GDPR analýza
Název subjektu: Sandra, s.r.o.
IČ: 45316902
Adresa: Nad Šutkou 490/16, Praha 8, 182 00
Pověřenec pro ochranu osobních údajů: Stanislav Dolejš
Společnost Sandra, s.r.o. zpracovává osobní údaje vždy v souladu s platnými právními předpisy,
tj. se zákonem č. 101/2000 Sb. (z. o ochraně osobních údajů) (dále jen „Zákon“) a s účinností ode
dne 25. května 2018 také nařízením EU 2016/679 (obecné nařízení o ochraně osobních údajů), které
v některých ohledech úpravu Zákona nahradí (dále jen „Nařízení“).
Správce osobních údajů
Sandra, s.r.o., Nad ŠUTKOU 490/16, Praha 8, 182 00
IČ: 05948053, DIČ: CZ05948053
telefon: 284685413, email: penzion@uhofmanu.cz
dále jen „Správce“.
Pověřenec pro ochranu osobních údajů
Podle Nařízení je Správce od 25. května 2018 povinen jmenovat tzv. pověřence pro ochranu
osobních údajů. Tato osoba je uvedena na titulní straně tohoto dokumentu.
Další použitá terminologie „Subjekt údajů“ je podle GDPR fyzická osoba, k níž se osobní údaje vztahují.
Aktualizace s vývojem legislativy
Tato analýza byla vytvořena podle aktuálně platné legislativy, podle stavu věcí ke dni zpracování.
Dojde-li v budoucnu na straně zadavatele v oblasti zpracování osobních dat ke změně (např.
rozšíření rozsahu zpracovávaných dat v souvislosti se změnou činnosti), případně k vývoji národní
či evropské legislativy, bude tato analýza příslušným způsobem aktualizována.
Obsah
1. Zdroje osobních údajů
2. Subjekty zpracovávající osobní údaje
3. Zpřístupnění údajů
4. Období pro zpracování údajů
5. Vyhodnocení osobních údajů
6. Práva osob
7. Povinnosti správce / zpracovatele
8. Porušení GDPR
9. Opatření
1. Zdroje osobních údajů
Zpracovávané osobní údaje jsou získávány od zaměstnanců, zákazníků a dodavatelů a to zejména
v souvislosti s registrací a následným používáním dodávaných produktů a případně
v rámci další komunikace, ať už osobní, telefonické, písemné nebo jiné.
2. Subjekty zpracovávající osobní údaje
Osobní údaje zpracovává přímo Správce (Subjekt analýzy), a to v písemné a elektronické formě.
Osobní údaje jsou zpracovány buď Správcem přímo, nebo prostřednictvím dalších subjektů
v postavení tzv. zpracovatelů:
a) Vedení účetní, daňové a personální evidence:
Dana Švihálková, Masarykova 749, Roztoky, 252 63, IČ 41438515
b) Hosting + IT
Tomáš Zahálka, S.K. Neumanna 990/27, 180 00, Praha 8, IČ: 27234215
V dalším textu této analýzy mohou být použity odkazy typu Subjekt analýzy, Zpracovatel a),
Zpracovatel b) a podobně.
Správce má se zpracovateli uzavřené smlouvy, které obsahují ustanovení o povinnosti zpracovatele
plnit podmínky Zákona a Nařízení.
Výše uvedení zpracovatelé zpracovávají pro Správce data v době vytvoření této analýzy. Pokud
v budoucnu Správce zvolí jiného zpracovatele, bude se na tohoto případného nového zpracovatele
vztahovat vše v této analýze uvedené beze změny; předpokládá se, že i tento nový zpracovatel musí
ve všech ohledech vyhovět aktuálně platným GDPR předpisům.
Kvůli prosté změně zpracovatele nebude nutné tuto analýzu aktualizovat.
3. Zpřístupnění údajů třetím stranám
Správce ani zpracovatelé uvedení v bodu 2. neposkytují shromažďovaná data žádným dalším
osobám ani subjektům. Osobní údaje mohou být v souvislosti s veřejnou prezentací
a marketingovou činností Správce zpřístupněny i dalším osobám, případně veřejnosti, pouze se
zvláštním předchozím souhlasem subjektu údajů.
4. Období pro zpracování údajů
Období pro zpracování osobních údajů končí na základě písemné žádosti žadatele – subjektu údajů.
Toto období nesmí být kratší, než Správci nařizuje platná účetní, obchodní a jiná legislativa.
Subjekt proaktivně bezpečným způsobem odstraňuje (skartuje) zejména citlivé osobní údaje, včetně
jejich listinné podoby, jakmile uplyne zákonná lhůta pro jejich archivaci.
