly svěřené Společností, je mohou využívat pouze k výkonu svých pracovních povinností.
14.2 Zaměstnanci mají povinnost chránit svěřené ICT prostředky před ztrátou, poškozením, zničením či zcizením. Zejména jsou povinni uzamykat místnosti s ICT technologií při nepřítomnosti a přiměřeným způsobem chránit přidělené mobilní ICT prostředky.
14.3 V případě, že Zaměstnanec ICT prostředek nemá pod přímou kontrolou (např. při opuštění kanceláře), musí používat základní ochranné prostředky, tj. např. software „uzamykání“ ICT prostředku, nebo jeho vypínání.
14.4 Pro bezpečný vzdálený přístup do ICT prostředí Společnosti je administrátorem ICT prostředků technologicky zajištěna bezpečná cesta se šifrovanou komunikací.

15. BEZPEČNOSTNÍ INCIDENTY - PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
15.1 Základní pravidla řízení bezpečnostních incidentů. Řízení bezpečnostních incidentů a událostí ve Společnosti zahrnuje následující pravidla:15.1.1 Pro oznamování událostí a incidentů, je ve Společnosti určen jednatel, který přijímá oznámení o bezpečnostních událostech a incidentech. Kontaktní informace jednatele případně osob, které ho zastupují v případě jeho nepřítomnosti nebo nedostupnosti jsou Saeed Khan, +420 607 697 712, cf@chanar.cz, zastupující osoba Marie Kudličková, +420 607 697 712. Kontaktní informace jsou uveřejněny také na webové stránce Společnosti www.chanar.cz a jsou sděleny obchodním partnerům a dalším dotčeným stranám elektronicky.15.1.2 Všechny bezpečnostní incidenty jsou následně vyhodnoceny s cílem určit příčinu výskytu incidentu a přijmout nápravné opatření.15.1.3 Postup a opatření ke zvládání bezpečnostního incidentu jsou průběžně dokumentována, veškeré dokumentované informace k bezpečnostnímu incidentu jsou Společností uchovávány. Dokumenty jsou uloženy v počítači majitele firmy, způsobem - je použit registr porušení zabezpečení.
15.2 Postup zvládání bezpečnostních incidentů. Postup při řešení bezpečnostního incidentu zahrnuje následující činnosti:15.2.1 oznámení incidentu např. e-mailem, telefonicky, ústně prostřednictvím kontaktů Zaměstnance, jednatele nebo účetní,15.2.2 pověřený Zaměstnanec, jednatel nebo účetní provede prvotní posouzení a prověření incidentu, jeho kategorizaci, posouzení incidentu a jeho dopadů, stanoví míru závažnosti incidentu,15.2.3 pověřený Zaměstnanec, jednatel nebo účetní navrhne přijetí a Společnost přijme opatření ke zmírnění či eliminaci dopadů incidentu podle odhadnuté závažnosti incidentu a podle aktuálních možností Společnosti rozhodne o přijetí okamžitých protiopatření k eliminaci incidentu a zabránění šíření jeho dopadů,15.2.4 pověřený Zaměstnanec, jednatel nebo účetní provede analýzu a vyhodnocení příčin vzniku incidentu, posouzení slabého místa zabezpečení osobních údajů ve Společnosti a návrh opatření ke zlepšení,15.2.5 následuje projednání události na celopodnikové úrovni a odsouhlasení navržených protiopatření a opatření ke zlepšení, dále se projednají případná preventivní opatření,15.2.6 pověřený Zaměstnanec, jednatel nebo účetní monitoruje realizaci protiopatření a vyhodnocuje jejich účinnost.
