INTERNET PORTAL s.r.o. REGON 227 96 304, z siedzibą w Bílá – Vlčetín 44, Republika Czeska, kod pocztowy: 463 43 |
Dyrektywy dotyczące zapewniania ochrony danych osobowych |
Numer seryjny: |
1/2018 |
Dyrektywa została przyjęta: |
20.05.2018 |
Dyrektywa weszła w życie: |
25.05.2018 |
Organ ustawowy: |
Matěj Murín |
I. Wstęp
I.1. Definicje pojęć
W związku niniejszą dyrektywą pod niżej określonymi pojęciami rozumie się:
Spółka INTERNET PORTAL s.r.o., REGON 227 96 304, z siedzibą w Bílá – Vlčetín 44, Republika Czeska, kod pocztowy: 463 43, zapisana w rejestrze handlowym prowadzonym przez Sąd okręgowy w Ústí nad Labem, PP nr.: C 31862
Rozporządzenie Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenie dyrektywy 95/46/ES (ogólne rozporządzenie o ochronie danych osobowych)
Kodeks pracy Ustawa nr. 262/2006 Sb. czeskiego kodeksu pracy, w brzmieniu późniejszych przepisów.
Podmiot danych Osoba fizyczna, której dotyczą dane osobowe.
Administrator Podmiot, który określa cel i sposoby przetwarzania danych osobowych, przeprowadza przetwarzanie i jest za nie odpowiedzialny.
Osoba uprawniona Każda osoba fizyczna, która ma kontakt z danymi osobowymi w ramach swojego zatrudnienia, na podstawie pełnomocnictwa, pozwolenia, mianowania, w ramach wykonywanej funkcji, lub na podstawie umowy z administratorem albo osobą przetwarzającą dane osobowe w zakresie i sposobie związanym z wykonywaną funkcją zgodnie z wymogami prawnymi. Osoby uprawnione w Spółce do przetwarzania danych osobowych:
- kadra kierownicza
- pracownicy oraz umowni partnerzy, którzy dbają o agendę personalną i księgową Spółki
- pracownicy oraz umowni partnerzy, którzy dbają o systemy informacyjne służące do przetwarzania danych osobowych
- osoby, które otrzymały pozwolenie na podstawie umowy o pracę lub innej zawartej umowy
Osoba
odpowiedzialna Osoba mianowana kadrą kierowniczą do nadzorowania przetwarzania danych osobowych w środowisku Spółki.
Osoba
przetwarzająca Podmiot, który przetwarza dane osobowe dla administratora.
Dane osobowe Wszelkie informcje o zidentyfikowanej lub możliwej do zidentyfikowania osobie; osoba fizyczna, którą można zidentyfikowat w sposób pośredni lub bezpośredni, głownie na podstawie określonego identyfikatora, na przykład imienia, nazwiska, numeru identyfikacyjnego, danych dotyczących lokalizacji, identyfikatora sieciowego lub znaków specjalnych, takich jak: fizyczne, fizjologiczne, genetyczne, psychiczne, ekonomiczne, kulturowe oraz tożsamościowe dane konkretnej osoby fizycznej;
Dane wrażliwe Dane osobowe, które świadczą o rasowym, czy etnicznym pochodzeniu, poglądach politycznych, wyznaniu, przekonaniach filozoficznych, członkostwie w związkach oraz o przetwarzaniu danych genetycznych i biometrycznych w celu zidentyfikowania osoby fizycznej, jak również danych dotyczących jej stanu zdrowia, życia seksualnego oraz orientacji seksualnej.
Przetwarzanie Jakakolwiek operacja lub zestaw operacji z użyciem danych osobowych, która jest wykonywana przy pomocy lub bez pomocy zabiegów automatycznych, takich jak gromadzenie, rejestrowanie, organizowanie, strukturyzowanie, zapisywanie, dopasowywanie, zmienianie, wyszukiwanie oraz wgląd, zastosowanie, udostępnienie poprzez przeniesienie, rozpowrzechnianie lub jakiekolwiek inne ujawnienie, sortowanie, połączenie, ograniczenie, usunięcie, czy zniszczenie.
Zgoda osoby
fizycznej Jakikolwiek przejaw wolnej, konkretnej, świadomej i jednoznacznej woli, którym podmiot danych poprzez deklarację lub inne potwierdzenie udziela zgodę na przetwarzanie swoich danych osobowych.
Cel przetwarzania Wcześniej ustalony, jednoznacznie zdefiniowany lub określony zamiar przetwarzania danych osobowych, który jest związany z konkretną czynnością dotyczącą przetwarzania danych osobowych.
Naruszenie
bezpieczeństwa Naruszenie zabezpieczeń danych osobowych, które skutkuje przypadkowym lub bezprawnym zniszczeniem danych osobowych, ich utratą, zmianą, czy nielegalnym przekazaniem danych przenośnych, zapisanych lub przetwarzanych w inny sposób.
Anonimowość danychDane, których w pierwotnym formacie, lub po przetworzeniu nie można powiązać z określonym lub dającym się określić podmiotem.
Blokowanie Operacja lub zestaw operacji, dzięki którym dojdzie do ograniczenia sposobu lub środków przetwarzania danych osobowych, z wyjątkiem koniecznych interwencji.
I.2. Przedmiot, cel i czynności
(1) Niniejsza dyrektywa reguluje postępowanie podczas przetwarzania danych osobowych przez Spółkę zgodnie z odpowiednimi Rozporządzeniami przepisów krajowych.
(2) Niniejsza dyrektywa dotyczy danych osobowych przetwarzanych przez pracowników Spółki oraz osób uprawnionych, które przetwarzają dane na podstawie umowy zawartej ze Spółką.
(3) Niniejsza dyrektywa określa pracownikom i innym osobom uczestniczącym w procesie przetwarzania danych osobowych w Spółce, ich prawa i obowiązki związane z przetwarzaniem danych osobowych.
II. Zasady przetwarzania danych osobowych
Spółka, jako administrator lub osoba odpowiedzialna za przetwarzanie danych osobowych jest zobowiązana podczas przetwarzania danych osobowych do przestrzegnia zasad przetwarzania danych osobowych określonych w art. 5 Rozporządzenia.
2.1. Jawność i zgodność z prawem
Podczas przetwarzania danych osobowych musi być respektowane prawo do dostępu do informacji podmiotu danych. Dane osobowe muszą być gromadzone i przetwarzane poprawnie, w sposób jawny i zgodny z prawem.
