Pardubice a okolí, Vysoké Mýto a okolí


Bezpečnostní směrnice 

Obsah

  • Účel a cíl bezpečnostní směrnice 
  • Rozsah platnosti
  • Definice pojmů
  • Všeobecní zásady zpracování osobních údajů
  • Rozsah oprávnění a popis povolených činností
  • Práva dotčených osob
  • Bezpečnostní opatření
  • Postupy při bezpečnostních incidentech, haváriích, poruchách a jiných mimořádných situácích
  • Seznam bezpečnostních opatření
  • Technické opatření
  • Organizační bezpečnostní opatření


Účel a cíl bezpečnostní směrnice

Tato bezpečnostní směrnice stanovuje pravidla pro zpracování osobních údajů fyzických osob a popisuje základní požadavky, povinnosti a opatření při zpracování osobních údajů. Cílem je zabezpečit ochranu osobních údajů při manuálním a automatizovaném zpracování v souladu se zákonem č. 101/2000 Sb. o ochraně osobních údajů a v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů.

Rozsah platnosti

Směrnice je závazná pro ty zaměstnance a spolupracovníky, kteří při své činnosti přicházejí do styku s osobními údaji fyzických osob zpracovávaných ve jménu provozovatele. Porušení směrnice se považuje za závažné porušení pracovní disciplíny a závažné porušení spolupráce.

Směrnice je určená:

  • Zaměstnancům provozovatele, pokud provozovatel zaměstnance má,
  • smluvním a jiným partnerům majícím možnost přístupu k osobním údajům

Definice pojmů

Osobní údaje – údaje týkající se určené nebo určitelné fyzické osoby, přičemž takovou osobou je osoba, kterou je možno určit přímo nebo nepřímo, zejména na základě všeobecně použitelného identifikátoru nebo na základě jedné či vícerých charakteristik nebo znaků, které tvoří její fyzickou, fyziologickou, psychickou, mentální, ekonomickou, kulturní nebo sociální identitu. Může to být například jméno, příjmení, rodné číslo, adresa, fotografie, email,…

Zpracování osobních údajů – vykonávání jakýchkoliv operací anebo souborů operací s osobními údaji, např. jejich získávání, shromažďování, zaznamenávání, uspořádávání, přepracováni anebo změna, vyhledávání, prohlížení, přeskupování, kombinování, přemísťování, využívání, uchovávání, likvidace.

Provozovatel – Tereza Hovorková, Lexova 2122, Pardubice 530 02, IČO 21494991, tel: 775 219 029, e-mail: Hovorkovaterka@seznam.cz.

Oprávněná osoba – každá fyzická osoba, která přichází do styku s osobními údaji v rámci svého pracovního poměru s provozovatelem nebo osoba, která přichází do styku s osobními údaji v rámci své činnosti ve jménu provozovatele.

Dotčená osoba – každá fyzická osoba, jejíž osobní údaje se zpracovávají. Může to být osoba, které bylo poskytnuto poradenství při kojení nebo osoba, jejíž osobní údaje se zpracovávají na účely mzdové agendy provozovatele v případě, pokud má provozovatel zaměstnance.

Účel zpracování – předem jednoznačně vymezený nebo ustanovený záměr zpracování osobních údajů, který se váže na určitou činnost. Účelem může být dokumentace z poradenství včetně komunikace přes internet, daňové doklady/fakturace, reference na webových stránkách, přihlašování na podpůrnou skupinu kojících matek, přihlašování na kurz přípravy na kojení.

Automatizovaný informační systém – (dále jen "AIS") souhrn technických prostředků výpočetní techniky, programové a aplikační vybavení, údajová základna, paměťová média s údaji, instalační média, dokumentace související s technickým a programovým vybavením určeným na automatizované zpracování údajů.

Uživatelský účet – slouží na identifikaci uživatele v automatizovaném informačním systému, tvoří jej název účtu a heslo.

Oprávněný uživatel – zaměstnanec nebo osoba vykonávající činnost ve jménu provozovatele, který byl poučený o zásadách zpracování osobních údajů a kterému byl zřízený uživatelský účet a přidělena příslušná přístupová práva umožňující plnění jeho pracovních povinností.

Likvidace osobních údajů – zrušení osobních údajů rozložením, vymazáním nebo fyzickým zničením hmotných nosičů tak, aby se z nich osobní údaje nedaly reprodukovat.

Bezpečnostní opatření – vykonávaná praxe, pracovní postup nebo zařízení, která snižují riziko zneužití osobních údajů.

Bezpečnostní incident – událost, jejíž přetrvávání nebo opakování by mohlo způsobit ohrožení zájmů provozovatele a snížení úrovně ochrany zpracovaných osobních údajů.