15.3 Při kategorizaci bezpečnostních incidentů se zohlední:15.3.1 důležitost dotčených osobních údajů,15.3.2 dopady na poskytované zboží a služby Společností,15.3.3 předpokládané škody a jiné dopady na práva a povinnosti subjektů údajů.
15.4 Pro potřeby zvládání bezpečnostních incidentů se incidenty dělí do následujících kategorií:15.4.1 Kategorie 1:Méně závažná bezpečnostní incident - dochází k méně významnému narušení bezpečnosti osobních údajů. Musí být zamezeno dalšímu šíření bezpečnostního incidentu.15.4.2 Kategorie 2:Závažný bezpečnostní incident - je narušena bezpečnost osobních údajů. Jeho řešení vyžaduje neprodlený zásah k zamezení dalšímu šíření bezpečnostního incidentu.15.4.3 Kategorie 3:Velmi závažný bezpečnostní incident - je významně narušena bezpečnost osobních údajů. Řešení vyžaduje neprodlený zásah obsluhy, všemi dostupnými prostředky musí být zabráněno dalšímu šíření bezpečnostního incidentu.
15.5 Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu a oznamování subjektu údajů:
15.5.1 Druh, způsob a lhůty podávání ohlášení nebo oznámení závisí na tom, do které kategorie bezpečnostní incident spadá:15.5.1.1 Kategorie 1: žádné ohlášení ani oznámení není nutné. Incident se pouze zaznamená.15.5.1.2 Kategorie 2: v případě porušení zabezpečení osobních údajů je Společnost povinna ohlásit bez zbytečného odkladu, a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, toto porušení dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.15.5.1.3 Kategorie 3: Společnost musí ohlásit porušení zabezpečení osobních údajů bez zbytečného odkladu, a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, dozorovému úřadu a oznámit subjektu údajů.
15.5.2 Ohlášení a oznámení o porušení zabezpečení osobních údajů musí být vyhotoveno v souladu s Nařízením GDPR.
15.5.3 Ohlášení dozorovému úřadu podle tohoto článku musí přinejmenším obsahovat:15.5.3.1 popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,15.5.3.2 jméno a kontaktní údaje místa, které může poskytnout bližší informace,15.5.3.3. popis pravděpodobných důsledků porušení zabezpečení osobních údajů,15.5.3.4 popis opatření, která Společnost přijala nebo navrhla k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
15.5.4 Oznámení subjektu údajů podle tohoto článku musí přinejmenším obsahovat:15.5.4.1 popis povahy daného případu porušení zabezpečení osobních údajů,15.5.4.2 jméno a kontaktní údaje místa, které může poskytnout bližší informace,15.5.4.3. popis pravděpodobných důsledků porušení zabezpečení osobních údajů,15.5.4.4 popis opatření, která Společnost přijala nebo navrhla k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
15.5.5 Oznámení subjektu údajů dle tohoto článku se nevyžaduje, je-li splněna kterákoli z těchto podmínek:15.5.5.1 Společnost zavedla náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování,15.5.5.2 Společnost přijala následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví,15.5.5.3 vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.
15.5.6 Jakmile zpracovatel zjistí porušení zabezpečení osobních údajů, ohlásí je bez zbytečného odkladu správci.

