GDPR směrnice

 

Politika ochrany dat skupiny Styrogroup

Vnitřní směrnice (je závazná pro všechny společnosti ve skupině)

 

V souladu  s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (tzv. GDPR) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním jejich osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“) 
 
1. Úvod  
2. Naše zásady 
3. Působnost 
4. Co jsou „osobní údaje“ 
5.  Standard společnosti STYROGROUP pro ochranu soukromí  
     5.1 Osobní údaje shromažďujeme pouze na právním základě  
     5.2 Osobní údaje zpracováváme přiměřeně a pouze v takovém rozsahu a jen po nezbytně dlouhou dobu  
     5.3 Osobní údaje zpracováváme transparentně a v přiměřené lhůtě od jejich shromáždění poskytujeme                       příslušné informace  
     5.4 Pokud je to možné, nabízíme subjektům údajů možnost si vybrat  
     5.5 Činíme kroky k zajištění správnosti námi zpracovávaných osobních dat  
     5.6 Chráníme osobní údaje před neoprávněným a nezákonným zpracováním a poškozením  
     5.7 Spolupracujeme se subjekty údajů, které uplatňují svá jednotlivá práva  
     5.8 Při zpracování určitých kategorií osobních údajů dodržujeme další omezení 
     5.9 V závažných případech se nespoléháme pouze na automatizované rozhodování 
     5.10 Nebudeme přenášet osobní údaje v rámci STYROGROUP nebo třetím osobám v jiných zemích bez toho                 aniž by byla zavedena bezpečnostní opatření nebo pro to existovalo jiné dostatečné ospravedlnění 
6. Role a odpovědnosti 
7. Přehled činností k ochraně údajů a dokumentace o dodržování požadavků 
8. Posouzení dopadů na ochranu soukromí 
9. Hlášení narušení bezpečnosti údajů 
10. Platnost  
 
 
 
 
1. ÚVOD

Společnost STYROGROUP  a všechny propojené společnosti STYROGROUP i jednotlivě nebo společně jen STYROGROUP) se zavazují chránit osobní údaje, které shromažďují a uchovávají v souladu s platnými zákony a předpisy. To zahrnuje i právo osob být informovány a činit rozhodnutí ohledně shromažďování, využívání, sdělování, uchovávání, změn, výmazů a jiných úkonů (zpracování) ohledně jakýchkoliv informací o identifikované nebo identifikovatelné osobě („osobní údaje“).

 
Tato Vnitřní Směrnice stanoví standard, který musí, pokud není stanoveno jinak dodržovat všichni zaměstnanci a dodavatelé STYROGROUP při zpracování osobních údajů pro STYROGROUP nebo v STYROGROUP (Vnitřní Směrnice).
 
2. NAŠE ZÁSADY

  • osobní údaje shromažďujeme pouze na právním základě 
  • osobní údaje zpracováváme přiměřeně a pouze v takovém rozsahu a po tak dlouhou dobu, jak je nezbytné
  • osobní údaje zpracováváme transparentně a v přiměřené lhůtě od jejich shromáždění poskytujeme příslušné informace
  • pokud je to možné, nabízíme osobám možnost si zvolit, jaké údaje nám chtějí sdělit 
  • činíme kroky k zajištění správnosti námi zpracovávaných osobních dat 
  • chráníme osobní údaje před neoprávněným a nezákonným zpracováním a poškozením 
  • spolupracujeme s osobami, které požadují zákonný přístup k námi zpracovávaným osobním údajům 
  • jsme obezřetní při zpracovávání citlivých osobních údajů 
  • v závažných případech se nespoléháme pouze na automatizované rozhodování 
  • osobní údaje převádíme pouze v rámci skupiny STYROGROUP pouze při fungujících bezpečnostních opatřeních
  • aby mohly být dodržovány zásady této Vnitřní Směrnice, STYROGROUP rozděluje jasně role a odpovědnosti v rámci skupiny. Udržuje přehled o všech činnostech v rámci zpracování nebo hlášení narušení bezpečnosti osobních údajů příslušnému pověřenci (dále jen DPO).