Podmiot musi być informowany o wszelkich czynnościach, podczas których wykorzystywane są jego dane. Po uzyskaniu danych podmiot musi zostać poinformowany przynajmniej o:
- tożsamości administratora
- celu przetwarzania danych osobowych i związanych z tym kategoriami i źródłami
- uzasadnionych interesach administratora w przypadku, że przetwarzanie danych osobowych jest dla tych interesów niezbędne
- okresie przechowywania danych osobowych
- odbiorcach lub kategorii odbiorców, którym dane osobowe mogą być udostępniane
- prawach podmiotu
- o tym, czy udostępnianie danych jest częścią prawnego, czy umownego obowiązku oraz o możliwych następstwach ich nieudostępnienia
- istnieniu systemu automatycznego procesu decyzyjnego, włącznie z profilowaniem
2.2. Ograniczenia dotyczące celu przetwarzania danych osobowych
Przetwarzanie danych osobowych jest możliwe tylko w określonych, zgodnych z prawem celach ustalonych jeszcze przed rozpoczęciem gromadzenia danych. Ewentualne zmiany celu są możliwe tylko w przypadku, że są one zgodne z pierwotnym celem i wymagają podania uzasadnienia.
Przed rozpoczęciem przetwarzania administrator jest zobowiązany do określenia celu przetwarzania danych osobowych, cel musi być podany klarownie, jednoznacznie, konkretnie i być zgodny z obowiązującym prawem.
Administrator nie może korzystać z danych osobowych w innym celu, niż ten, do którego zostały uzyskane.
2.3. Minimalizacja
Zanim dane osobowe zostaną przetworzone należy skontrolować, czy i do jakiego stopnia jest niezbędne ich przetworzenie do osiągnięcia zamierzonego celu. Dane osobowe muszą być adekwatne, stosowne i ograniczone do niezbędnego zkresu w związku z celem, dla którego są przetwarzane.
Dane osobowe nie mogą być przechowywane w celu przyszłego potencjalnego wykorzystania, jeśli tego nie określają lub na to nie pozwalają przepisy prawa.
Dane osobowe można przechowywać tylko przez okres, który jest niezbędny do ich przetworzenia. Po tym czasie dane osobowe muszą zostać zlikwidowane. Dane mogą być przechowywane tylko w celach określanych przez państwowe urzędy statystyczne, w celach naukowych i archiwistycznych. Przy wykorzystaniu danych we wspomnianych celach należy zadbać o prawo do ochrony przed nielegalną ingerencją do prywatności i życia osobistego podmiotu, poprzez anonimizowanie danych osobowych, jak tylko będzie to możliwe.
2.4. Dokładność i aktualność danych osobowych
Spółka przetwarza tylko dokładne, pełne i w razie potrzeby również zaktualizowane dane osobowe.
Jeżeli Spółka stwierdzi, że przetwarzane dane ze względu na ustalony cel przetwarzania, nie są dokładne, bezzwłocznie podejmie działania prowadzące do usunięcia, poprawy, uzupełnienia lub aktualizacji niedokładnych, niepełnych albo przestarzałych danych.
Przetwarzanie danych osobowych w takim przypadku zostanie zablokowane, a dane zostaną poprawione lub uzupełnione, w przeciwnim przypadku dane osobowe zostaną zlikwidowane. Niedokładne dane osobowe muszą zostać oznaczone. Administrator ma obowiązek bezzwłocznie przekazać nformację o zablokowaniu, poprawie, uzupełnieniu, czy zlikwidowaniu danych osobowych wszystkim odbiorcom.
2.5. Integralność i poufność danych osobowych
Dane osobowe podlegają obowiązkowi dochowania tajemnicy i należy z nimi postępować jak z informacjami poufnymi. Odpowiednie środki organizacyjne i techniczne muszą zapewniać ochronę przed nieuprawnionym dostępem, nieuprawionym lub nielegalnym przetwarzaniem lub ujawnieniem oraz przed przypadkową utratą, zmianą lub zniszczeniem danych osobowych.
III. Przetwarzanie danych osobowych
3.1. Prawomocność przetwarzania
Gromadzenie, przetwarzanie i korzystanie z danych osobowych jest dopuszczalne tylko jeżeli zaistniała jedna z następujących sytuacji (tytułem przetwarzania):
a) przetwarzanie jest niezbędne do zawarcia, czy wykonywania warunków umowy, której jedną ze stron jest podmiot;
b) przetwarzanie jest wymagane do spełnienia obowiązków prawnych, którym podlega administrator;
c) przetwarzanie jest wymagane w celu umożliwienia wykonywania uprawnionych interesów administratora;
d) przetwarzanie jest niezbędne do ochrony interesów życiowych podmiotu;
e) podmiot udzielił zgody na przetwarzanie danych osobowych w jednym lub więcej konkretnych celów (wyraźna zgoda na przetwarzanie Danych Osobowych).
Spełnienie niektórego z powyższych warunków jest wymagane również w przypadku, że cel gromadzenia, przetwarzania i korzystania z danych osobowych uległ zmianie.
Zgoda na przetwarzanie danych osobowych nie jest wymagana w przypadku, że istnieje inny, zgodny z prawem powód do przetwarzania danych osobowych (umowa, przepis prawny).
3.2. Przetwarzane dane
(1) Spółka jest administratorem, który przeprowadza przetwarzanie, gromadzenie, przechowywanie, ujawnianie i likwidację danych oraz wyznacza osoby, które będą zajmować się przetwarzaniem osobowych niniejszych podmiotów:
a) umowni partnerzy Spółki (np. klienci i dostawcy),
b) pracownicy Spółki (stosunek pracy oparty na umowie o pracę i porozumieniu)
(2) Dane osobowe są gromadzone w formie papierowej i elektronicznej.
3.2.1. Dane klientów, potencjalnych klientów i dostawców
Zanim zostanie zawarty stosunek pracy i podczas jego trwania, po uprzednim pouczeniu podmiotu, gromadzone są jedynie dane osobowe o klientach, potencjalnych klientach oraz dostawcach, które mają związek ze skutkiem pracy i są niezbędne do jego realizacji, a ich zbieranie i przetwarzanie odbywa się zgodnie z warunkami określonymi przepisami prawa.
3.2.1.1. Przetwarzanie danych osobowych w celu spełnienia obowiązków określonych przez stosunek pracy
Przetwarzanie danych osobowych klientów lub dostawców jest dozwolone, jeżeli dane osobowe posłużą do wypełnienia warunków umowy lub do wypełnienia zobowiązań przedumownych. Obejmuje to również opiekę nad stroną umawiającą, jeżeli jest to zgodne z celem umowy. Podczas przygotowywania umowy, tj. przed zawarciem własnej umowy, przetwrzanie danych jest możliwe np. w celu przygotownia ofert, przygotowania wniosków dotyczących zakupu lub spełnienia innych warunków strony uczestniczącej niezbędnych do zawarcia umowy. W przypadku wszelkich ofert marketingowych muszą zostać spełnione następujące wymagania zgodne z punktem 3.2.1.2. niniejszej dyrektywy.