16. LIKVIDACE OSOBNÍCH ÚDAJŮ
16.1 Zpracování osobních údajů je ukončeno a osobní údaje budou neprodleně zlikvidovány:16.1.1 jakmile pomine účel, pro který byly osobní údaje zpracovávány,16.1.2 na základě žádosti subjektu údajů v případě, že:16.1.2.1 již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány16.1.2.2 pokud subjekt údajů odvolal svůj souhlas se zpracováním,16.1.2.3 pokud subjekt údajů vznesl námitku proti zpracování osobních údajů, které se jej týkají, a tato námitka byla oprávněná,16.1.2.4 zpracování jeho osobních údajů je v rozporu s Právními předpisy na ochranu osobních údajů z jiných důvodů.16.1.3 po uplynutí doby, na kterou byly osobní údaje uchovávány dle pravidel uvedených v příslušných právních předpisech.

 

17. ZAPOJENÍ ZPRACOVATELE OSOBNÍCH ÚDAJŮ
17.1 Zpracovatelé jsou osoby pověřené zpracováváním osobních údajů v souladu s podmínkami zakotvenými ve zpracovatelské smlouvě se Společností. Tato smlouva má vždy písemnou formu. Ve smlouvě musí být minimálně uvedeno jaký je předmět a doba trvání zpracování, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů, povinnosti a práva Společnosti jako správce. Dále se zpracovatel v této smlouvě zaváže k:17.1.1 zpracovávání osobních údajů pouze na základě doložených pokynů Společnosti,17.1.2 zajištění, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti17.1.3 přijetí vhodných opatření k zajištění bezpečnosti osobních údajů,17.1.4 dodržení smluvených/zákonných podmínek pro případné zapojení dalšího zpracovatele,17.1.5 zohledňování povahy zpracování, tj. že bude Společnosti nápomocen prostřednictvím vhodných technických a organizačních opatření, pokud je to možné,17.1.6 součinnost pro splnění povinnosti Společnosti reagovat na žádosti o výkon práv subjektu údajů,17.1.7 pomoci Společnosti při zajišťování souladu s jejími povinnostmi podle Předpisů v oblasti ochrany osobních údajů, a to při zohlednění povahy zpracování a informací, jež má zpracovatel k dispozici,17.1.8 k tomu, že v osobní údaje buď vymaže, nebo je vrátí Společnosti po ukončení poskytování služeb spojených se zpracováním, a vymaže existující kopie, pokud právo Evropské unie nebo České republiky nepožaduje uložení daných osobních údajů,17.1.9 poskytnutí veškerých informací Společnosti potřebných k doložení skutečnosti, že byly splněny povinnosti stanovené v tomto článku, a umožnění auditů, včetně inspekcí, prováděných Společností nebo jiným auditorem, kterého správce pověřil, a k těmto auditům přispěje.

18. POVINNOSTI ZAMĚSTNANCE ODPOVĚDNÉHO ZA OCHRANU OSOBNÍCH ÚDAJŮ VE SPOLEČNOSTI
18.1 Zaměstnanec odpovědný za ochranu osobních údajů není pověřenec pro ochranu osobních údajů.
18.2 Zaměstnanec odpovědný za agendu ochrany osobních údajů v rámci své odpovědnosti za ochranu osobních údajů zajišťuje informovanost oprávněných osob o problematice ochrany osobních údajů se zaměřením na:18.2.1 změny v Předpisech o ochraně osobních údajů, příp. dalších právních předpisů s dopadem do problematiky zpracování osobních údajů,18.2.2 zevšeobecnění poznatků z kontrolní činnosti dozorového úřadu,18.2.3 nové skutečnosti promítající se do systému ochrany osobních údajů (např. organizační, personální změny, update software),18.2.4 zahrnutí problematiky ochrany osobních údajů do plánu vzdělávání Zaměstnanců Společnosti,18.2.5 provedení aktualizace této Směrnice při výrazných změnách Právních předpisů v oblasti ochrany osobních údajů,18.2.6 realizace neodkladných opatření v oblasti zabezpečení ochrany osobních údajů.
18.3 Zaměstnanec odpovědný za ochranu osobních údajů ve Společnosti je Saeed Khan, jednatel společnosri CF Agency, s.r.o.

19. VZDĚLÁVÁNÍ ZAMĚSTNANCŮ
19.1 Společnost zajistí pravidelná školení Zaměstnanců na zásady dodržování ochrany osobních údajů ve smyslu Nařízení GDPR, a to v rozsahu nejméně 1x ročně pro všechny Zaměstnance.

20. PROVÁDĚNÍ OZNÁMENÍ PODLE TÉTO SMĚRNICE
20.1 Ukládá-li tato směrnice povinnost osobě oznámit jakoukoliv informaci druhé osobě, provede první osoba oznámení v písemné podobě. Za písemnou podobu se považuje též e-mail.

21. KONTROLA A DODRŽOVÁNÍ SMĚRNICE
21.1 Dohled nad dodržováním této směrnice a závazných právních Předpisů o ochraně osobních údajů vykonává statutární orgán Společnosti a jiná pověřená osoba, kterou je Said khan, jednatel společnosti CF Agency, s.r.o.
21.2 Statutární orgán Společnosti slouží jako kontaktní osoba Zaměstnance Společnosti v otázkách bezpečnosti a ochrany osobních údajů. V případě jakýchkoli pochybností o výkladu této směrnice či rozsahu a obsahu zákonných povinností poskytuje statutární orgán závazný výklad, kterým jsou Zaměstnanci povinni se řídit.
21.3 Statutární orgán odpovídá za kontrolu aktualizace této směrnice.

22. ZÁVĚREČNÁ USTANOVENÍ
22.1 Tato směrnice nabývá účinnosti dne 26. 4. 2018.

V Moravanech, dne 27. 4. 2018.
Jméno a příjmení odpovědné osoby Saeed Khan


NzgwZ