3. PŮSOBNOST

Území Evropské Unie na základě s Nařízení Evropského parlamentu a Rady (EU) 2016/679 (tzv. GDPR) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se
zpracováním jejich osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“) 
 
4. CO JSOU „OSOBNÍ ÚDAJE“

Pro účely této politiky, osobní údaje znamenají jakékoliv informace týkající se identifikované nebo identifikovatelné fyzické osoby (subjekt údajů), jako např. jméno, pohlaví, informace o zdraví a finanční situaci, a to bez ohledu, zda tyto informace souvisejí s podnikáním, jsou soukromé, veřejné nebo důvěrné povahy.

U STYROGROUP zahrnují osobní údaje zejména informace o jejích zaměstnancích (např. osobní informace jako jsou např. jméno, pohlaví a informace o sociálním pojištění, pracovní pozici, vzdělání, pracovní době a platu atd.) a o spotřebitelích (např. jméno, kontaktní údaje, dodávané výrobky a služby, údaje o kreditní kartě, komunikace se spotřebiteli a informace předávané se spotřebiteli atd.).

Osoba je však považována za identifikovatelnou, pouze pokud osoby, které mají nebo mohou získat přístup k předmětným údajům, (1) mají nebo mohou získat prostředky pro zjištění identity subjektu údajů a (2) mají zájem nebo mohou projevit zájem je v souladu s tím využívat. Vezmeme také v úvahu přiměřeně předpokládanou životnost a okolnosti předmětných údajů.

Údaje, které neumožňují re identifikaci osoby („anonymizované údaje“, např. řádně agregovaná statistická data) nepředstavují osobní údaje a nepodléhají této skupinové politice ochrany dat.

Údaje o STYROGROUP nebo jiných společnostech nepředstavují osobní údaje stanovenou touto politikou, pokud ovšem neobsahují přímé nebo nepřímé odkazy na identifikovaného nebo identifikovatelného zaměstnance nebo osobu.


U zaměstnanců  STYROGROUP zpracováváme tyto osobní údaje: 

  • identifikační údaje – jméno, příjmení, datum narození, rodné číslo a další údaje, které jsou povinnou náležitostí mzdového listu a údaje potřebné pro plnění zákonných povinností ve vztahu ke zdravotnímu a sociálnímu pojištění 
  • kontaktní údaje – bydliště, adresa, telefon, e-mail.  


Vzhledem k tomu, že STYROGROUP provádí ve vztahu k zaměstnancům pouze zákonné zpracování osobních údajů a zpracování není prováděno automatizovaně, subjekt údajů nemá právo na přenositelnost údajů na jiného správce podle čl. 20 Nařízení.

5. STANDARD SPOLEČNOSTI STYROGROUP PRO OCHRANU SOUKROMÍ

Zaměstnanci, kteří pracují na plný nebo částečný úvazek pro STYROGROUP a také třetí osoby (např. poskytovatel emailových služeb, poskytovatel služeb v oblasti vedení mezd
a cestovních výdajů nebo dopravní společnosti), od nichž je požadováno nebo které mohou využívat a spravovat osobní údaje STYROGROUP (pracovníci STYROGROUP) se musí při zpracování osobních údajů řídit těmito zásadami.

5.1. Osobní údaje shromažďujeme pouze na právním základě
 Osobní data budeme zpracovávat pouze v souladu se zákonem a pouze pokud:

Subjekt údajů udělil svůj svobodný, výslovný, informovaný a jednoznačný souhlas se zpracováním osobních údajů pro dané účely (viz také odst. 5.3) nebo

Zpracování je nezbytné pro plnění smlouvy, jejíž smluvní stranou subjekt údajů je nebo pro účely přijetí opatření na žádost subjektu údajů před uzavřením smlouvy nebo

Zpracování je nezbytné pro vyhovění zákonů,

Zpracování je nezbytné za účelem ochrany životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (např. sdělení údajů v případě nehody nebo potřeby jiné naléhavé zdravotní péče) nebo

Zpracování je nezbytné pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu úřední pravomoci svěřené příslušné místní společnosti STYROGROUP nebo