3.2.1.2. Przetwarzanie danych osobowych w celach marketingowych
Przetwarzanie danych osobowych w celach reklamowych lub przeprowadzenia badań rynkowych jest możliwe tylko w przypadku, że jest to zgodne z celem, do którego dane zostały udostępnione. Podmiot musi zostać poinformowany o tym, że jego dane osobowy są wykorzystywane do celów marketingowych. Jeżeli dane są zbierane wyłącznie w celach propagandowych, ich udostępnienie przez podmiot musi być dobrowolne i podmiot musi być o tym poinformowany.
Jeżeli podmiot nie zgadza się na wykorzystywanie swoich danych osobowych w celach reklamowych i marketingowych, ich wykorzystanie w tym celu jest niedopuszczalne i należy unikać korzystania z nich we wspomnianym celu.
W Spółce nie dochodzi do przetwarzania danych osobowych w celach marketingowych.
3.2.1.3. Zgoda na przetwarzanie danych osobowych
Przetwarzanie danych osobowych może przebiegać na podstawie zgody uzyskanej od podmiotu.
Przed udzieleniem zgody podmiot musi zostać poinformowany zgodnie z nieniejszą dyrektywą. Ze względów dowodowych oświadczenie o wyrażeniu zgody zawsze musi zostać dostarczone w formie pisemnej lub elektronicznej. W określonych przypadkach, jeżeli uzyskanie zgody nie jest możliwe w inny sposób (na przykład podczas komunikacji telefonicznej), zgoda może zostać udzielona ustnie. Udzielenie zgody musi zostać udokumentowane.
Zgoda musi wyraźnie różnić się od pozostałych przedmiotów umowy, być zrozumiała, łatwo dostępna i odnosić się do konkretnego celu lub celów.
Wyrażenie zgody musi być dobrowolne. Wyrażenie zgody nie może być warunkiem świadczenia usługi klientowi.
3.2.1.4. Przetwarzanie danych na podstawie autoryzacji prawnej – do realizacji obowiązków prawnych
Przetwarzanie danych osobowych jest dopuszczalne w przypadkach, w których prawo wymaga lub zezwala na przetwarzanie danych w niezbędnym zakresie, regulowanym przez obowiązujące przepisy prawa.
3.2.1.5. Przetwarzanie danych w oparciu o uzasadnione interesy Spółki
Przetwarzanie danych osobowych jest również możliwe, jeżeli jest ono niezbędne do osiągnięcia uzasadnionych interesów Spółki. Uzasadnione interesy Spółki mają zazwyczaj podłoże prawne (np. egzekwowanie zaległych należności) lub ekonomiczne (np. zapobieganie naruszeniom waunków umowy, ochrona własności).
Przetwarzanie danych osobowych na podstawie uzasadnionych interesów Spółki nie może zostać zrealizowane, jeżeli w pojedyńczych przypadkach istnieje wątpliwość, że interesy podmiotu, które mają być chronione, przewyższają interesy Spółki związane z przetworzeniem danych. Istnienie interesów godnych ochrony należy zweryfikować podczas każdego przetworzenia opartego na uzasadnionym interesie Spółki i sporządzić odpowiednią adnotację.
3.2.1.6. Przetwarzanie danych z kategorii specjalnych (wrażliwych)
Przetwarzanie danych ze specjalnych kategorii, które wymagają szczególnej ochrony, może zostać przeprowadzone tylko jeżeli jest to zgodne z prawem, lub na podstawie wyraźnej zgody podmiotu.
Przetwarzanie wspomnianych danych jest również dopuszczalne, jeżeli jest ono niezbędne do zastosowania, wykonania albo ochrony roszczeń prawnych podmiotu.
3.2.1.7. Zautomatyzowany proces decyzjny i profilowanie
Zautomatyzowane przetwarzanie danych osobowych, które ocenia indywidualne cechy osobowości (takie jak wydajność), nie powinno być jedyną podstawą decyzji o negatywnych skutkach prawnych dla osoby, której dane dotyczą. Podmiot musi zostać poinformowany o zautomatyzowanym procesie decyzyjnym oraz o wynikach zautomatyzowanego indywidualnego procesu decyzyjnego i musi mieć możliwość określenia swoich warunków. Aby uniknąć błędnego procesu decyzjnego, musi zostać zagwarantowana możliwość kontroli przez pracowników Spółki.
W Spółce nie dochodzi do zautomatyzowanego procesu decyzjnego, ani profilowania podczas przetwarzania danych osobowych.
3.2.1.8. Dane użytkownika i Internet
Jeżeli dane osobowe są gromadzone, przetwarzane i wykorzystywane na stronach internetowych lub w aplikacjach Spółki, podmiot musi zostać o tym zostać poinformowany w oświadczeniach o ochronie danych osobowych, a w przypadku korzystania z plików cookie muszą mu zostać dostarczone informacje również o tych plikach. Powiadomienia dotyczące prywatności i powiadomienia o plikach cookie muszą być zintegrowane, tak aby były łatwo rozpoznawalne, dostępne od razu i na stałę dla osób zainteresowanych.
Jeżeli profile użytkowników zostały utworzone w celu oceny zachowań użytkowników na stronach internetowych i w aplikacjach (obserwowanie), podmiot zawsze musi zostać o tym poinformowany w oświadczeniu o ochronie danych.
3.2.2. Dane pracowników i pracowników kontraktowych spółki
(1) Przed nawiązaniem stosunku pracy i w czasie jego trwania są, po wcześniejszym pouczeniu podmiotu, gromadzone tylko te dane osobowe o kandydatach na pracowników i pracownikach, które są niezbędne do zaistnienia stosunku pracy, a ich gromadzenie i przetwarzanie przebiega zgodnie z zasadami prawa.
(2) Dane osobowe pracowników są przechowywane w aktach personalnych pracowników, które są prowadzone w formie papierowej i przechowywane w zamykanej szafie. Akta personalne lub niektóre dane z nich (np. frekwencja) mogą być prowadzone w formie elektronicznej i w takim przypadku dostęp do akt z danymi osobowymi jest zabezpieczony hasłem/dostęp do techniki komputerowej z danymi osobowymi z akt personalnych jest zabezpieczony hasłem.
