Smernica pri spracúvaní osobných údajov
SMERNICA
upravujúca postup pri spracúvaní osobných údajov
Prevádzkovateľ:
Peter Plančík- EVA corp,
IČO: 45541931,
so sídlom: Kakatka 483/8, 976 62 Brusno,
zapísaný v Živnostenskom registri Okresného úradu Banská Bystrica , č. živnostenského registra: 620-30965
Vypracoval: JUDr. Diana Hrončeková, advokátka
so sídlom: Komenského 10E, 974 01 Banská Bystrica
IČO: 42007500, SAK 4514
úplné znenie k 01.11. 2019
OBSAH:
Úvod......................................................................................................................... 3
Definícia pojmov...................................................................................................... 4
Účel a cieľ ............................................................................................................... 5
Základné zásady spracúvania osobných údajov ...................................................... 6
Práva dotknutých osôb ...........................................................................................10
Bezpečnosť osobných údajov .................................................................................16
Oznamovanie porušení ochrany osobných údajov úradu na ochranu osobných údajov .....................................................................................................................31
Bezpečnostné incidenty...........................................................................................31
Kontrolná činnosť ...................................................................................................33
I.
ÚVOD
Peter Plančík- EVA corp, IČO: 45541931, so sídlom: Kakatka 483/8, 976 62 Brusno, zapísaný v Živnostenskom registri Okresného úradu Banská Bystrica , č. živnostenského registra: 620-30965 (v ďalšom texte len ako „EVA CORP“) je fyzická osoba - podnikateľ, ktorý je poskytovateľom služieb v oblasti čistenia kanalizácie a prevádzkovateľom – webovej stránky prevádzkovanej na internetovej doméne evacorp.sk. Webový portál zahŕňa všetky a akékoľvek časti webovej stránky, jej podstránok, ich obsah, zdrojové a strojové kódy tak ako je v akomkoľvek čase dostupný a prevádzkovaný na vyššie uvedenej doméne (ďalej len „Portál“).
EVA CORP z vyššie uvedeného dôvodu spracúva osobné údaje svojich zamestnancov vrátane spolupracovníkov, ktorí sú fyzickými osobami-podnikateľmi a osobné údaje užívateľov Portálu – objednávateľov a zabezpečuje administráciu systémov potrebných na prevádzku webovej stránky, správy databáz, správy serveru, zabezpečenia dát, integrácie a vývoja nových funkcionalít a služieb ako aj integrácie služieb tretích strán na programovej a administratívnej úrovni a údajov o zmluvnej fakturácii a platbách EVA CORP.
V zmysle zákona č. 18/2018 Z.z. o ochrane osobných údajov (v ďalšom texte len ako „Zákon“ v príslušnom gramatickom tvare) má EVA CORP postavenie prevádzkovateľa, z ktorého dôvodu zodpovedá za dodržiavanie zásad spracúvania osobných údajov v zmysle čl. 5 Nariadenia európskeho parlamentu a rady (EU) 2016/679 z 27.04.2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov (v ďalšom texte len ako „GDPR“) a prvej hlavy Zákona. EVA CORP je povinná pri spracúvaní osobných údajov dodržiavať tieto zásady:
zásada zákonnosti,
zásada korektnosti a transparentnosti,
zásada účelového obmedzenia prevádzkovateľa,
zásada minimalizácie údajov a ich uchovávania,
zásada správnosti,
zásada integrity a dôvernosti.
Zároveň je EVA CORP povinná chrániť spracúvané osobné údaje pred ich poškodením, zničením, stratou, zmenou, neoprávneným prístupom a sprístupnením, poskytnutím alebo zverejnením, ako aj pred akýmikoľvek inými neprípustnými spôsobmi spracúvania.
Táto smernica sa vzťahuje na EVA CORP, na všetkých zamestnancov EVA CORP, vrátane spolupracovníkov, ktorí sú fyzickými osobami – podnikateľmi a objednávateľov služby /zákazníkov/.
II.