Zpracování je nezbytné pro účely oprávněných zájmů sledovaných společností STYROGROUP nebo třetí osobou (což může zahrnovat zájmy zajistit ochranu a bezpečnost nebo provádění výzkumu a vývoje), pokud ovšem subjekt údajů nemá převažující zájem ochrany soukromí a údajů, na jehož základě takové zpracování neprovedeme; účel je legitimní, pokud existuje obchodní nebo zákonná potřeba zpracovat osobní údaje nebo užitek z takového zpracování a pokud se zpracování jeví důvodné a rozumné nebo

Zpracování není pro účel, pro který byly osobní údaje původně shromážděny, ale tento jiný účel je s ním slučitelný, například z toho důvodu, že osobní údaje byly pseudonymizovány nebo funguje jiná ochrana, která dostatečně chrání soukromí a práva na ochranu dat subjektů údajů.

5.2. Osobní údaje zpracováváme přiměřeně a pouze v takovém rozsahu a po tak dlouhou dobu, jak je nezbytné Osobní data budeme zpracovávat přiměřeně a veškeré zpracování budeme provádět pouze v nezbytné míře.

Budeme zejména shromažďovat, uchovávat a jinak zpracovávat osobní údaje v rozsahu, který je přiměřený, příslušný a omezený na nezbytnou míru ve vztahu k účelům, pro které tyto osobní údaje zpracováváme nebo můžeme zpracovávat, a osobní údaje, které již nepotřebujeme a které není potřeba uchovávat (např. pro účely vyhovění
uchování údajů požadovaného ze zákona nebo jiným povinnostem ohledně uchování záznamů), bezpečně zlikvidujeme.


5.3. Osobní údaje zpracováváme transparentně a v přiměřené lhůtě od jejich shromáždění poskytujeme příslušné informace Osobní data budeme zpracovávat způsobem, které je transparentní pro subjekt údajů, včetně účelu zpracování. V okamžiku shromažďování osobních údajů subjektu údajů řádně sdělíme příslušné informace o:

  1. kategoriích shromažďovaných osobních údajů, zdroji nebo kategoriích zdrojů, ze kterých osobní údaje pocházejí (pokud nejsou získány přímo od subjektu údajů),  
  2. účelu/účelech, pro které osobní údaje zpracováváme a také o právním základu pro jejich zpracování, včetně oprávněného zájmu, o který se zpracování opírá; 
  3. kategoriích třetích osob, kterým můžeme osobní údaje sdělit a 
  4. Subjektům údajů poskytneme také následující informace, pokud ovšem nejsou zjevné z okolností nebo nejsou použitelné: 
  5. dobu, po kterou budou osobní údaje uloženy nebo kritéria používaná ke stanovení této doby, 
  6. jejich jednotlivá práva na ochranu údajů 
  7. jejich právo kdykoliv zrušit jakýkoliv souhlas a případně důsledky takového zrušení do budoucna, 
  8. jejich právo vznést stížnost u příslušného orgánu dohlížejícího na ochranu údajů, pokud takové právo dle platných místních zákonů existuje, 
  9. zda je shromažďování osobních údajů vyžadováno ze zákona nebo na základě smlouvy nebo jako předpoklad pro uzavření smlouvy nebo zda je nepovinné a jaké jsou důsledky neposkytnutí jejich osobních údajů a existence přijetí automatizovaného rozhodnutí a předpokládané důsledky takového zpracování. 
  10. Poskytnutí výše uvedených informací však můžeme vynechat, pokud (1) subjekt údajů již byl informován předem, (2) shromažďování a sdělování osobních údajů je výslovně upraveno platným zákonem, (3) informace nelze poskytnout nebo by to představovalo neúměrné úsilí nebo 
  11. specifické politiky ochrany soukromí nebo platný zákon o ochraně osobních údajů stanoví další výjimku. 
  12. Uvedené informace poskytneme prostřednictvím specifických politik ochrany soukromí, formulářů pro sběr údajů nebo jiného sdělení nebo případně osobní komunikace. Pokud to bude možné, svá sdělení budeme dokumentovat. 
  13. Pokud shromažďujeme osobní údaje prostřednictvím třetích stran, činíme přiměřená opatření k zajištění toho, že tyto třetí strany plní tyto nebo srovnatelné požadavky na poskytování informací. 