Všeobecné zásady zpracování osobních údajů

Zpracovat je možné jen takové údaje, které svým rozsahem odpovídají účelu jejich zpracování podle zákonem stanovených podmínek na základě souhlasu dotčené osoby, s ohledem na výjimky ze zákona, kdy není potřebný souhlas dotčené osoby.

Souhlas dotčené osoby si provozovatel nesmí vynucovat.

Při zpracování osobních údajů je potřebné dodržovat zásady:

  • zásada omezení účelu - osobní údaje se mohou získávat jen na konkrétně určený, výslovně uvedený a oprávněný účel a nesmí se dále zpracovat způsobem, který není slučitelný s tímto účelem
  • zásada minimalizace osobních údajů - zpracovat jen ty osobní údaje, které jsou nezbytné pro daný účel
  • zásada správnosti - zpracované osobní údaje musí být správné a podle potřeby aktualizované
  • zásada minimalizace uchovávání - osobní údaje se zpracovávají nejpozději do té doby, dokud je to potřebné na účel, na který se osobní údaje zpracovávají
  • zásada integrity - zpracování osobních údajů takovým způsobem, který zaručí jejich přiměřenou bezpečnost
  • zásada zodpovědnosti - provozovatel je zodpovědný za dodržování základních zásad při zpracování osobních údajů
  • zásada mlčenlivosti - provozovatel a oprávněná osoba jsou povinni dodržovat mlčenlivost o osobních údajích, se kterými přijdou do styku. Osobní údaje se nesmí využít pro osobní potřebu, bez souhlasu dotčené osoby se nesmí zveřejňovat ani nikomu poskytovat a zpřístupňovat, kromě zákonných výjimek (např. Sociální a zdravotní pojišťovna v případě, že má provozovatel zaměstnance).

Vymezení osobních údajů

Oprávněná osoba zpracovává osobní údaje jen v rozsahu a způsobem vymezeným účelem:

  • vedení záznamů z poradenství při kojení osobním i virtuálním. Pro tento účel zpracovává osobní údaje: jméno, příjmení, e-mail, adresa, tel. číslo, osobní údaje a fotky z komunikace přes email, zprávy, aplikace Messenger, WhatsApp nebo jiné aplikace určené ke komunikaci, jméno dítěte, věk/datum narození dítěte, zdravotní stav dítěte
  • účetní doklady - pro tento účel se zpracovávají osobní údaje: jméno, příjmení, adresa
  • reference zveřejněné na webových stránkách – pro tento účel se zpracovávají osobní údaje, které dotčená osoba sama poskytne, obvykle jméno, město, e-mail (není zveřejněný) a reference k poradenství při kojení, která může zahrnovat zdravotní stav dotčené osoby a dítěte dotčené osoby
  • informovaný souhlas – pro účel souhlasu se zpracováním osobních údajů se zpracovávají osobní údaje poskytnuté dotčenou osobou
  • přihlašování na podpůrnou skupinu kojících matek nebo předporodní kurz přípravy na kojení – zpracovávají se osobní údaje jméno, příjmení, e-mail, telefonní číslo, adresa

Oprávněné osoby jsou povinny po poučení dodržovat zásady pro zpracování osobních údajů podle této směrnice.

Práva dotčených osob

Dotčená osoba má právo:

  • právo požadovat od provozovatele přístup ke svým osobním údajům
  • právo na opravu osobních údajů
  • právo na vymazání osobních údajů
  • právo na omezení zpracování osobních údajů
  • právo namítat proti zpracování osobních údajů
  • právo na přenosnost svých osobních údajů
  • právo odvolat souhlas (pokud je souhlas právním základem zpracování)
  • právo podat stížnost dozorčímu orgánu, tj. Úřad pro ochranu osobních údajů České republiky.

Dotčená osoba může tyto práva vyžadovat od provozovatele ústně, písemně nebo elektronickou formou. Provozovatel musí tomuto právu vyhovět, obvykle ve formě, v jaké se dotčená osoba svého práva dožaduje. Pokud se dotčená osoba dožaduje svých práv ústně, má provozovatel právo požadovat od ní dodatečné informace potřebné na potvrzení totožnosti.

Provozovatel je povinen poskytnout informace do jednoho měsíce od doručení žádosti. V odůvodněných případech může prodloužit lhůtu o další dva měsíce, a to i opakovaně. O každém takovém prodloužení musí informovat dotčenou osobu do jednoho měsíce od doručení žádosti s důvody prodloužení lhůty.