DEFINÍCIA POJMOV
Osobnými údajmi sú údaje týkajúce sa identifikovanej fyzickej osoby alebo identifikovateľnej fyzickej osoby, ktorú možno identifikovať priamo alebo nepriamo, najmä na základe všeobecne použiteľného identifikátora, iného identifikátora, ako je napríklad meno, priezvisko, identifikačné číslo, lokalizačné údaje v zmysle § 57 ods. 2 zák. č. 351/2011 Z.z., alebo online identifikátor, alebo na základe jednej alebo viacerých charakteristík alebo znakov, ktoré tvoria jej fyzickú identitu, fyziologickú identitu, genetickú identitu, psychickú identitu, mentálnu identitu, ekonomickú identitu, kultúrnu identitu alebo sociálnu identitu.
Dotknutou osobou sa rozumie každá fyzická osoba, ktorej osobné údaje sa spracúvajú.
Prevádzkovateľom sa rozumie každý, kto sám alebo spoločne s inými vymedzí účel a prostriedky spracúvania osobných údajov a spracúva osobné údaje vo vlastnom mene a je ním EVA CORP.
Sprostredkovateľom sa rozumie ten, kto spracúva osobné údaje v mene prevádzkovateľa EVA CORP.
Príjemcom sa rozumie každý, komu sa osobné údaje poskytnú bez ohľadu na to, či je treťou stranou; za príjemcu sa nepovažuje orgán verejnej moci, ktorý spracúva osobné údaje na základe osobitného predpisu alebo medzinárodnej zmluvy, ktorou je Slovenská republika viazaná, v súlade s pravidlami ochrany osobných údajov vzťahujúcimi sa na daný účel spracúvania osobných údajov.
Treťou stranou sa rozumie každý, kto nie je dotknutou osobou, prevádzkovateľ, sprostredkovateľ alebo inou fyzickou osobou, ktorá na základe poverenia prevádzkovateľa alebo sprostredkovateľa spracúva osobné údaje,
Spracúvaním osobných údajov sa rozumie spracovateľská operácia alebo súbor spracovateľských operácií s osobnými údajmi alebo so súbormi osobných údajov, najmä získavanie, zaznamenávanie, usporadúvanie, štruktúrovanie, uchovávanie, zmena, vyhľadávanie, prehliadanie, využívanie, poskytovanie prenosom, šírením alebo iným spôsobom, preskupovanie alebo kombinovanie, obmedzenie, vymazanie, bez ohľadu na to, či sa vykonáva automatizovanými prostriedkami alebo neautomatizovanými prostriedkami.
Informačným systémom sa rozumie akýkoľvek usporiadaný súbor osobných údajov, ktoré sú prístupné podľa určených kritérií, bez ohľadu na to, či ide o systém centralizovaný, decentralizovaný alebo distribuovaný na funkčnom základe alebo geografickom základe.
Súhlasom dotknutej osoby sa rozumie akýkoľvek vážny a slobodne daný, konkrétny, informovaný a jednoznačný prejav vôle dotknutej osoby vo forme vyhlásenia alebo jednoznačného potvrdzujúceho úkonu, ktorým dotknutá osoba vyjadruje súhlas so spracúvaním svojich osobných údajov,
III.
ÚČEL A CIEĽ
Táto smernica upravuje postup pri spracúvaní osobných údajov dotknutých osôb, ktoré EVA CORP spracúva z titulu ich pôsobenia v postavení zamestnancov vrátane spolupracovníkov a z titulu uzatvoreného zmluvného vzťahu tak, aby nedošlo pri ich spracúvaní k náhodnému alebo nezákonnému zničeniu, strate, zmene alebo k neoprávnenému poskytnutiu prenášaných, uchovávaných osobných údajov alebo inak spracúvaných osobných údajov, alebo k neoprávnenému prístupu k nim.
Cieľom tejto smernice je zabezpečiť dodržiavanie zásad spracúvania osobných údajov v súlade s GDPR a zákonom .