(3) Akta personalne pracownika mogą zawierać (lecz nie muszą się do nich ograniczać) następujące dane:
a) Podstawowe dane umożliwiające identyfikację
- Prośba kandydata o przyjęcie do pracy
- Świadectwo pracy od poprzedniego pracodawcy
- Kwestionariusz osobowy
- Curriculum vitae
- Kopie dokumentów zaświadczających dotychczasowe wykształcenie
- Dokumenty zaświadczające dalszą edukację
- Orzeczenie lekarza potwierdzające zdolność do pracy, lecz nie konkretne dane o stanie zdrowia kandydata
- Zmiany w danych osobowych
b) Umowy
- umowa o pracę i związane z nią dodatki oraz zmiany
- umowa o odpowiedzialności i ochronie materialnej powierzonej do rozliczenia
- umowa o odpowiedzialności za utratę powierzonych wartości
- umowa o działalności związanej z wykonywaniem pracy
- umowa o dzieło
c) Zakres obowiązków
- ocena pracownika
- podróże służbowe (zlecenia podróży)
- przeniesienia
- zmiana miejsca pracy
- informowanie o karach, nagrodach i skargach
- wnioski pracownika i odpowiedzi na wnioski
d) Dochody i świadczenia
- zestawienie płac
- ewidencja o dochodach z działalności niezależnych podlegających opodatkowaniu
- ewidencja zaliczek
- ewidencja podatku od dochodu z działalności niezależnych
- ewidencja składek z ubezpieczeń zdrowotnych i społecznych
- ewidencja innych ubezpieczeń
- arkusz ewidencyjny o zabezpieczeniu emerytalnym
- pożyczki i zapomogi
e) Czas pracy
- ewidencja czasu pracy
- ewidencja nadgodzin
- ewidencja dyżurów
- ewidencja nocnych zmian
- ewidencja nieobecności
- ewidencja niezdolności do pracy
- ewidencja urlopów
(4) Materiały zawarte w aktach osobowych pracownika służą wyłącznie do wewnętrznych potrzeb Spółki i do przestrzegania ustawowych obowiązków. Spółka zapewnia ochronę danych osobowych pracowników przed nieuprawnionym dostępem osób nieupoważnionych oraz przed ich nadużyciem.
(5) Podstawowym obowiązkiem pracowników, który dotyczy wszelkich przetwarzanch danych, jest zachowanie milczenia o faktach, które poznali podczas wykonywania pracy i które w interesie pracodawcy nie mogą być przekazywane innym osobom; obowiązek zachowania milczenia zostaje unieważniony, jeśli organ statuowy lub inny upoważniony pracownik Spółki zwolnił Podmiot z niniejszego obowiązku i jeżeli prawo nie stanowi inaczej.
3.2.2.1. Przetwarzanie danych osobowych w celu realizacji stosunku pracy
Po zawarciu stosunku pracy dane osobowe mogą być przetwarzane w celach niezbędnych do zawarcia, realizacji i ukończenia stosunku pracy na podstawie umowy o pracę lub umowy o dzieło wykonywanej poza zatrudnieniem (umowa o dzieło, umowa zlecenie).
Przed zawarciem stosunku pracy dane osobowe kandytadów na pracowników mogą być przetwarzane. Dane osobowe nieprzyjętych kandydatów na pracowników muszą zostać usunięte po upływie terminów okresu rekrutacji, chyba że kandydat wyraźnie wyrazi zgodę na dłuższe przechowywanie danych do innej rekrutacji.
3.2.2.2. Przetwarzanie danych w oparciu o autoryzację prawną - w celu realizacji obowiązku prawnego
Przetwarzanie danych osobowych o pracownikach jest możliwe, jeżeli wymagają lub zezwalają na to przepisy prawa. Rodzaj i zakres przetwarzanych danych jest niezbędny do realizacji obowiązków prawnych i musi być regulowany odpowiednimi przepisami (ustalonymi np. przez ubezpieczenie społeczne, ubezpieczenie zdrowotne, przepisy podatkowe).
3.2.2.3. Zgoda na przetwarzanie danych osobowych
Przetwarzanie danych dotyczących pracowników może odbywać się wyłącznie na podstawie zgody danej osoby, w przypadku, że nie można zrealizować przetwarzania danych osobowych z innego tytułu (np. realizacja warunków umowy, obowiązki regulowane przepisami prawa).
Oświadczenie o wyrażeniu zgody na przetwarzanie danych osobowych musi zostać wypełnione dobrowolnie przez pracownika, na osobnym dokumencie, który nie jest częścią umowy o pracę. Ze względów dowodowych oświadczenie o wyrażeniu zgody musi zawsze być dostarczone w formie pisemnej lub elektronicznej. O ile nie pozwalają na to okoliczności, zgoda może zostać udzielona ustnie. W każdym ze wspomnianych przypadków udzielenie zgody musi zostać należycie udokumentowane. Przed udzieleniem zgody pracownik musi zostać poinformowany zgodnie z niniejszą dyrektywą.
3.2.2.4. Przetwarzanie danych w oparciu o uzasadnione interesy Spółki
Przetwarzanie danych osobowych pracowników jest także możliwe, jeżeli jest to niezbędne do osiągnięcia uzasadnionego (zgodnego z prawem) interesu Spółki. Uzasadnione interesy są zazwyczaj regulowane przez przepisy prawa (np. obrona roszczeń prawnych) lub ekonomicznie uzasadnione (np. ochrona mienia).
Przetwarzanie danych osobowych w oparciu o uzasadniony interes nie może być przeprowadzane, jeżeli w zaistnieje wątpliwość, że interesy pracownika podlegającego ochronie przeważają nad interesami Spółki związanymi z przetwarzaniem. Istnienie interesów, które wymagają ochrony musi zostać zweryfikowane podczas każdego przetwarzania opartego na uzasadnionym interesie i musi zostać sporządzona odpowiednia adnotacja.
Środki kontrolne wymagające przetwarzania danych osobowych pracowników mogą być wykonywane tylko w przypadku, że istnieje prawny obowiązek lub istnieje ku temu powód, na warunkach określonych w odpowiednich przepisach, w szczególności w § 316 Kodeksu pracy. Stosowność środka kontrolnego musi być zawsze rozpatrzona. Uzasadnione interesy Spółki oraz prawa i interesy pracowników muszą zostać ustalone i udokumentowane przed wprowadzeniem każdego środka kontrolnego.
3.2.2.5. Przetwarzanie kategorii specjalnych (wrażliwych) danych o pracownikach
Specjalne kategorie danych osobowych pracowników, którym należy się szczególna ochrona mogą być przetwarzane wyłącznie na określonych warunkach prawnych. Są to dane wskazujące na pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność do związków zawodowych, stan zdrowia, życie seksualne, orientację osoby fizycznej oraz dane genetyczne i biometryczne przetwarzane wyłącznie w celu zidentyfikowania osoby fizycznej .
