Směrnice 
O ochraně osobních údajů ve společnosti Mramorit a. s., Káranice 72,
503 66 Káranice, IČ 25268406

Úvod

General Data Protection Regulation (GDPR) je nařízení Evropského parlamentu a Rady (EU)
č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů (obecné nařízení o ochraně údajů) ze dne 27.04.2016. Toto
nařízení je závazné pro všechny členské státy EU, má aplikační přednost a je nadřazeno
národním úpravám. Jeho cílem je stanovit jednotná práva a povinnosti v oblasti ochrany
osobních údajů v národních právních řádech.

Počínaje datem 25.05.2018 je dána povinnost zemím EU dodržovat a sladit národní
legislativu s tímto nařízením.

Vnitřní předpis upravuje pravidla pro ochranu osobních údajů a práva a povinnosti při jejich
zpracování v podmínkách společnosti.

 

Cílem GDPR je poskytovat ochranu pouze fyzickým osobám, nikoliv osobám právnickým.

Definice osobního údaje, identifikovatelné osoby,identifikátory, správce,
zpracovatel

Osobní údaj

Osobními údaji jsou veškeré informace týkající se konkrétní osoby, která je díky těmto
informacím identifikovaná nebo identifikovatelná. Osobním údajem je tedy každá informace,
kterou lze přiřadit konkrétní osobě.

Zásada korektnosti a transparentnosti (informuji co dělám)

Zpracování osobních údajů musí být vůči subjektu údajů otevřené a transparentní vzhledem
k tomu, jak je s osobními údaji nakládáno. Subjektům údajů musí být poskytnutý informace o
způsobu zpracování jejich osobních údajů a o tom, komu budou údaje zpřístupněny.
Subjekty údajů musí být v určitých případech informovány o porušení bezpečnosti či úniku
osobních údajů, které má přímý dopad na práva subjektu údajů (např. Vyzrazení finanční
situace zaměstnance, omezení práv a svobod…).

Zásada účelového omezení (Zpracovávám údaje pouze za určitým účelem)

Osobní údaje mohou být shromažďovány pouze pro určité a legitimní účely.

Zásada minimalizace údajů (Zpracovávám pouze údaje, které potřebuji)

Pro každý určitý účel lze zpracovávat pouze údaje nezbytné, relevantní a přiměřené.

Je tedy možné zpracovávat pouze ty údaje, které potřebuji pro daný účel vědět („need to
know“). Není dovoleno zpracovávat nadbytečné osobní údaje, jako např. výpisy z rejstříku
trestů zaměstnanců, ledaže jsou k tomu naplněny podmínky stanovené zákoníkem práce.

Zásada přesnosti

Zpracovávané osobní údaje musí být přesné, tj. odpovídající skutečnosti, a musí být
pravidelně aktualizované. Nepřesné osobní údaje je nutné vymazat, resp. opravit ( např. na
podnět odběratele je nutné provést změnu kontaktních údajů, změnu příjmení apod.).
Aktuálnost osobních údajů by se měla pravidelně ověřovat a v případě nutnosti aktualizovat.

Zásada omezení uložení

Zpracovávané osobní údaje mohou být uchovávány pouze po dobu, která je nezbytná pro
daný účel zpracování. Jakmile uplyne doba pro zpracování osobního údaje, nebo pomine účel,
za kterým byl zpracováván, je nutné jej vymazat, nebo anonymizovat. Ve vztahu k osobním
údajům v dokumentech je nezbytné postupovat podle pravidel uvedených ve skartačním řádu
společnosti.

Doba uchování může např. vyplývat ze smlouvy, z uděleného souhlasu, či ze zákona,
případně z předpisů nadřízených a řídících orgánů.

Zásada integrity a důvěrnosti

Osobní údaje musí být zabezpečeny a chráněny před neoprávněným nebo protiprávním
zpracováním, před ztrátou či zničením. Z těchto důvodů je nutné dodržovat jek technická
opatření (např. nastavením dostatečné síly hesla a jeho pravidelná obměna, zálohování dat
apod.), tak i organizační opatření (např. fyzické omezení přístupu, uzamykání místnosti,
politika čistého stolu apod.).