Spracúvanými osobnými údajmi sú:
titul, meno a priezvisko, pôvodné priezvisko, adresa bydliska (trvalého, prechodného pobytu), korešpondenčná adresa, dátum narodenia, miesto narodenia, rodinný stav, počet detí, mená a priezviská detí, meno manžela/ky, rodné číslo osoby, na ktorú sa pozerá ako na zamestnanca, rodné čísla jeho rodinných príslušníkov, dosiahnuté vzdelanie, zápočet rokov a praxe, telefonický kontakt , e-mailová adresa, číslo občianskeho preukazu /iného dokladu totožnosti/, číslo bankového účtu, údaj o zdravotnej poisťovni osoby, na ktorú sa pozerá ako na zamestnanca, podpis, fyzická identita, prípadne ďalšie údaje potrebné na spracovanie personálnej a mzdovej evidencie, telekomunikačné údaje (prevádzkové údaje, lokalizačné údaje, inventarizačné údaje, údaje o online identifikátoroch, resp. IP adresách), telemediálne údaje (údaje o využívaní a inventarizačné údaje) alebo údaje o elektronickej komunikácii (obsah elektronickej komunikácie a metaúdaje elektronickej komunikácie), referenčné údaje zmluvy, resp. iného právneho vzťahu (zmluvný vzťah, predmet a/alebo účel zmluvy, resp. iného právneho vzťahu), údaje o zmluvnej fakturácii a platbách, osobitné kategórie osobných údajov (informácie o rasovom a etnickom pôvode, politické názory, náboženské alebo filozofické presvedčenia, členstvo v odboroch, zdravotný stav a intímny život, biometrické údaje, genetické údaje, údaje o odsúdení za trestný čin a o spáchaných trestných činoch), prípadne ďalšie údaje potrebné na spracovanie personálnej a mzdovej evidencie.
EVA CORP spracúva osobné údaje na účtovné, mzdové a daňové účely. Pre EVA CORP spracúva účtovnú evidenciu, personálnu a mzdovú agendu subjekt, ktorý má v zmysle GDPR, zákona a tejto smernice postavenie sprostredkovateľa.
EVA CORP získava osobné údaje spracúvané na vyššie uvedené účely najmä priamo od dotknutých osôb písomnou korešpondenciou, telefonicky alebo elektronicky. V praxi môže dôjsť k situácií, kedy dotknutá osoba poskytne EVA CORP aj osobné údaje o iných fyzických osobách, ktoré EVA CORP musí alebo je oprávnený spracúvať na vlastné účely. EVA CORP nezískava od fyzických osôb súhlas s poskytnutím ich osobných údajov na vyššie uvedené účely, t.j. účtovné, mzdové a daňové, nakoľko jeho oprávnenie spracúvať osobné údaje vyplýva z osobitných právnych predpisov.
IV.
ZÁKLADNÉ ZÁSADY SPRACÚVANIA OSOBNÝCH ÚDAJOV
Spracúvanie osobných údajov zo strany EVA CORP sa vykonáva na tomto právnom základe:
- spracúvanie osobných údajov v dôsledku nevyhnutnosti podľa osobitného predpisu, ktorým je zákon č. 461/2003 Z.z. o sociálnom poistení, zákon č. 580/2004 Z.z. o zdravotnom poistení, zákon č. 162/1995 Z.z. o katastri nehnuteľností, Zákonník práce, Obchodný zákonník, Občiansky zákonník, zákon o živnostenskom registri.
Z tejto základnej zásady vyplývajú takmer všetky ďalšie povinnosti pre EVA CORP ako prevádzkovateľa na jednej strane a zároveň všetky práva dotknutých osôb na strane druhej. Napriek tomu tieto ďalšie povinnosti a práva majú svoje limity a existujú z nich legitímne výnimky, ktoré nemožno vykladať ako porušenie základných zásad spracúvania, z ktorých vyplývajú.
4..1. Zákonnosť, spravodlivosť a transparentnosť
Spracúvanie osobných údajov zo strany EVA CORP musí byť vykonávané zákonným spôsobom, spravodlivo a transparentne vo vzťahu k dotknutej osobe. Zákonný spôsob spracúvania znamená, že spracúvanie osobných údajov sa musí opierať o aspoň jeden z právnych základov spracúvania uvedených v GDPR. EVA CORP spracúva osobné údaje na právnom základe vyplývajúcom z osobitných predpisov, plnenia zmluvy a ochrany oprávnených záujmov, kedy súhlas so spracúvaním osobných údajov nie je potrebný. Pri spracúvaní osobných údajov sa môže v niektorých prípadoch odvolávať na viacero právnych základov súčasne.