Przetwarzanie musi być dozwolone lub wymagane przez przepisy prawa. Ponadto przetwarzanie takich danych jest możliwe w przypadku, że jest to niezbędne do wypełnienia obowiązków i wykonywania specjalnych uprawnień Spółki lub Podmiotu w zakresie prawa pracy oraz ubezpieczeń społecznych i ochrony socjalnej.
W pozostałych przypadkach pracownik musi wyrazić zgodę na przetwarzanie tych kategorii danych w określonym celu.
W Spółce nie są przetwarzane wrażliwe dane osobowe pracowników.
3.2.2.6. Automatyczny proces decyzyjny, profilowanie
Jeżeli dane osobowe są przetwarzane automatycznie i wykorzystywane do oceny indywidualnych cech osobowości osoby fizycznej (np. w ramach selekcji personelu lub oceny profilu kompetencji do wykonywanej pracy), to takie automatyczne przetwarzanie nie może być jedyną podstawą do podjęcia decyzji z negatywnymi konsekwencjami lub o znaczącej szkodzie dla osób zainteresowanych. Aby uniknąć błędnego podjęcia decyzji, zautomatyzowany proces decyzyjny musi gwarantować, że ocena istotnych faktów jest przeprowadzana przez osobę fizyczną i że to jej ocena będzie podstawą do podjęcia decyzji. Zainteresowany pracownik musi również zostać poinformowany o wszelkich faktach i wynikach z automatycznego indywidualnego procesu decyzjnego i musi mieć możliwość wyrażenia swojej opinii.
W Spółce nie korzysta się z automatycznego procesu decyzyjnego ani profilowania podczas przetwarzania danych osobowych pracowników.
3.2.2.7. Telekomunikacja i Internet
Telefony, adresy e-mail, intranety, Internet oraz sieci wewnętrzne są udostępniane pracownikom przez Spółkę wyłącznie w celu wykonywania zadań służbowych. Są to urządzenia i zasoby należące do Spółki. Pracownicy mogą z nich korzystać wyłącznie zgodnie z obowiązującymi przepisami prawa i polityką Spółki w celu wykonywania swoich zadań służbowych, nie do celów prywatnych.
W związku z powyższym Spółka może zgodnie z § 316 Kodeksu pracy podjąć decyzję o monitorowaniu zakresu komunikacji telefonicznej i e-mailowej oraz monitorowaniu korzystania z intranetu i Internetu przez pracowników. Aby zapobiec atakom na infrastrukturę IT lub indywidualnych użytkowników, wprowadzono zabezpieczenia zabezpieczające sieć firmy, która blokuje szkodliwe treści techniczne i analizuje wzorce ataków. Ze względów bezpieczeństwa można rejestrować korzystanie z systemów telefonicznych, adresów e-mail, intranetu, Internetu i sieci wewnętrznych, ale nie z ich treści.
Ocena tych danych, w tym ich treści, może być dokonana jedynie w przypadku uzasadnionego podejrzenia naruszenia przepisów prawa lub zasad Spółki. Takie kontrole mogą być przeprowadzane wyłącznie zgodnie z zasadą proporcjonalności.
IV. Środki ochrony danych osobowych
(1) Spółka jest zobowiązana do podjęcia kroków mających na celu uniemożliwienie nieuprawnionego lub przypadkowego dostępu, zmiany, zniszczenia, utraty lub nielegalnego przetworzenia danych osobowych, w tym również ich znieużycia. Powinność ta obowiązuje nawet po zakończeniu przetwarzania danych osobowych.
(2) System ochrony danych osobowych składa się z zestawu środków organizacyjnych, personalnych i technicznych wdrożonych w Spółce w celu zapewnienia ochrony i bezpieczeństwa danych osobowych.
(3) Dane osobowe podlegają obowiązkowi dochowania tajemnicy. Zabrania się osobom uprawnionym ich nieuprawnionego zbierania, przetwarzania lub wykorzystania.
(4) Wszelkie przetwarzanie wykonywane przez pracownika jest zabronione, chyba że, na mocy upoważnienia,w ramach wykonywania obowiązków z zakresu jego pracy lub jeżeli z niniejszej dyrektywy nie wynika, że ma on prawo do przetwarzania danych osobowych. Upoważnione osoby (pracownicy) mogą uzyskiwać dostęp do danych osobowych tylko wtedy, gdy jest to konieczne i w zakresie niezbędnym do wykonywania ich obowiązków.
(5) Dostęp poszczególnych pracowników do indywidualnych danych osobowych w ramach pojedyńczych działów jest ograniczony, tak aby żaden pracownik nie miał dostępu do danych osobowych, których nie potrzebuje do wykonywania swojej pracy. Kierownik działu odpowiada za podział dostępu do danych osobowych między poszczególnymi pracownikami wydziału.
4.1. Środki techniczne i organizacyjne do zapewnienia ochrony danych osobowych
(1) Dane osobowe muszą być zawsze chronione przed nieuprawnionym dostępem, naruszeniem lub ujawnieniem, a także przed utratą, zmianą lub zniszczeniem. Obowiązuje to niezależnie od tego, czy dane są przetwarzane elektronicznie, czy w formie papierowej. Przed wprowadzeniem nowych metod i systemów przetwarzania danych osobowych, w szczególności nowych systemów informatycznych, należy wprowadzić i wdrożyć środki techniczne i organizacyjne w zakresie ochrony danych osobowych. Środki te muszą opierać się na aktualnym stanie techniki, ryzyku związanym z przetwarzaniem w odniesieniu do poziomu ryzyka związanego z prawami osób, których dane dotyczą.
(2) Środki techniczne i organizacyjne w zakresie ochrony danych osobowych stanowią część bezpieczeństwa informacji i ochrony danych Spółki i są stale dostosowywane do zmian technicznych i zmian organizacyjnych.