5.4. Pokud je to možné, nabízíme subjektům údajů  možnost si vybrat
 Umožníme subjektům údajů si vybrat, zda můžeme jejich osobní údaje zpracovat v případě, že takové zpracování není důvodně požadováno na pro legitimní obchodní účely příslušné místní společnosti STYROGROUP, přičemž budeme dodržovat požadavky platného práva nebo jiné požadavky 

Budeme tak činit také při získávání souhlasu nebo spoléhání se na souhlas se zpracováním osobních údajů. Zejména, pokud obdržíme souhlas pro různé účely zpracování osobních údajů, které spolu nesouvisí, budeme postupovat samostatně (žádné „balíčkování“ souhlasů bez ospravedlnění, např. „poskytování kontaktních údajů pro účast v soutěži“ je jeden účel, zatímco „příjem dalších marketingových propagačních e-mailů“ je jiný účel, a budeme vyžadovat další souhlas). Umožníme subjektům údajů také kdykoliv zrušit jejich souhlas s účinností do budoucna, přičemž je budeme informovat o této možnosti a hlavních důsledcích zrušení souhlasu.

Pokud nabídneme volbu, zajistíme, aby nastavená volba představovala zpracování, které co nejméně narušuje soukromí subjektu údajů.

V případě přímého elektronického marketingu poskytneme zdarma (kromě nákladů na telefonní hovor nebo poštovné) způsob zrušení přijímání dalších marketingových materiálů toho-to druhu (např. možnost „odhlášení se“).

5.5. Činíme kroky k zajištění správnosti námi  zpracovávaných osobních dat
 Při zpracování osobních dat vždy činíme přiměřená opatření k zajištění správnosti těchto osobních údajů a, je-li to nezbytné, jejich aktuálnosti vzhledem k jejich relevantnosti a účelům, pro které je zpracováváme. To také zahrnuje činění nezbytných opatření k zajištění toho, aby osob-ní údaje, které nejsou správné, byly neprodleně vymazány nebo opraveny a také zajištění toho, aby, pokud existuje několik kopií stejných osobních údajů (např. v různých
systémech nebo u různých společností), byly všechny tyto kopie synchronizovány tam, kde je to vhodné.

5.6. Chráníme osobní údaje před neoprávněným a nezákonným zpracováním a poškozením 

STYROGROUP má přiměřená technická a organizační opatření za účelem ochrany osobních údajů proti neoprávněnému a nezákonnému zpracování a proti nezákonnému nebo náhodné-mu zničení, ztrátě nebo poškození, přičemž účinnost a dodržování těchto opatření budou pravidelně prověřovány, pokud je to důvodné.

Osobní údaje budeme v přiměřeně možné a vhodné míře anonymizovat (tj. šifrovat nebo jinak nahrazovat identifikující informace kódem, abychom zabránili identifikaci subjektu údajů).

Nebudeme se při zpracování údajů pokoušet identifikovat nebo reidentifikovat osoby a nebudeme činit kroky umožňující takovou identifikaci nebo reidentifikaci, pokud ovšem nebudeme mít legitimní obchodní důvod nebo zákonnou potřebu tak činit.


Své systémy a postupy pro zpracování osobních údajů budeme navrhovat tak, aby byl dodržen Vnitřní Směrnice a Nařízení „GDPR“.

5.7. Spolupracujeme se subjekty údajů, které  uplatňují svá jednotlivá práva
 Obecně platí, že osoby od nás mohou požadovat kopii svých osobních údajů, které vedeme v našich záznamech (“právo na přístup”). Po řádném ověření totožnosti osoby požadující přístup jí mohou být poskytnuty informace o:

  1. kategoriích osobních dat, 
  2. účelech zpracování, 
  3. třetích osobách, nebo kategoriích třetích osob, kterým můžeme případné osobní údaje sdělit a určení, zda třetí osoby mohou uchovávat osobní údaje v jiných zemích, 
  4. předpokládané době uchování nebo, pokud to není možné, o kritériích používaných pro stanovení této doby, 
  5. dalších jednotlivých právech subjektů údajů, 
  6. zdroji nebo kategoriích zdrojů údajů, pokud nebyly shromážděny přímo od subjektu údajů,  
  7. existenci přijetí automatizovaného rozhodnutí a o předpokládaných následcích takového zpracování.