EVA CORP spracúva osobné údaje zamestnancov, účastníkov zmluvných vzťahov na účtovné, mzdové a daňové účely bez ich súhlasu, pretože účel spracúvania vyplýva z osobitných právnych predpisov. EVA CORP má voľnosť vybrať si v takýchto prípadoch režim právneho základu (aspoň jeden), ktorý je vhodnejší, pričom táto smernica podporuje výber režimu splnenia zákonnej povinnosti z dôvodu, že daný režim pokrýva aj iné fyzické osoby, s ktorými EVA CORP nemá uzatvorenú zmluvu.
Pri právnom základe vyplývajúceho z osobitného predpisu môže účel spracúvania, ktorý tým EVA CORP sleduje, zároveň predstavovať aj oprávnený záujem EVA CORP alebo inej osoby. Ak je možné zo strany EVA CORP preukázať splnenie podmienok použitia právneho základu ochrany oprávnených záujmov, týmto spôsobom je zároveň preukázaná zákonnosť spracúvania osobných údajov vo väčšom rozsahu ako je nevyhnutné na splnenie zákonnej povinnosti podľa daného osobitného právneho predpisu.
EVA CORP spracúva osobné údaje aj na právnom základe „plnenia zmluvy“.Tento právny základ dovoľuje spracúvať osobné údaje v rámci tzv. predzmluvných vzťahoch s dotknutou osobou.
Zásada spravodlivého a transparentného spracúvania vyžaduje, aby dotknutá osoba bola informovaná o existencii spracovateľskej operácie a jej účeloch. EVA CORP za účelom dodržania zásady spravodlivého a transparentného spracúvania osobných údajov informuje dotknuté osoby prostredníctvom Podmienok ochrany súkromia zverejnených a dostupných na Portále, v inej zmluvnej dokumentácií a zároveň prostredníctvom tejto Smernice.
4.2 Obmedzenie účelu
Zásada obmedzenia účelu vyžaduje, aby osobné údaje boli získavané na konkrétne určené, výslovne uvedené a legitímne účely a zakazuje osobné údaje ďalej spracúvať spôsobom, ktorý nie je zlučiteľný s týmito účelmi.
EVA CORP dotknutým osobám oznamuje súčasne všetky účely spracúvania, za akým spracúva osobné údaje prostredníctvom Podmienok ochrany súkromia zverejnených a dostupných na Portále, v inej zmluvnej dokumentácií a zároveň prostredníctvom tejto Smernice.
Pri určení nového účelu spracúvania osobných údajov je potrebné zo strany EVA CORP vykonať test zlučiteľnosti nového účelu spracúvania s pôvodným účelom spracúvania, za ktorým boli osobné údaje získané. Ak sú osobné údaje získavané od začiatku so zámerom ich súčasného spracúvania na viacero účelov v súlade so zásadou zákonnosti, spravodlivosti a transparentnosti (t.j. najmä pri existencii právneho základu na dané spracúvanie), tieto účely nepodliehajú testu zlučiteľnosti. Výsledkom testu zlučiteľnosti je, že pôvodný právny základ spracúvania môže EVA CORP použiť aj na nový účel spracúvania. Niektoré účely sú automaticky považované za zlučiteľné s pôvodnými účelmi. Ide o účely archivácie vo verejnom záujme (Zákon o archívoch), účely vedeckého alebo historického výskumu a štatistické účely.
EVA CORP získava osobné údaje zamestnancov, spolupracovníkov a objednávateľov/zákazníkov na účtovné, mzdové a daňové účely . Ak sa neskôr rozhodne spracúvať tieto osobné údaje na štatistické účely alebo pre účely archivácie vo verejnom záujme – dané spracúvanie je automaticky zlučiteľné s pôvodným účelom a EVA CORP ho môže vykonávať na tom istom právnom základe.