(3) Minimalne środki organizacyjne, personalne i techniczne w Spółce obejmują:
a) określenie celu przetwarzania danych osobowych zgodnego z Rozporządeniem i niniejszą dyrektywą,
b) określenie osób uprawnionych do przetwarzania danych osobowych,
c) określenie odpowiedzialności i obowiązku dochowania tajemnicy w ramach wykonywania stosunku pracy zgodnego z przepisami Kodeksu pracy,
d) zabezpieczenie nośników informacji z danymi osobowymi przechowywanymi w formie pisemnej i elektronicznej na nośnikach przenośnych przechowywanych w zamykanych pomieszczeniach (np. biuro, sejf, szafka),
e) zabezpieczanie informacji o danych osobowych przechowywanych w systemie informacyjnym poprzez wprowadzanie praw dostępu do systemu informatycznego i poszczególnych plików (ochrona hasłem),
f) zapobiegać dostępowi osób nieuprawnionych do danych osobowych i środków przetwarzania takich danych, w tym nieuprawnionemu dostępowi do nośników danych,
g) zapobiegać nieuprawnionemu odczytywaniu, tworzeniu, kopiowaniu, przesyłaniu, zmienianiu lub usuwaniu zapisów zawierających dane osobowe,
h) środki służące do identyfikacji i weryfikacji osób, którym zostały przekazane dane osobowe,
i) prowadzenie rejestrów przetwarzanych danych osobowych i umów dotyczących przetwarzania.
(4) Dokumenty i inne materialne nośniki danych, które zawierają dane osobowe, mogą być przechowywane tylko w zamykanych pomieszczeniach, w zamykanych szafkach, ewentualnie też w innych miejscach, w których można danym zapewnić ochronę przed kradzieżą, utratą lub niewłaściwym użyciem. Dotyczy to również kopii dokumentów zawierających dane osobowe.
(5) Elektroniczne pliki danych zawierające dane osobowe mogą być przechowywane wyłącznie w pamięci komputera lub w innym sprzęcie komputerowym:
a) w przypadku, że dostęp do tych plików jest zabezpieczony hasłem, oraz
b) w przypadku, że dostęp do komputera, w którego pamięci znajdują się dane jest chroniony hasłem.
(6) Wysyłanie plików zawierających dane osobowe pocztą e-mail jest możliwe tylko jeżeli plik jest chroniony hasłem lub komunikacja e-mail jest szyfrowana lub jeśli dostęp do poczty e-mail jest zabezpieczony silnym hasłem. Dostatecznie silne hasło to takie składające się z co najmniej sześciu znaków, z których co najmniej jeden znak będzie wielką literą, małą literą oraz z cyfr.
(7) Gdy pracownik opuszcza miejsce pracy, w którym przechowywane są dokumenty i inne materialne nośniki danych, jest zobowiązany do zamknięcia pomieszczenia. Przed opuszczeniem miejsca pracy jest również zobowiązany do wylogowania się z komputera (systemu informacyjnego).
4.2. Obowiązki osób uprawnionych przy przetwarzaniu danych osobowych
(1) Obowiązki osoby uprawnionej:
a) przetwarzanie danych osobowych w zakresie swojego upoważnienia oraz zgodnie z Rozporządzeniem i niniejszą dyrektywą
b) uzyzkiwanie tylko tych danych osobowych, które są niezbędne do realizacji wyznaczonego celu przetwarzania; uzyskanie danych osobowych przez osobę upoważnioną pod pretekstem wykorzystania ich w innym celu lub w ramach innej działalności jest zabronione,
c) wykonywanie wyłącznie legalnych operacji przetwarzania, tylko z poprawnymi, kompletnymi i jeśli to konieczne, aktualizowanymi danymi osobowymi,
d) przestrzeganie i dbanie o poprawność danych osobowych, weryfikowanie otrzymanych danych na podstawie przeznaczonych do tego dokumentów;
e) poprawianie oraz uzupełnianie nieprawidłowych i niekompletnych danych (na podstawie źródeł otrzymanych od osoby zainteresowanej) bez zbędnej zwłoki; niepoprawne i niekompletne dane osobowe, które nie mogą być poprawione lub uzupełnione tak, aby były poprawne i kompletne, należy zablokować , dopóki nie zostanie podejęta decyzja o ich likwidacji zgodnie z wewnętrznymi przepisami administratora,
f) zapoznanie osoby zainteresowanej z informacjami przewidzianymi w niniejszej dyrektywie (pkt 2.1.) jeszcze przed uzyskaniem danych osobowych i poinformowanie o dobrowolnym charakterze lub obowiązku podania danych osobowych oraz o swoich prawach i obowiązkach
g) postępowanie zgodnie z uzgodnieniami technicznymi, organizacyjnymi i personalnymi w celu zapewnienia ochrony danych osobowych,
h) bezpieczne pozbywanie się niepotrzebnych danych osobowych poprzez ich usunięcie, anonimizację lub zniszczenie tak, aby osoba, której dane dotyczą, nie była już możliwa do zidentyfikowania;
i) ochrona otrzymanych dokumentów i plików z danymi osobowymi przed utratą, uszkodzeniem, niewłaściwym wykorzystaniem, kradzieżą, nieuprawnionym ujawnieniem, udostępnieniem i niedopuszczalnymi formami przetwarzania
j) dochowanie tajemnicy dotyczącej haseł umożliwiających dostęp do urządzeń, folderów i dokumentów zawierających dane osobowe,
k) przestrzegania poufności danych osobowych, z którymi ma kontakt w trakcie wykonywania swoich obowiązków oraz po ustaniu stosunku pracy lub podobnego stosunku; nie dotyczy prawnie ustalonych wyjątków,
l) nie pozostawianie systemów IT niezabezpieczonych przed nieuprawnionym dostępem (wylogowanie się z systemu informacyjnego)
m) pilnowanie, aby dokumenty (nośniki danych osobowych) nie pozostawały wolnodostępne w miejscu pracy
n) nie pozostawianie osoby nieuprawnionej w miejscu pracy bez dozoru innego pracownika,
o) nie sporządzanie kopii ani rejestrów obrazów danych osobowych dla własnych potrzeb;
p) przetwarzania danych osobowych tylko na zasobach powierzonych przez Spółkę (tj. nie wykorzystywania własnych urządzeń - laptopów, komputerów stacjonarnych, pamięci flash itp.)
(2) Naruszenie obowiązków określonych w niniejszej dyrektywie będzie traktowane przez Spółkę jako naruszenie obowiązków odnoszących się wykonywanej przez pracownika pracy, bez uszczerbku dla odpowiedzialności wynikającej z przepisów prawa. Takie naruszenie obowiązków wynikających z niniejszej dyrektywy przez pracownika może, w zależności od przypadku, stanowić naruszenie obowiązków pracownika wynikających z przepisów prawa. Może to też odnosić się do wykonywanej przez niego w sposób wyjątkowo niedbały pracy. Takie zachowania mogą skutkować natychmiastowym ukończeniem stosunku pracy danego pracownika przez Spółkę.