    Navíc, v případech, kdy: 
  8. zpracováváme osobní údaje automaticky,  
  9. nám byly osobní údaje poskytnuty přímo subjektem údajů a 
  10. zpracováváme tyto osobní údaje na základě souhlasu subjektu údajů nebo za účelem plnění smlouvy nebo činění kroků k uzavření smlouvy,


poskytneme tyto údaje subjektu údajů na jeho žádost ve strukturované, běžně používané a strojově čitelné formě, nebo pokud si tak subjekt údajů přeje a dohodne se tak, přímo konkrétní třetí osobě, která se stane novým správcem údajů („právo na přenositelnost údajů“).

Kromě toho nás osoby mohou kontaktovat s požadavkem o opravu jejich osobních údajů zpracovávaných STYROGROUP a také mohou vznést legitimní námitky proti zpracování jejich osobních údajů, včetně požadavků na vymazání údajů a omezení jejich zpracování.

Pokud je u osobních údajů sdělených třetí straně požadována jejich změna, vymazání nebo omezení pro třetí stranu, budeme tuto třetí stranu o tomto požadavku informovat. Dále na žádost subjektu údajů sdělíme subjektu údajů totožnost těchto třetích stran, pokud to ovšem není nemožné nebo to představuje neúměrné úsilí.

Před tím, než vyhovíme žádosti subjektu údajů o přístup, opravu, omezení, vymazání a přenositelnost údajů, prověříme, zda můžeme na základě platného práva odmítnout, omezit nebo pozdržet tuto žádost, a to zejména pokud je tato žádost podezřelá, nepřiměřená nebo zjevně nepodložená. Pokud taková žádost porušuje převažující oprávněné zájmy na ochranu soukromí a o utajení třetích stran, včetně pracovníků STYROGROUP, takovému požadavku zpravidla nevyhovíme. Pokud koordinátor pro ochranu údajů místní společnost STYROGROUP, který žádost obdržela, nemůže výše uvedené nesporně stanovit nebo tak nelze učinit na základě specifické politiky ochrany soukromí, o žádosti rozhodne vedení místní společnosti STYROGROUP.


5.8. Při zpracování určitých kategorií osobních údajů dodržujeme další omezení
 Přísnější pravidla aplikujeme při zpracování osobních údajů týkajících se (i) rasového nebo etnického původu, (ii) politického názoru, (iii) náboženského nebo filozofického přesvědčení,
 členství v odborové organizaci, (v) zdraví, zdravotních dat nebo sexuálního života či sexuální orientace, (vi) genetických údajů a (vii) biometrických údajů, pokud jsou zpracovávány pro potřeby jednoznačné identifikace osoby (citlivé osobní údaje), odsouzení za trestní čin nebo přestupek (údaje o trestných činech) a o subjektech údajů mladších 16 let (údaje o nezletilých).

Zpracování citlivých osobních údajů je možné, pouze pokud a do té míry, že  subjekt údajů dal výslovný souhlas k jejich zpracování pro jeden či několik konkrétních účelů a/nebo zpracování je výslovně povoleno a/nebo pokud zpracování:

  1. vyhovuje platným zákonům o zaměstnanosti, sociálním zabezpečení nebo sociální ochraně, 
  2. je nezbytné k uplatnění zvláštních práv v oblasti zaměstnanosti, sociálního zabezpečení a sociální ochrany, 
  3. je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, a pokud je subjekt údajů fyzicky nebo právně neschopen poskytnout souhlas, 
  4. souvisí s citlivými osobními údaji, které subjekt údajů dal k dispozici široké veřejnosti, 
  5. je nezbytné pro prokázání, uplatnění nebo obhajobu zákonných nároků nebo v případě, kdy soudy jednají v rámci svých soudních pravomocí nebo  
  6. je nezbytné pro potřeby preventivní péče nebo pracovního lékařství, posouzení pracovní schopnosti zaměstnance, lékařské diagnózy nebo zdravotní nebo sociální péče na základě platného místního práva nebo smlouvy se zdravotníkem nebo v případě nutnosti pro potře-by veřejného zájmu v oblasti veřejného zdraví.