4.3 Minimalizácia údajov
Zásada minimalizácie údajov vyžaduje, aby EVA CORP spracúval len také osobné údaje, ktoré sú primerané, relevantné a obmedzené na rozsah, ktorý je nevyhnutný vzhľadom na účely, na ktoré sa spracúvajú. Za porušenie tejto zásady sa považuje spracúvanie osobných údajov v excesívnom rozsahu, ktoré znamená spracúvanie takých osobných údajov, ktoré nie sú potrebné na dosiahnutie účelov spracúvania. EVA CORP musí vedieť preukázať, že všetky spracúvané osobné údaje potrebuje na dosiahnutie sledovaných účelov spracúvania.
4.4 Správnosť
Zásada správnosti vyžaduje, aby EVA CORP spracúval správne a podľa potreby aktualizované osobné údaje, pričom zabezpečí, aby sa osobné údaje, ktoré sú nesprávne z hľadiska účelov, na ktoré sa spracúvajú, bezodkladne vymazali alebo opravili. Zásada správnosti však nesmeruje k absolútnej objektívnej správnosti spracúvaných osobných údajov, ale k správnosti osobných údajov z hľadiska účelov, na ktoré sú dané osobné údaje spracúvané. Niektoré účely môžu napr. vyžadovať, aby sa výslovne pokračovalo v spracúvaní objektívne nesprávnych osobných údajov. Správnosť osobných údajov sa posudzuje z hľadiska účelov spracúvania.
Zásada správnosti preto predstavuje povinnosť, ktorá vyžaduje vynaloženie primeraného úsilia EVA CORP na zabezpečenie správnosti spracúvaných osobných údajov a druhú stranu nezbavuje zo zodpovednosti poskytovať správne osobné údaje.
Je v súlade so zásadou správnosti, ak EVA CORP požaduje od dotknutých osôb oznamovať zmeny ich osobných údajov.
4.5 Minimalizácia uchovávania
Zásada minimalizácie uchovávania vyžaduje, aby EVA CORP uchovával osobné údaje vo forme, ktorá umožňuje identifikáciu dotknutých osôb maximálne dovtedy, kým je to potrebné na účely, na ktoré sa osobné údaje spracúvajú. Vzhľadom na to, že osobné údaje sú spracúvané súčasne na viacero účelov, nie je porušením tejto zásady, ak skončí jeden z účelov spracúvania, ale EVA CORP nepristúpi k vymazaniu osobných údajov z dôvodu, že tieto údaje potrebuje na iné prebiehajúce účely spracúvania. Tieto ďalšie účely môžu byť vymedzené od momentu získania osobných údajov spoločne alebo neskôr počas spracúvania v súlade so zásadou obmedzenia účelu, ktorá dovoľuje spracúvanie na ďalšie účely prostredníctvom testu zlučiteľnosti nového účelu s pôvodnými účelmi.
EVA CORP uchováva osobné údaje na dobu, po ktorú je potrebné predmetné osobné údaje uchovávať v zmysle osobitných právnych predpisov. EVA CORP uchováva osobné údaje zamestnancov, spolupracovníkov a iných dotknutých osôb (napr. o rodinných príslušníkoch) minimálne po dobu trvania zamestnaneckého vzťahu alebo obdobného zmluvného vzťahu. Zásada minimalizácie uchovávania dovoľuje pokračovať v spracúvaní osobných údajov po uplynutí retenčných dôb na niektoré ďalšie vymedzené účely. Ide o účely archivácie vo verejnom záujme, účely vedeckého alebo historického výskumu a štatistické účely .