(3) Za naruszenie obowiązków podczas przetwarzania danych osobowych Spółka podlega karze pieniężnej w wysokości do 20.000.000 € lub do 4% z całkowitego rocznego obrotu za poprzedni rok rozliczeniowy, w zależności od tego, która z tych wartości jest wyższa. Spółka ponosi również odpowiedzialność za wszelkie szkody poniesione przez osobę trzecią w wyniku takiego naruszenia. W powyższych przypadkach Spółka ma prawo dochodzić odszkodowania od pracownika zgodnie z ogólnie obowiązującymi przepisami prawa.
(4) Naruszenie ustawowego obowiązku dochowania tajemnici może, w zależności od okoliczności, spełniać warunki świadczące o przestępstwie nieuprawnionego przetwarzania danych osobowych; przestępstwo to może również zostać popełnione przez podmiot prawny.
4.3. Zdarzenia związane z bezpieczeństwem
(1) Każda osoba upoważniona do korzystania z danych osobowych jest zobowiązana do niezwłocznego zgłoszenia zarządowi Spółki lub osobie odpowiedzialnej wszelkich naruszeń przepisów niniejszej dyrektywy lub przepisów o ochronie danych osobowych (incydenty dotyczące ochrony danych osobowych).
(2) W przypadku
- bezprawnego udostępnienia danych osobowych osobom trzecim,
- nielegalnego dostępu osób trzecich do danych osobowych, lub
- w przypadku przypadkowego lub niezgodnego z prawem zniszczenia, utraty lub zmiany danych osobowych
konieczne jest niezwłoczne zgłoszenie takiego faktu zarządowi Spółki lub osobie odpowiedzialnej w taki sposób, aby Spółka mogła wypełnić swój obowiązek sprawozdawczy zgodnie z art. 33 Rozporządzenia wobec organów nadzorczych.
(3) Spółka jest zobowiązana do zgłaszania wszelkich naruszeń ochrony danych osobowych bez zbędnej zwłoki do urzędu nadzorczego. Jeśli jest to możliwe, zgłoszenie powinno nastąpić w ciągu 72 godzin od momentu, w którym Spółka dowiedziała się o naruszeniu.
(4) Powiadomienie o incydencie musi zawierać co najmniej:
a) opis charakteru przypadku naruszenia danych osobowych, w tym, w miarę możliwości, kategorie i przybliżonej ilości podmiotów danych i kategorii danych oraz przybliżoną ilość danych osobowych, których to dotyczy;
b) nazwę i dane miejsca, w którym można uzyskać bliższe informacje;
c) opis prawdopodobnych skutków naruszenia zabezpieczeń danych osobowych;
d) opis podjętych lub proponowanych środków mających na celu rozwiązanie problemu naruszenia danych osobowych, w tym wszelkich środków mających na celu złagodzenie ewentualnych negatywnych skutków naruszenia.
4.4. Osoby przetwarzające dane osobowe
(1) Jeżeli przetwarzanie danych osobowych zebranych przez Spółkę jest powierzone podmiotowi zewnętrznemu, otrzymuje on status osoby przetwarzającej (np. pracujący dla Spółki księgowy). Z osobą przetwarzającą zawsze musi zostać zawarta pisemna umowa, która określi zasady przetwarzania danych. Administrator jest w pełni odpowiedzialny za przetwarzanie danych przez osobę przetwarzającą. Osoba przetwarzająca może przetwarzać dane osobowe tylko zgodnie z instrukcjami administratora.
(2) W ramach stosunku pracy z osobą przetwarzającą należy uwzględni
(3) następujące warunki:
a) Osoba przetwarzająca musi zostać wybrana zgodnie z jej zdolnością do zapewnienia niezbędnych zabezpieczeń technicznych i organizacyjnych w celu zapewnienia ochrony danych osobowych.
b) Umowa zostanie zawarta w formie pisemnej. Warunki przetwarzania danych osobowych, odpowiedzialność administratora i osoby przetwarzającej muszą zostać udokumentowane.
c) Przestrzeganie wymogów bezpieczeństwa danych może osoba przetwarzająca udowodnić na przykład poprzez złożenie odpowiedniego poświadczenia.
d) Administrator jest upoważniony, w dowolnym momencie w czasie obowiązywania umowy, do przeprowadzenia kontrolii przetwarzania danych osobowych przez osobę przetwarzającą.
e) Osoba przetwarzająca powinna zawsze być zobowiązna do przestrzegania zasad niniejszej dyrektywy.
V. Ochrona praw podmiotu i ich realizacja
(1) Możliwość skorzystania z poniższych praw musi zostać zapewniona przez osobę odpowiedzialną za przetwarzanie w Spółce bez zbędnej zwłoki, bezpłatnie i nie może prowadzić do jakiejkolwiek szkody w stosunku do osoby, której dane dotyczą.
(2) Wnioski podmiotu, o skorzystanie z przysługujących mu praw, muszą zostać spełnione najpóźniej w ciągu jednego miesiąca. Jeżeli wniosek nie może zostać spełniony w terminie do jednego miesiąca, administrator może przedłużyć termin o kolejne dwa miesiące, pod warunkiem że poinformuje o tym podmiot danych .
(3) Jeżeli żądania podmiotu nie zostaną spełnione, Spółka jest zobowiązana do udzielenia wyjaśnienia i poinformowania podmiotu o przysłujującym mu prawie do złożenia skargi u organów nadzorczych.
(4) Osoby upoważnione są zobowiązane do zweryfikowania tożsamości osoby, która korzysta z prawa dostępu do danych osobowych, w celu jednoznacznego potwierdzenia, że ma do czynienia z osobą, której dotyczą dane osobowe.
5.1. Právo na přístup a informace
Podmiot może poprosić o informacje na temat danych osobowych przetwarzanych przez Spółkę oraz o informacje skąd je uzyskała i w jakim celu je przetwarza.
Podmiot danych ma prawo uzyskać:
- potwierdzenie przetwarzania jego danych osobowych;
- dostęp do swoich danych osobowych, oraz
- dodatkowe informacje dodatkowe w zakresie, o którym mowa w punkcie 2.1. niniejszej dyrektywy
Jeżeli dane osobowe są przekazywane osobom trzecim, należy również podać tożsamość odbiorcy lub kategorii odbiorców.
5.2. Prawo do korekty i uzupełnienia
Jeżeli dane osobowe są niedokładne lub niekompletne, podmiot danych może zażądać korekty lub uzupełnienia.
W takim przypadku Spółka dokona korekty danych osobowych i poinformuje o tym również osoby trzecie, którym zostały przekazane dane osobowe.
5.3. Prawo do usunięcia
Podmiot ma prawo żądać usunięcia swoich danych, jeżeli doszło do upłynięcia ważności podstawy prawnej do przetwarzania danych osobowych.