Informace provozovatel poskytuje bezplatně, kromě důvodů, kdy je žádost dotčené osoby zjevně neopodstatněná anebo nepřiměřená, zejména pro její opakující se povahu. V takovém případě může provozovatel požadovat přiměřený poplatek nebo odmítnout konat na základě žádosti dotčené osoby.

Bezpečnostní opatření

Bezpečnostní opatření slouží k zabezpečení důvěrnosti a dostupnosti chráněných osobních údajů.

Oprávněné osoby jsou povinny:

  • chránit zpracované osobní údaje
  • chránit informační a technologické zdroje s údaji
  • zpracovat osobní údaje v souladu s touto směrnicí
  • informovat provozovatele, pokud zjistí porušení nebo nedodržení principů této směrnice.

Provozovatel před započetím zpracování osobních údajů a během jejich zpracování průběžně kontroluje, zda jejich zpracováním nevzniká nebezpečí narušení práv a svobod dotčených osob. Kontrolu vykonává minimálně jednou ročně, podle potřeby může i častěji. Výstupem kontroly je zápis, ve kterém jsou popsané zjištění z kontroly. V případě nedostatků jsou následně přijímaná opatření na zabezpečení bezpečnosti zpracovaných osobních údajů.

Postupy při bezpečnostních incidentech, haváriích, poruchách a jiných mimořádných situacích

Incidentem týkajícím se zpracování osobních údajů jsou jakékoliv události, při kterých dochází k narušení bezpečnosti zpracování osobních údajů, např.:

  • ztráta nebo krádež nosičů informací obsahujících osobní údaje
  • selhání informačních systémů obsahujících osobní údaje
  • výskyt škodlivého kódu v počítačových zařízeních nebo na serveru
  • podezření na neoprávněný přístup do informačních systémů
  • narušení důvěrnosti osobních údajů
  • zneužití údajů na jiné než vymezené účely
  • požár v chráněných prostorech provozovatele
  • živelné pohromy, resp. jiné nepředvídatelné mimořádné události

Provozovatel přijme přiměřená dostupná opatření na předcházení vzniku bezpečnostních incidentů.

Pokud provozovatel zjistí porušení ochrany osobních údajů a toto porušení ochrany povede k riziku pro práva dotčené osoby, je povinen přijmout přiměřené opatření na nápravu a do 72 hodin od zjištění skutečnosti o porušení ochrany osobních údajů informovat Úřad pro ochranu osobních údajů o tomto porušení.

Seznam bezpečnostních opatření

Technická opatření

Zabezpečení objektu pomocí mechanických zábranných prostředků

Objekty, ve kterých se nacházejí osobní údaje zaznamenané na fyzických nosičích nebo výpočetní technika, ze které se přistupuje do systémů na zpracování osobních údajů, musí být zabezpečené proti neoprávněnému vniknutí.

Výpočetní technika při zpracování osobních údajů musí být umístněná tak, aby nebylo možné nepověřenými osobami odpozorovat z monitoru zpracované osobní údaje dotčených osob.

Osobní údaje v tištěné formě - např. ve formě zápisu z poradenství, daňové doklady jsou skladované v sídle provozovatele v uzamykatelném trezoru nebo uzamykatelné skříni.

Pokud oprávněná osoba pracuje s osobními údaji na listinných nosičích, tyto nesmí být ponechané např. volně na stole na místě, kam mají přístup cizí osoby. Pokud je potřebné přenést listinné dokumenty, musí být celou dobu pod dozorem, nesmí být např. ponechané samotné v autě, ani pokud je uzamčené.

Ochrana před neoprávněným přístupem

Počítačové zařízení, ze kterého se přistupuje k osobním údajům dotčených osob, musí být zabezpečené heslem. Pokud je potřebné použít přenos údajů prostřednictvím počítačových sítí, je potřebné přenášená data zabezpečit pomocí hesla, bez kterého se nedá soubor s osobními údaji otevřít.

Autorizace osob v automatizovaném informačním systému

Oprávněné osoby mají na vstup do AIS vytvořeny osobní přihlašovací údaje s bezpečným heslem, které pravidelně musí měnit 1 x za 3 měsíce. Heslo musí byť "silné" - musí obsahovat kromě malých znaků abecedy také minimálně jeden velký znak a speciální znak, případně číslo. Heslo musí obsahovat náhodné znaky, ne celá slova. Příkladem silného hesla je A47Z@iYpet, příkladem slabého hesla je kojeni10. Oprávněná osoba nesmí heslo uchovávat v počítači ani mobilním zařízení, ale v písemné formě na takovém místě, kam nemají přístup neoprávněné osoby.