5. Kategorizace osobních údajů
V závislosti na povaze právního či obchodního vztahu mohou být v jednotlivých případech
evidovány pouze některé z možných osobních údajů, dále uvedených v následujících tabulkách.
ANO = Správce uvedený typ osobních údajů zpracovává
NE = Správce uvedený typ osobních údajů nezjišťuje, neukládá ani nijak jinak nezpracovává
5.1 Obecné údaje
Zaměstnanci Zákazníci Dodavatelé
Jméno ANO ANO ANO
Pohlaví ANO NE NE
Datum narození ANO ANO NE
Rodné číslo ANO NE NE
Osobní stav ANO NE NE
Občanství ANO ANO NE
IP adresa NE NE NE
Foto NE NE NE
Přístup a zabezpečení dat:
Správce: Subjekt analýzy
Zpracovatel: Subjekt analýzy, Zpracovatel a)
Důvod shromažďování: zákonné důvody
Přístup k údajům: pouze pověření a proškolení zaměstnanci společnosti
Zabezpečení: v elektronické formě – server chráněný přístupovým jménem a heslem v
místnosti s elektronickým alarmem, v písemné formě – účetní archív
5.2 Organizační údaje
Zaměstnanci Zákazníci Dodavatelé
Adresa ANO ANO ANO
Telefon ANO ANO ANO
Email ANO ANO NE
IČ NE ANO ANO
DIČ NE ANO ANO
Číslo OP ANO ANO NE
Číslo pasu NE ANO NE
Vízum* NE ANO NE
SPZ vozidla NE ANO NE
*u zaměstnanců, kteří nejsou občany ČR
Přístup a zabezpečení dat:
Správce: Subjekt analýzy
Zpracovatel: Subjekt analýzy, Zpracovatel a), Zpracovatel b)
Důvod shromažďování: zákonné důvody
Přístup k údajům: pouze pověření zaměstnanci společnosti, Zpracovatel a)
Zabezpečení: v elektronické formě – server chráněný přístupovým jménem a heslem v
místnosti s elektronickým alarmem, v písemné formě – účetní archív
5.3 Citlivé údaje
Zaměstnanci Zákazníci Dodavatelé
Rasový původ NE NE NE
Politické názory NE NE NE
Náboženské vyznání NE NE NE
Genetické údaje NE NE NE
Biometrické údaje NE NE NE
Osobní údaje dětí ANO NE NE
Přístup a zabezpečení dat:
Správce: Subjekt analýzy
Zpracovatel: Subjekt analýzy, Zpracovatel a)
Důvod shromažďování: zákonné důvody
Přístup k údajům: jednatelé společnosti, Zpracovatel a)
Zabezpečení: v elektronické formě – server chráněný přístupovým jménem a heslem v
místnosti s elektronickým alarmem, v písemné formě – účetní archív
5.4 ostatní údaje
a) kamerový systém
Správce využívá kamerový systém k zabezpečení objektu, ve kterém provozuje svoji činnost. Tento
kamerový systém je lokální a data slouží pouze pro vlastní potřebu Správce – nejsou poskytována
žádným dalším subjektům nebo osobám. Nahrávací zařízení kamerového systému je zabezpečeno
umístěním v uzamykatelné skříni. Záznam je dostupný pouze specializovaným softwarem, který je
zabezpečen jménem a heslem.
Doba archivace záznamu je omezena kapacitou záznamového zařízení, tj. v současné době cca 4
týdny.
6. Práva osob
Správce implementuje práva subjektů údajů dle Zákona a Nařízení, a to zejména:
6.1. Právo na přístup
– Právo získat potvrzení, zda osobní údaje jsou či nejsou zpracovány. Jsou-li zpracovány, právo
získat ke svým údajům přístup.
– Právo vědět k jakému účelu jsou data zpracovávána, právo být informován o kategorii dotčených
osobních údajů (zda jde o osobní či citlivá data), kdo bude příjemcem osobních údajů, na jakou
dobu budou data zpracována, jak podat stížnost u ÚOOÚ.
Realizace tohoto práva je zajištěna.
6.2. Právo na opravu
Při podezření na nesprávnost údajů právo požádat o nápravu a povinnost správce zajistit opravu bez
zbytečného odkladu.
Realizace tohoto práva je zajištěna.
6.3. Právo být zapomenut
Správce bez zbytečného odkladu vymaže osobní údaje, pokud:
– osobní údaje již nejsou potřebné pro účel, pro který byly shromažďovány nebo zpracovávány;
– zákazník odvolá souhlas, pokud je zpracování založeno na souhlasu a neexistuje žádný další
právní důvod pro zpracování;
– osobní údaje byly zpracovány protiprávně;
– pokud není dán rodičovský souhlas se zpracováním osobních údajů dětí.
Realizace tohoto práva je zajištěna.