Spółka jest zobowiązana do usunięcia danych osobowych i uniemożliwienia ich przetwarzania w następujących przypadkach:
- dane osobowe nie są już potrzebne do celów, dla których były gromadzone lub jakkolwiek przetwarzane;
- podmiot unieważnił zgodę, na podstawie której dane były przetwarzane i nie istnieje żaden inny uzasadniony prawnie powód do przetwarzania;
- podmiot sprzeciwia się przetwarzaniu i nie istnieją żadne prawnie uzasadnione powody, które mogą umożliwić Spółce przetwarzanie;
- dane osobowe były przetwarzane nielegalnie;
- dane osobowe muszą zostać usunięte w celu spełnienia obowiązku prawnego określonego przez prawo Unii/prawo państwa członkowskiego, które musi być respektowane przez administratora;
Usunięcie, w przypadku dokumentów w formie papierowej zostnie przeprowadzone poprzez zniszczenie dokumentu (np. w niszczarce) lub anonimizację danych osobowych w dokumencie. Jeżeli dane osobowe są przechowywane w formie elektronicznej, zostaną one usunięte z bazy danych, tak aby nie można było ich przywrócić.
5.4. Prawo do wniesienia sprzeciwu
Podmiot danych może wnieść sprzeciw wobec przetwarzania jego danych osobowych
- na podstawie uprawnionego interesu administratora;
- w direct marketingu (emailing włącznie z profilowaniem) – w takim przypadku dane osobowe przestaną być przetwarzane i zostaną usunięte;
- w celu przeprowadzenia naukowego/historycznego badania i statystyk.
W przypadku wniesienia sprzeciwu Spółka zaprzestanie przetwarzania danych osobowych do momentu podjęcia decyzji w sprawie sprzeciwu. Spółka musi wykazać zasadność przyczyn przetwarzania, które przewyższają nad prawami podmiotu.
Nie dotyczy to wniesienia skargi wobec przetwarzania danych w celach direct marketingu. W tym przypadku Spółka zaprzestanie przetwarzania i usunie dane osobowe z przetwarzanych plików.
Spółka nie zaprzestanie przetwarzania danych osobowych jeżeli:
- może wykazać przekonujące i uzasadnione podstawy do przetwarzania, które przeważają nad interesami i prawami jednostki;
- przetwarzanie ma na celu tworzenie, wykonywanie lub obronę roszczeń prawnych..
5.5. Prawo do ograniczenia przetwarzania
Podmiot danych ma prawo ograniczyć przetwarzanie danych przez administratora w jednym z następujących przypadków:
- podmiot kwestionuje precyzyjność danych osobowych na czas niezbędny do tego, aby administrator zweryfikował poprawność danych osobowych;
- podmiot wniósł sprzeciw wobec przetwarzania na podstawie uzasadnionego interesu administratora, dopóki nie zostanie ustalone, czy uzasadnione powody administratora nie przeważają nad usadanionymi powodami podmiotu;
- przetwarzanie jest niezgodne z prawem, lecz podmiot odmawia usunięcia danych osobowych, a zamiast tego prosi o ograniczenie ich wykorzystania;
- administrator nie potrzebuje już danych osobowych do przetwarzania, ale podmiot żąda ich w celu identyfikacji, wykonania lub obrony roszczeń prawnych.
Spółka zapewni ograniczenie przetwarzania danych osobowych poprzez ograniczenie dostępności lub przeniesienie do innego systemu przetwarzania z ograniczonym dostępem, tak aby nie dochodziło już do kolejnych operacji przetwarzania i aby dane nie mogły już zostać zmienione.
Jeżeli przetwarzanie zostało ograniczone, takie dane osobowe mogą być przetwarzane (z wyjątkiem zapisywania) wyłącznie za zgodą podmiotu lub w celu ustalenia, egzekwowania lub obrony praw, w celu ochrony praw innej osoby fizycznej lub prawnej lub z powodu nadrzędnego interesu publicznego.
Jeśli Spółka podejmie decyzję o anulowaniu ograniczenia przetwarzania, musi o tym wcześniej powiadomić podmiot, którego dane dotyczą.
5.6. Prawo do przeniesienia
W przypadku podmiotu, którego dane osobowe zostały udostępnione Spółce na podstawie udzielonej zgody lub celu wykonywania warunków umowy i którego dane są przetwarzane za pomocą środków zautomatyzowanych, podmiot ma prawo do otrzymania dotyczących go danych osobowych w powszechnym formacie elektronicznym.
W takim przypadku Spółka udostępni takie dane osobowe w formacie CSV lub XML na nośniku CD-R w terminach określonych w art. V ust. 2.
VI. Postanowienia końcowe
(1) Niniejsza Dyrektywa jest wiążąca dla Spółki, wszystkich jej pracowników i innych osób uprawnionych; pracownicy Spółki i osoby upoważnione zapoznają się z niniejszą dyrektywą bez zbędnej zwłoki, tuż po jej wydaniu. Dyrektywa zostanie udostępniona pracownikom https://flirtrandki.pl/p/dyrektywy_dotyczace_zapewnienia_ochrony_danych_osobowych/. Oryginał niniejszej Dyrektywy w formie papierowej będzie dostępny dla pracowników do przeglądania i kopiowania u szefa działu personalnego.
(2) Obowiązek kontrolii przestrzegania zasad niniejszej Dyrektywy spoczywa na kierownictwie Spółki, które jest również odpowiedzialne za przetwarzanie danych osobowych w Spółce zgodnie z Rozporządzeniem i innymi przepisami prawnymi. Kierownictwo Spółki gwarantuje zgodność z wymogami dotyczącymi ochrony i prywatności, dzięki środkom organizacyjnym, personalnym i technicznym. Wdrożenie tych środków należy do obowiązków kierownictwa Spółki.
(3) Dyrekcja Spółki zapewnia, że wszyscy pracownicy Spółki i inne upoważnione osoby, zapoznają się z niniejszą Dyrektywą. Pracownicy Spółki i osoby upoważnione potwierdzą, że zostali zapoznani z Dyrektywą poprzez złożenie własnoręcznego podpisu. Potwierdzenie zapoznania się z Dyrektywą znajduje się w Załączniku nr 1 niniejszej Dyrektywy.
(4) Za przetwarzanie danych osobowych, egzekwowanie, kontrolę i nowelizację niniejszej dyrektywy, a także za ochronę danych osobowych w Spółce odpowiada Matěj Murín.
(5) Dyrektywa w sprawie ochrony danych osobowych jest aktualizowana w razie potrzeby, minimalnie jednak raz do roku.
(6) Niniejsza dyrektywa wchodzi w życie w dniu jej wydania, czyli 25.05.2018.
W Praze dnia 25.5. 2018