Zpracování citlivých osobních údajů podléhá dodatečným bezpečnostním opatřením, která v jednotlivých případech stanoví DPO.

Budeme zpracovávat údaje o nezletilých se souhlasem nebo pověřením držitele rodičovské odpovědnosti nebo tak, jak je to jinak povoleno nebo požadováno platným zákonným předpisem. Při komunikaci s dětmi zajistíme, že používaný jazyk bude odpovídat jejich věku.

Údaje o trestných činech budeme zpracovávat pouze, pokud je to povoleno nebo vyžadováno platným zákonem.


5.9. V závažných případech se nespoléháme  pouze na automatizované rozhodování
 Osoby nebudeme podrobovat rozhodnutím učiněným pouze na základě automatizovaných procesů (včetně profilování), pokud tato rozhodnutí mohou mít právní nebo negativní dopad na subjekt údajů, pokud ovšem takové rozhodnutí (1) není nezbytné k uzavření nebo plnění smlouvy, (2) není schváleno platným národním, regionálním nebo místním zákonem, nebo (3) pokud subjekt údajů s takovým rozhodnutím výslovně souhlasí.

Pokud se budeme spoléhat na automatizovaná rozhodnutí, zavedeme bezpečnostní opatření na ochranu oprávněných zájmů subjektu údajů, včetně toho, že subjektu údajů vždy poskytneme možnost vyjádřit jeho nebo její názor a napadnout toto rozhodnutí vůči člověku.

5.10. Nebudeme přenášet osobní údaje v rámci STYROGROUP nebo třetím osobám bez toho aniž by byla zavedena bezpečnostní opatření nebo pro to existovalo jiné dostatečné ospravedlnění

Před přenosem osobních údajů jiným místním společnostem STYROGROUP nebo třetím osobám (např. externím poskytovatelům služeb) v jiných zemích (včetně poskytování osobních údajů pomocí vzdáleného přístupu) zajistíme, že (i) příjemce bude podléhat dohodě o přenosu dat v rámci skupiny společností STYROGROUP (v případě přenosu mezi místními společnostmi STYROGROUP), nebo (ii) jsou zavedena příslušná bezpečnostní opatření (jako např. standardní doložky o ochraně osobních údajů přijaté
Evropskou komisí), která dostatečně chrání osobní údaje v zahraničí nebo (iii) v zemi vývozce platí jedna z výjimek stanovených platným právem (např. výslovný souhlas subjektu údajů, potřeba přenosu osobních údajů pro účely smlouvy nebo pro stanovení, uplatnění nebo obhajobu zákonných nároků).

Pokud pověříme zpracováním osobních údajů třetí stranou nebo zpracování zadáme externí třetí straně, zajistíme navíc smluvně, že příjemce bude tyto osobní údaje zpracovávat pouze pro naše účely a pouze dle našich pokynů a že tato třetí osoba zavede a bude udržovat přiměřené technické a organizační opatření na ochranu osobních údajů proti neoprávněnému zpracování a náhodné ztrátě, jak je dále upraveno v dohodě o přenosu údajů mezi v rámci skupiny společností STYROGROUP.

Pokud místní společnost STYROGROUP zajistí služby pro jinou místní společnost STYROGROUP, které zahrnují i zpracování osobních údajů třetí stranou, smluvně zajistíme, že bude dodržována Vnitřní Směrnice a příslušné specifické politiky ochrany soukromí.

Pokud jedna místní společnost STYROGROUP zpracovává osobní údaje jiné místní společnosti STYROGROUP, bez ohledu na to, zda pro své vlastní účely nebo pro tuto místní společnost STYROGROUP, musí dodržovat specifické politiky ochrany soukromí uzákoněné druhou místní společností STYROGROUP ohledně zpracování takových osobních údajů.


