OCHRANA OSOBNÝCH ÚDAJOV PODĽA GDPR

 

 

  1. Predmet smernice

 

Všeobecné nariadenia na ochranu osobných údajov alebo GDPR (General Data Protection Regulation) je doposiaľ najviac uceleným súborom pravidiel na ochranu dát na svete.

 

GDPR sa dotkne každého, kto zhromažďuje alebo spracováva osobné údaje Európanov, vrátane spoločností a inštitúcii mimo územia EÚ, ktoré pôsobia na európskom trhu. Nariadenia mieri na firmy, inštitúcie i jednotlivcov, ktorí pracujú s osobnými údajmi – zamestnancov, zákazníkov, klientov či dodávateľov, a to medzi rôznymi segmentami a odvetviami. Cieľom GDPR je chrániť digitálne práva občanov EU.

 

 

  1. Definícia osobníc

 

Osobné údaje sú v existujúcej smernici z roku 1995 i v GDPR definované ako všetky informácie vzťahujúce sa k identifikovanej či identifikovateľnej osobe.

 

Medzi všeobecné osobné údaje radíme meno, pohlavie, vek a dátum narodenia, osobný stav, ale tiež IP adresu a fotografický záznam. Vzhľadom k tomu, že sa GDPR vzťahuje i na podnikajúce fyzické osoby, radíme medzi osobné údaje i tzv. organizačné údaje, ktorými sú napríklad e-mailová adresa, telefónne číslo či rôzne identifikačné údaje vydané štátom. S týmito údajmi sa pracuje v rámci spoločnosti ENVItech s.r.o.

 

Všeobecné nariadenie venuje špeciálnu pozornosť spracovaniu zvláštnych kategórií,  osobných údajov, ktorými sú údaje o rasovom či etnickom pôvode, politických názoroch, náboženskom alebo filozofickom vyznaní, členstve v odboroch, o zdravotnom stave, sexuálnej orientácii a trestných deliktoch či právoplatnom odsúdení. Do kategórie citlivých údajov nariadenia po novom sa zahŕňajú genetické, biometrické údaje a osobné údaje detí. Spracovanie citlivých osobných údajov podlieha o mnoho prísnejšiemu režimu, než je to u všeobecných údajov. S citlivými dátami sa v rámci spoločnosti ENVItech s.r.o. nepracuje a tieto údaje nesmú byť akýmkoľvek spôsobom zisťované a ukladané.

Naopak z pôsobnosti GDPR sú vylúčené anonymizované údaje, údaje zosnulých osôb a údaje získané v rámci činnosti čisto osobnej povahy, ktoré nemajú obchodný či inštitucionálny charakter. Týka sa to teda údajov, ktoré spracovávame pre osobnú potrebu a s nikým ich nebudeme zdieľať.

 

  1. Rozsah smernice

S účinnosťou od 25.5.2018 sú povinní všetci zamestnanci spoločnosti postupovať pri práci s osobnými údajmi podľa pravidiel GDPR.

 

  1. Kontrolná činnosť

Kontrola dodržiavania pravidiel GDPR bude realizovaná v rámci ISO 9001. ZVI bude realizovať pravidelné školenia všetkých zamestnancov a realizovať audity na kontrolu s prácou s osobnými údajmi.

 

  1. Školenie a kontrola

Zamestnanci spoločnosti budú pravidelne školení a informovaní o systéme tykajúceho sa GDPR. Pred platnosťou tohto rozhodnutia bolo uskutočnené komplexné školenie všetkých zamestnancov. Ďalšie školenie bude prebiehať vždy v intervale maximálne 1 rok.

Kontrola funkčnosti systému bude realizovaná v rámci interných auditov ISO 9001.

 

  1. Predmet úpravy GDPR

Ochrana osobných údajov sa týka všetkých dokumentov, ktoré obsahujú akýkoľvek osobný údaj podľa GDPR (telefónne čísla, emailové adresy zákazníkov, …). Jedná sa o listinné i elektronické dokumenty.

Všetci zamestnanci musia dbať na to, aby nedochádzalo k úniku informácií. Zamestnanci musia dbať na to, aby sa nikto nemohol dostať do elektronického systému. Svoje prístupové údaje nesmú poskytovať tretej strane a v prípade ukončenia práce je nutné odhlásiť sa v systéme. V prípade prezradenia prístupových dát do systému neoprávnenej osobe musia byť  prístupové heslá okamžite zmenené. Ďalej je doporučené všetkým zamestnancom robiť pravidelnú zmenu hesiel, aby bolo zvýšenie zabezpečenia systému.

 

U listinných dokumentov nesmie dochádzať k voľnému uloženiu dokumentov bez dohľadu kompetentného zamestnanca. Celý priestor spoločnosti ENVItech s.r.o. je uzamknutý, aby nedošlo k voľnému pohybu cudzích osôb. V prípade návštevy v spoločnosti je nutné, aby bola osoba vždy v sprievode kompetentného zamestnanca, nemohlo dôjsť k úniku osobných údajov. Všetci zamestnanci musia dbať na to, aby nedošlo k úniku informácií treťou osobou.

Vzťahy s externými dodávateľmi služieb (mzdové, knihy jázd, personálne,…) sú upravené tak, aby boli v súlade s GDPR.

Pri práci s osobnými údajmi pre potreby marketingu (news, e-mailové informatívne kampane,…) je v súlade s GDPR vyžadovaný záujem zákazníkov a umožnený jednoduchým odhlásením z odberu noviniek.

 

  1. Platnosť smernice

Rozhodnutie nadobúda platnosť dňom 25.5.2018