K osobním údajům by měli mít přístup pouze vybraní zaměstnanci, kteří s těmito údaji
v rámci svého pracovního zařazení pracují (tzv. princip „need to know“).

Práva subjektů údajů

Jedním z cílů GDPR je posílit práva subjektů údajů. GDPR stanovuje subjektům údajů tato
práva:

Právo na opravu a doplnění neúplných osobních údajů

Právo na výmaz, resp. Právo být zapomenut

Právo na omezení zpracování

Právo na přenositelnost údajů

Právo vznést námitku proti zpracování osobních údajů a právo nebýt předmětem rozhodnutí
založeného výhradně na automatizovaném zpracování

 

Souhlasem se dle GDPR rozumí jakýkoliv svobodný, konkrétní, informovaný a jednoznačný
projev vůle, který subjekt údajů dává elektronického prohlášení své svolení ke zpracování
svých osobních údajů. Osoba, která se účastní komunikace na webových stránkách
společnosti, dává potvrzením (odkliknutím) o připojení do komunikace nebo soutěže
výslovný souhlas se zpracováním osobních údajů pro účely, k nimž je poskytl.

Subjekt údajů může kdykoliv svůj souhlas odvolat, a to i před uplynutím doby, na kterou byl
původně udělen, vyjma situací, kdy jsou osobní údaje zpracovány pro účely plnění smlouvy.
Pokud je souhlas udělen nad rámec plnění příslušné smlouvy, lze odvolat pouze souhlas se
zpracováním těch osobních údajů, které pro plnění příslušné smlouvy nejsou potřeba.

Technická a organizační opatření

GDPR ukládá správci i zpracovateli přijmout vhodná technická a organizační opatření za
účelem zabezpečení náležité ochrany osobních údajů. Tato opatření se týkájí jak zabezpečení
IT systémů, tak opatření organizační povahy.

IT systémy jsou zabezpečeny zpracovatelem – externí společností spravující IT síť
elektronická data.

Identifikovatelná osoba, identifikátory identifikované osoby

Identifikovatelnou fyzickou osobou (subjekt údajů) je taková fyzická osoba, kterou lze přímo
či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno,
identifikační číslo, lokační údaje, síťový identifikátor, nebo na jeden či více zvláštních prvků
fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity
této fyzické osoby. Za osobní údaje jsou považovány jakékoliv informace týkající se určeného
nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže
lze tento subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo
jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou,
ekonomickou, kulturní nebo sociální identitu.

 

Osobními údaji (identifikátory) jsou zejména:

jméno, adresa trvalého bydliště, doručovací adresa, pohlaví, věk, datum a místo narození,
rodné číslo, osobní stav, zdravotní stav, informace o dosaženém vzdělání, informace o
příjmech, bankovní spojení, údaj o zdravotní pojišťovně, záznam o docházce, fotografický,
video a audio záznam, údaje o rodinných příslušnících, e-mailová adresa, telefonní číslo, IP
adresa. Také identifikační údaje vydané státem, jako jsou identifikační číslo, DIČ, číslo
občanského průkazu, číslo řidičského průkazu, číslo cestovního pasu.

O citlivý osobní údaj se jedná v takovém případě, když je možné na základě dostupných údajů
a zákonnou formou konkrétní osobu bezpečně určit. Citlivými údaji jsou nejen ty, které
eviduje společnost, ale i takové, kterými disponují soudy, policie nebo třeba poskytovatelé
internetového připojení.

 

Společnost má zpracovanou směrnici, která definuje a upravuje jednotlivé kategorie
osobních údajů a nakládání s nimi.

Pro účely komunikace na webových stránkách společnosti se stanoví pro zpracování
poskytnutých osobních údajů zdůrazňuje „Zásada zákonnosti“ (kdy mám právo zpracovávat
osobní údaje)

Zpracování osobních údajů musí být vždy založeno na alespoň jednom z právních titulů (např.
plnění smlouvy, zákonné povinnosti, udělení souhlasu …). Zároveň zpracování osobních
údajů nesmí probíhat za nelegálním či neoprávněným účelem.

Společnost jako správce odpovídá za dodržení všech povinností upravených v GDPR,
zejména za bezpečnost údajů, za dodržení zásad zpracování údajů.

Tato směrnice byla schválena představenstvem společnosti dne 1.6 2018