Spracovanie osobných údajov

Reťaze Slovakia s.r.o, Nádražná 30, Skalica

Interná smernica
v oblasti ochrany osobných údajov

podľa čl. 24 nariadenia Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (ďalej len „Nariadenie“ ) v súlade s § 32 zákona č. 18/2018 Z.z. o ochrane osobných údajov (ďalej len „zákon“)

I.
Základné ustanovenie

Predmetom tejto Smernice je úprava ochrany a nakladania s osobnými údajmi pri činnostiach, ktoré vykonávajú oprávnené osoby zamestnávateľa, ktorým je spoločnosť Reťaze Slovakia s.r.o, Nádražná 30, 909 01 Skalica, IČO: 34143483 (ďalej len ako „Prevádzkovateľ“)

Oprávnenou osobou sa na účely tejto smernice rozumie zamestnanec Prevádzkovateľa, ktorý pri výkone svojej pracovnej činnosti nakladá s osobnými údajmi dotknutých osôb (ďalej len „Oprávnená osoba“)

II.
Všeobecné povinnosti

Osobné údaje musia byť adekvátne zabezpečené vo všetkých prípadoch, kedy sa s nimi v organizácii nakladá.
Oprávnená osoba môže nakladať s osobnými údajmi len za predpokladu, že je to na výkon jej pracovných činnosti nevyhnutné alebo na základe individuálneho písomného poverenia Prevádzkovateľa.
Oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými prichádza do styku pri výkone svojej pracovnej činnosti alebo činnosti vyplývajúcej z jej poverenia.
Povinnosť mlčanlivosti trvá aj po ukončení pracovného pomeru s oprávnenou osobou.
Oprávnená osoba môže nakladať len s takými osobnými údajmi, ktoré sú nevyhnutné na výkon jej pracovnej činnosti alebo činnosti vyplývajúcich z poverenia.
Oprávnená osoba môže vykonávať len tie operácie s osobnými údajmi, ktoré sú nevyhnutné na výkon jej pracovnej činnosti alebo činnosti vyplývajúcej z poverenia.
Oprávnená osoba nesmie získavať informácie týkajúce sa osobných údajov nad rámec jej pracovnej činnosti alebo poverenia.
Oprávnená osoba je povinná dbať o to, aby pri výkone jej pracovných činnosti alebo činnosti vyplývajúcich z poverenia nedošlo k úniku spracúvaných osobných údajov alebo k narušeniu bezpečnosti spracovateľských operácii.

III.
Získavanie osobných údajov
Osobné údaje prevádzkovateľa sú uložené a zálohované vo vlastnej databáze s externým úložiskom.
Do databázy sa oprávnená osoba dostane prostredníctvom individuálneho softvéru, ktorý je prístupný na každom firemnom počítači Prevádzkovateľa.
Každá oprávnená osoba má svoje prístupové meno a heslo potrebné na prístup do softvéru Prevádzkovateľa, pričom jej databáza poskytne len osobné údaje dotknutých osôb v rozsahu jej pracovnej činnosti alebo poverenia.
Pokiaľ by oprávnená osoba potrebovala prístup k osobným údajom vo väčšom rozsahu, ako má k dispozícii v databáze, je povinná žiadať od Prevádzkovateľa individuálny písomný súhlas na získanie týchto údajov na základe žiadosti.
Písomný súhlas udeľuje Prevádzkovateľ na žiadosť , a to len v rozsahu potrebnom na splnenie účelu oprávnenej osoby.
Oprávnená osoba následne predloží písomný súhlas vedúcemu , ktorý jej poskytne osobné údaje len v rozsahu súhlasu, ktorý udelil Prevádzkovateľ.
Oprávnená osoba nesmie získané osobné údaje poskytovať iným osobám.
Oprávnená osoba nesmie poskytovať svoje prístupové údaje do softvéru Prevádzkovateľa iným osobám.
Oprávnená osoba nesmie používať softvér Prevádzkovateľa pre vlastné potreby.

IV.
Ochrana osobných údajov

Všetky pracovné počítače oprávnených osôb musia byť šifrované.
Po ukončení práce s počítačom musia oprávnené osoby dbať na to, aby boli odhlásené zo systému Prevádzkovateľa, aby nedošlo k narušeniu bezpečnosti osobných údajov neoprávnenými osobami.
Oprávnené osoby musia dbať na to, aby boli všetky spisy a písomnosti, v ktorých sa nachádzajú osobné údaje, po opustení pracoviska uložené v uzamykateľných skrinkách nachádzajúcich sa na ich pracovisku.
Oprávnené osoby musia dbať na to, aby boli kancelárie po ich odchode z pracoviska zamknuté.

V.
Porušenie bezpečnosti

V prípade, že dôjde k porušeniu bezpečnosti osobných údajov, je oprávnená osoba bezodkladne povinná informovať o tejto skutočnosti svojho nadriadeného .
Oprávnená osoba je povinná prerušiť svoju činnosť, pričom nesmie vykonať akékoľvek úkony, ktoré by mohli viesť k zvýšeniu rizika bezpečnosti osobných údajov.
Oprávnená osoba je povinná spísať zápisnicu, v ktorej uvedie všetky podrobnosti v rozsahu:
o aké osobné údaje ide
kedy sa o narušení bezpečnosti dozvedela
k akému porušeniu bezpečnosti došlo,
ako sa o tomto porušení dozvedela,
aké kroky podnikla
Oprávnená osoba odovzdá zápisnicu nadriadenému, ktorý neodkladne oznámi Prevádzkovateľovi rozsah narušenia bezpečnosti.
Prevádzkovateľ je povinný vyvinúť čo najväčšiu snahu , aby k ďalšiemu porušovaniu bezpečnosti neprišlo a v čo najkratšom čase odstrániť vzniknuté problémy.
Oprávnená osoba smie vykonávať svoje pracovné činnosti až po súhlase Prevádzkovateľa, ktorý potvrdí, že výkon pracovných činností nepredstavuje riziko pre bezpečnosť osobných údajov.
Prevádzkovateľ je povinný vypracovať zápisnicu, ktorá bude obsahovať:
druh osobných údajov, ktorých ochrana bola narušená
pôvod a formu narušenia
rozsah narušenia a predpokladanú mieru rizika
opatrenia, ktoré boli vykonané s cieľom odstránenie vzniknutého stavu
opatrenia, ktoré boli vykonané s cieľom zabezpečenia bezpečnosti

VI.
Spracúvanie podaní dotknutých osôb

Žiadosti a námietky dotknutých osôb spracúva osoba, ktorej to vyplýva z náplne pracovnej činnosti alebo z poverenia (ďalej len „určená osoba“)
Určená osoba po prijatí žiadosti, námietky alebo sťažnosti dotknutej osoby (ďalej len „podanie“) informuje dotknutú osobu o jej prijatí a ďalšom postupe.
Určená osoba je povinná vyhodnotiť podanie dotknutej osoby najneskôr v lehote 30 dní odo dňa jej doručenia.
Pokiaľ by si vyhodnotenie podania vyžadovalo viac času, je určená osoba povinná kontaktovať Prevádzkovateľa a primerane o tom informovať aj dotknuté osoby.
Po vyhodnotení podania je určená osoba povinná náležite informovať dotknuté osoby vo vyššie stanovenej lehote.

Skalica 25.5.2018

………………………………….
Prevádzkovateľ