6. ROLE A ODPOVĚDNOSTI

Statutární orgán společnosti STYROGROUP nese hlavní odpovědnost za zavedení, ochranu a revidování této Vnitřní Směrnice a souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 (tzv. GDPR) ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním jejich osobních údajů a o volném pohybu těchto údajů (dále jen „Nařízení“) zde uvedeného a formulářů dohody o přenosu dat v rámci skupiny společností STYROGROUP, za úpravy a doplnění této skupinové politiky ochrany dat a také specifických politik ochrany soukromí, které platí pro více než jednu místní společnost STYROGROUP, a za vydávání formulářů dohody o pře-nosu dat v rámci skupiny společností STYROGROUP.

DPO společností STYROGROUP), jehož povinnosti na základě této skupinové politiky nelze delegovat, je odpovědný za dohlížení na a monitorování zavádění, dodržování a vývoj této Vnitřní Směrnice. DPO STYROGROUP je oprávněn revidovat a kontrolovat každé zpracování osobních údajů v rámci STYROGROUP. DPO STYROGROUP může také radit majitelům podniku ohledně ochrany soukromí, specifických politik ochrany soukromí a platných zákonů o ochraně údajů a jejich dodržování a v jiných souvisejících záležitostech.

Společnost STYROGROUP ustanoví DPO (Data protection officer). Pověřenec pro ochranu údajů, který je povinen a oprávněn:

  1. koordinovat přenosu dat v rámci skupiny STYROGROUP, této skupinové politiky ochrany dat, specifických politik ochrany soukromí a platných zákonů o ochraně údajů a soukromí ze strany místní společnosti STYROGROUP, včetně poskytování nebo získávání poradenství a vyřizování žádostí subjektů údajů, 
  2. spolupracovat s místními dohledovými orgány a být jejich kontaktním místem v záležitostech týkajících se místní společnosti STYROGROUP, 
  3. poskytovat odpovědné osobě skupiny STYROGROUP informace požadované pro plnění jejích úkolů na její žádost nebo dle potřeby, včetně přímého hlášení problémů týkajících se místní ochrany údajů nebo soukromí nebo záležitostí vztahujících se k jiným místním společnostem STYROGROUP, 
  4. identifikovat a posuzovat hlavní rizika týkající se problematiky soukromí a ochrany údajů nejméně jednou ročně a definovat nezbytná opatření k rukám odpovědné osoby skupiny STYROGROUP, 
  5. poskytovat vedení místní společnosti STYROGROUP a případně vedení jiné místní společnosti STYROGROUP, která je správcem údajů, informace o porušeních, nárocích nebo sporech vznesených subjektem údajů nebo dohlížecím orgánem ohledně zpracování osobních údajů na základě dohody o přenosu údajů v rámci skupiny STYROGROUP proti jedné nebo několika místním společnostem STYROGROUP, 
  6. poskytovat doporučení vedení místní společnosti STYROGROUP ohledně doplnění této skupinové politiky ochrany dat, specifických politik ochrany soukromí a doplňkových místních politik tak, aby byly stále dodržovány platné zákony a předpisy o ochraně údajů a soukromí, 
  7. zavádět a udržovat postupy nezbytné k tomu, aby místní společnost STYROGROUP plnila závazky stanovené v dohodě o přenosu údajů v rámci skupiny STYROGROUP, 
  8. přezkoumávat skupinovou politiku ochrany dat, 


7. PŘEHLED ČINNOSTÍ K OCHRANĚ ÚDAJŮ A DOKUMENTACE O DODRŽOVÁNÍ POŽADAVKŮ

Od STYROGROUP je požadováno, aby dokumentovala své zpracování osobních údajů a dodržování platných zákonů o ochraně údajů („zásada odpovědnosti“).

Patří sem vedení přehledu o všech činnostech zpracování v rámci STYROGROUP, což znamená jakékoliv zpracování osobních údajů, automaticky či ne, jako např. shromažďování, zaznamenání, organizování, strukturování, ukládání, přizpůsobení nebo změny, vyhledávání, konzultace, využívání nebo sdělování přenosem, šířením nebo jinak, uspořádání nebo sloučení, omezení, vymazání nebo zničení. Každý místní koordinátor pro ochranu údajů je povinen vést záznamy o všech činnostech zpracování, které řídí. DPO vede dokumentaci o:

  1. veškerých politikách, směrnicích a podobných dokumentech, které pojednávají o ochraně údajů, soukromí a bezpečnosti údajů v rámci STYROGROUP včetně příslušné dohody o přenosu údajů v rámci skupiny STYROGROUP, 
  2. veškerých registracích, oznámeních, souhlasech a jiné výměně informací s dohledovými orgány v souvislosti se zpracováním osobních údajů místní společností STYROGROUP, 
  3. veškerých dohodách a smlouvách se třetími stranami ohledně ochrany údajů, soukromí a bezpečnosti údajů, 
  4. veškerých činnostech zpracování, které řídí, provádí nebo se na ně spoléhá místní společnost STYROGROUP (místní přehledy činností k ochraně dat), 
  5. interním a externím outsourcingu a úkonech třetích stran, které zahrnují zpracování osobních údajů, 
  6. zjištěných nebo domnělých narušeních bezpečnosti osobních údajů, 
  7. nárocích třetích stran a právních záležitostech v souvislosti se zpracováním osobních údajů místní společností STYROGROUP (ale s vyloučením nesporných žádostí subjektu údajů).


8. POSOUZENÍ DOPADŮ NA OCHRANU  SOUKROMÍ

Pracovníci STYROGROUP jsou povinni nahlásit DPO každou novou nebo podstatně změněnou stálou IT aplikaci, obchodní proces, outrsourcing, spolupráci se třetí stranou nebo datový soubor týkající se zpracování strukturovaných osobních údajů.
 
Kromě toho jsou pracovníci STYROGROUP povinni konzultovat s DPO, před zavedením nebo významnou změnou takové IT aplikace, obchodního procesu, outsourcingu, spolupráce s třetí stranou nebo datového souboru za účelem posouzení rizika nevyhovění dohodě o přenosu údajů v rámci skupiny STYROGROUP, Směrnici a platným zákonům o ochraně údajů a soukromí. Taková konzultace není vyžadována, pokud předpokládané zpracování osobních údajů vyhovuje požadavkům specifické politiky ochrany soukromí nebo jiných platných předpisů, pokynů nebo posouzení (zabývající se problematikou ochrany údajů a soukromí), které poskytne nebo schválí buď místní koordinátor pro ochranu údajů nebo případně odpovědná osoba skupiny STYROGROUP.  
 Konečné rozhodnutí ohledně a odpovědnost za zavedení nebo změny takové aplikace, obchodního procesu nebo datového souboru a za opatření k řešení identifikovaných rizik má vedením místní společnosti STYROGROUP a u projektů nad rámec příslušné místní společnosti STYROGROUP, odpovědná osoba skupiny STYROGROUP.
 
9. HLÁŠENÍ NARUŠENÍ BEZPEČNOSTI ÚDAJŮ
 

Každý pracovník STYROGROUP a dodavatel je povinen dávat pozor na potenciální nebo zjištěné porušení této Vnitřní směrnice a okamžitě je nahlásit koordinátorovi pro ochranu údajů STYROGROUP, u které došlo k tomuto porušení nebo u které subjekty údajů pracují nebo se kterou obchodují. To je důležité k tomu, aby mohla STYROGROUP řádně jednat a bránit se proti narušení bezpečnosti údajů a pro splnění zákonného závazku ohlašovat tato porušení.
 
Aniž jsou dotčeny jakékoliv jiné prostředky právní, správní nebo soudní ochrany, má každý subjekt údajů právo podat stížnost u některého dozorového úřadu, zejména v členském státě svého obvyklého bydliště, místa výkonu zaměstnání nebo místa, kde došlo k údajnému porušení, pokud se subjekt údajů domnívá, že zpracováním jeho osobních údajů bylo porušeno Nařízení.  Subjekt údajů má právo na to, aby STYROGROUP  bez zbytečného odkladu opravilo nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím svého dodatečného prohlášení. 
 
10. PLATNOST

Používání této Vnitřní Směrnice se stane pro skupinu společností STYROGROUP závazná počínaje 25. 5. 2018
 
 
 
David Urban
předseda představenstva Styrogroup

více na e-mailu:dpo@styrogroup.cz

 

 
 
 
Styrogroup, partnerství více více
Copyright © 2024 Styrotrade, a.s. © redakční systém Kompletweb, © design Neofema, s.r.o.