6.4. Právo na přenositelnost
Subjekt údajů má právo získat své osobní údaje ve strukturovaném, běžně používaném a strojově
čitelném formátu*. Přenositelnost pak znamená povinnost správce předat osobní údaje zákazníka
novému správci, zpravidla konkurenci. Toto právo posiluje postavení zákazníků, jelikož jim usnadní
přesouvání, kopírování nebo přenášení osobních údajů z jednoho IT prostředí do druhého.
*je-li to technicky proveditelné. Za vyhovující strojově čitelný formát se považuje mimo jiné běžný pdf dokument.
Přestože je technicky možná, realizace tohoto práva se nepředpokládá. Povaha a rozsah
osobních údajů zpracovávaných subjektem, kdy nejsou zpracovávána žádná osobní data
subjektu údajů neznámá, není taková, aby bylo účelné je přenášet k jinému zpracovateli.
6.5. Způsob realizace práv subjektů dat
Realizace práv probíhá v závislosti na způsobu uložení osobních dat. Evidované údaje jsou uloženy
buď v elektronické podobě v databázích používaného software, nebo v „papírové“ podobě.
a) Software vybavený „GDPR“ funkcemi
Používaný software poskytuje pro účely realizace práv subjektů dat v rámci Směrnice nezbytné
funkce, jako je výpis evidovaných údajů nebo jejich editace. Umožňuje také nevratnou anonymizaci
(„zapomenutí“) osobních údajů.
Automaticky vytvářené datové zálohy rotují, přičemž se neukládají déle než 30 dnů. Tím je
zajištěno „zapomenutí“ osobních dat i ze záložních dat v dostatečně krátkém intervalu po jejich
výmazu z pracovní databáze.
b) Software nevybavený „GDPR“ funkcemi
Subjekt nepoužívá pro evidenci osobních údajů, tak jak jsou v Nařízení definovány, žádný software,
který by nebyl v souladu s Nařízením.
c) Osobní data ve fyzické (papírové) podobě
Ve fyzické podobě se evidují např. osobní data zaměstnanců a jejich rodinných příslušníků, a to ze
zákonných důvodů pro potřeby personální a mzdové agendy, dále smluvní a účetní dokumentace v
rámci obchodního styku s partnery – fyzickými osobami.
Realizace práva subjektu „být zapomenut“, pominou-li zákonné důvody pro evidenci a
archivaci jejich osobních údajů, je řešena obvyklou bezpečnou skartací dokumentů.
7. Povinnost správce / zpracovatele vést záznamy
Správce a zpracovatel vede záznamy o činnostech zpracování, za něž odpovídá.
Záznamy obsahují:
– název a kontaktní údaje správce/právnické osoby;
– důvod zpracování údajů;
– popis kategorií subjektů údajů a osobních údajů;
– kategorie organizací, které údaje obdrží;
– přenos údajů do jiné země či organizace;
– lhůtu pro odstranění údajů;
– popis bezpečnostních opatření uplatňovaných při zpracovávání.
Výjimky z povinnosti vést záznamy o činnostech zpracování mají malé a střední podniky,
které zaměstnávají méně než 250 zaměstnanců. Proto se na subjekt této analýzy povinnost
evidence nevztahuje.
8. Narušení bezpečnosti osobních údajů z hlediska GDPR
Správce i zpracovatelé dat se v případě narušení ochrany dat řídí zásadami GDPR, tzn.
– ohlásí únik či ohrožení zabezpečení osobních dat ÚOOÚ nejpozději do 72 hodin od okamžiku,
kdy se o incidentu dozvěděl, přičemž ohlášení musí přinejmenším obsahovat:
– popis povahy daného případu porušení zabezpečení osobních údajů (např. hackerský útok na
informační systém);
– jméno a kontaktní údaje pověřence pro ochranu osobních údajů nebo jiného kontaktního místa;
– popis pravděpodobných důsledků porušení zabezpečení osobních údajů (např. pravděpodobnost
neoprávněného přístupu k bankovním účtům);
– popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení
osobních údajů (např. dočasné zablokování informačního systému a výzva klientům k bezodkladné
změně hesel).
Jakmile se správce nebo zpracovatel dozví o porušení zabezpečení osobních údajů, musí včas
informovat nejen ÚOOÚ, ale i dotčenou fyzickou osobu/zákazníka.
9. Opatření
9.1. Plošně byla provedena revize uložených údajů a nepotřebná osobní data byla odstraněna.
9.2. Pravidelně probíhá školení zaměstnanců o zásadách GDPR.
9.3. Pověřenec pro ochranu osobních údajů sleduje vývoj legislativy (zejména s ohledem na národní
úpravu, která v době zpracování analýzy doposud nebyla vydána) a zajišťuje, aby nakládaní s
osobními daty subjektů bylo trvale v souladu.
|