Ochrana proti škodlivému kódu

Počítačové zařízení, ze kterého se přistupuje do informačního systému, je zabezpečené pravidelně aktualizovaným antivirovým programem. Pravidelná rychlá kontrola počítače antivirovým programem je spuštěna automaticky každý den, hloubková kontrola 1 x týdně, vždy ve stejném čase.

Provozovatel v počítači používá jen legální software se zapnutým firewall-em. Připojení na počítačovou síť je zabezpečené šifrovaným spojením s heslem, nikdy přes veřejně přístupné počítačové sítě. Úroveň ochrany je nastavená na "střední" - upozornění, pokud se stránky pokoušejí instalovat doplňky, blokování nahlášených útočných stránek, blokování nahlášených podvodných stránek, nepamatování si uložených hesel.

Software počítačů je pravidelně aktualizován.

Zálohování zpracovaných osobních údajů

Zálohování zpracovaných osobních údajů se uskutečňuje 1 x měsíčně.

Osobní údaje uložené na pevném disku počítačového zařízení se zálohují na datový nosič určený výlučně na tyto potřeby.

Likvidace osobních údajů

Pokud je potřebné vykonat likvidaci fyzických nosičů s osobními údaji, tyto je třeba skartovat, případně jinak fyzicky zničit, aby nebylo možné zpětné zjištění osobních údajů z těchto nosičů. Za bezpečnou likvidaci nosiče se nepovažuje vyhození celého nosiče do koše!

Osobní údaje se z počítačového zařízení likvidují vymazáním z pevného disku počítačového zařízení a vymazáním z datového nosiče určeného na zálohování osobních údajů.

Osobní údaje je oprávněna likvidovat jen oprávněná osoba.

Organizační bezpečnostní opatření

Před prvním uskutečněním zpracovatelské operace s osobními údaji provozovatel poučí oprávněnou osobu o právech a povinnostech vyplývajících ze zákona a vyhotoví o tom písemný záznam o poučení.

Postupy při zpracování osobních údajů

Oprávněné osoby mají neomezený přístup k osobním údajům dotčených osob a mohou vykonávat všechny zpracovatelské operace:

- oprávnění obeznamovat se s osobními údaji

- oprávnění získávat osobní údaje ve jménu provozovatele

- oprávnění zaznamenávat osobní údaje

- oprávnění vykonávat změny a opravy osobních údajů

- oprávnění likvidovat osobní údaje

- neomezený přístup k zpracovaným osobním údajům

Zakázané postupy při zpracování osobních údajů:

  • zveřejňování osobních údajů, kromě případů, kdy dotčená osoba výslovně souhlasila se zveřejněním osobních údajů
  • poskytování osobních údajů třetím stranám, o kterých nebyla dotčená osoba předem informovaná
  • zpřístupňování osobních údajů
  • přeshraniční přenos osobních údajů

Zodpovědnost za porušení zákona o ochraně osobních údajů

Oprávněná osoba poučením přebírá na sebe zodpovědnost za zpracování osobních údajů podle této bezpečnostní směrnice. V případě, že okolnosti nedovolují dodržet všechny uvedená bezpečnostní opatření, bezodkladně informuje o této skutečnosti provozovatele.

Vzdělávání

Oprávněná osoba je před první zpracovatelskou operaci s osobními údaji důkladně obeznámena se systémem na zpracování osobních údajů. Oprávněná osoba je také obeznámena s pravidly používání počítačových zařízení a možnými riziky spojenými s jejich používáním v rámci sítě Internetu.

Postup při ukončení případného pracovního poměru oprávněné osoby nebo spolupráce s oprávněnou osobou

Provozovatel při ukončení pracovního poměru oprávněné osoby nebo ukončení spolupráce s oprávněnou osobou zruší této osobě přístupová práva do správy informačních systémů. I po ukončení pracovního poměru nebo ukončení spolupráce je oprávněná osoba povinna dodržovat mlčenlivost o osobních údajích zpracovávaných během trvání jejího pracovního poměru nebo trvání spolupráce s provozovatelem.

Postup při poruše počítačového zařízení

Pokud je potřebné vykonat opravu počítačového zařízení, ve kterém jsou osobní údaje, mimo sídla provozovatele, je potřebné osobní údaje z počítačového zařízení zálohovat na datový nosič, vymazat z počítačového zařízení a až poté umožnit opravu zařízení.

Tato bezpečnostní směrnice je závazná a platná od 25. 5. 2018

Tereza Hovorková, certifikovaná laktační poradkyně o.z. MAMILA, poradkyně při nošení dětí
Vytvořeno službou Webnode Cookies
Vytvořte si webové stránky zdarma! Tento web je vytvořený pomocí Webnode. Vytvořte si vlastní stránky zdarma ještě dnes! Vytvořit stránky