Účely archivácie vo verejnom záujme sú bližšie upravené v Zákone č. 395/2002 Z.z. o archívoch, pričom verejný záujem, ktorý sleduje tento predpis je uchovanie archívnych dokumentov, ktoré majú trvalú dokumentárnu hodnotu pre poznanie dejín Slovenska a Slovákov. Spracúvanie osobných údajov na účely archivácie vo verejnom záujme zahŕňa aj tzv. predarchivačnú činnosť. Zákon o archívoch ukladá pôvodcom registratúry povinnosť evidovať došlé a vzniknuté registratúrne záznamy počas lehoty uloženia, ktorá predstavuje lehotu, počas ktorej pôvodca potrebuje registratúrne záznamy pre svoju činnosť. Primerané lehoty uloženia si môže EVA CORP stanoviť sám. Lehoty uloženia podľa Zákona o archívoch nepredstavujú retenčné doby spracúvania osobných údajov podľa GDPR, nakoľko lehoty uloženia podľa Zákona o archívoch nastupujú až po uplynutí retenčných dôb podľa pôvodných účelov spracúvania. Registratúrne záznamy môžu ale nemusia obsahovať osobné údaje dotknutých osôb vrátane kópií zmluvnej dokumentácie. Podľa GDPR sa na účely archivácie vo verejnom záujme vzťahujú primerané záruky pre práva a slobody dotknutej osoby. Prijatý registratúrny plán podľa Zákona o archívoch predstavuje také technické a organizačné opatrenia, ktoré sledujú dodržanie zásady minimalizácie. EVA CORP obmedzuje prístup k dokumentom uchovávaných na základe Zákona o archívoch. EVA CORP postupuje podľa Zákona o archívoch a je povinný vymazať osobné údaje až vo vyraďovacom konaní podľa daného predpisu, pričom takýto postup je v súlade so zásadou minimalizácie uchovávania.
Doba uchovávania osobných údajov:
Mzdové listy 20 rokov
Výplatné listiny 10 rokov
Rodinné prídavky a materské príspevky 5 rokov
Prehlásenia k dani zo mzdy 5 rokov
Zrážky zo mzdy 5 rokov
Podklady k mzdám 5 rokov
Osobné spisy zamestnancov 70 rokov (od narodenia zamestnanca)
Evidencia dochádzky 3 roky
Evidencia dovoleniek 3 roky
Popisy pracovných činností 5 rokov
Dohody o vykonaní práce 5 rokov
Dohody o hmotnej zodpovednosti 3 roky ( po strate platnosti )
Evidencia o preškolení a získaní odbornej kvalifikácie 10 rokov
Nemocenské poistenie – dávky, prihlášky, odhlášky, zmeny 10 rokov
Pracovná neschopnosť – evidencia, štatistika 5 rokov
Materská dovolenka a neplatené voľno – evidencia 5 rokov
Stravovanie zamestnancov – zabezpečenie 5 rokov
Bezpečnosť a ochrana zdravia pri práci 5 rokov
4.6 Integrita a dôvernosť
Zásada integrity a dôvernosti vyžaduje, aby EVA CORP spracúval osobné údaje spôsobom, ktorý zaručuje primeranú úroveň bezpečnosti osobných údajov, vrátane ochrany pred neoprávneným alebo nezákonným spracúvaním a náhodnou stratou, zničením alebo poškodením, a to prostredníctvom primeraných technických alebo organizačných opatrení.
4.7 Zodpovednosť
Podľa zásady zodpovednosti je EVA CORP zodpovedný za súlad so základnými zásadami spracúvania osobných údajov podľa článku 5 ods. 1 GDPR, pričom tento súlad musí vedieť preukázať.
V.
PRÁVA DOTKNUTÝCH OSÔB
5.1 Spôsob vybavovania žiadostí dotknutých osôb
Pri informovaní, komunikácii alebo odpovedaní na žiadosti dotknutých osôb je EVA CORP povinný postupovať v súlade s článkom 12 GDPR.
Dotknutou osobou, ktorá si môže uplatňovať svoje práva podľa GDPR môže byť v zásade akákoľvek fyzická osoba. EVA CORP až po posúdení obsahu žiadosti dotknutej osoby pristúpi k prípadnému nevyhoveniu žiadosti, ktoré musí byť odôvodnené.
Ak má EVA CORP oprávnené pochybnosti v súvislosti s totožnosťou fyzickej osoby, ktorá podáva žiadosť, požiada fyzickú osobu o poskytnutie dodatočných informácií potrebných na potvrdenie jej totožnosti.
Ak dotknutá osoba uplatní žiadosť na základe GDPR z inej emailovej adresy, akú obvykle používa, EVA CORP overí, či ide skutočne o dotknutú osobu napríklad tým, že si podanie žiadosti s dotknutou osobou telefonicky overí. Ak to nie je možné, EVA CORP môže od fyzickej osoby vydávajúcej sa za dotknutú osobu požiadať napr. o poskytnutie kópie občianskeho preukazu. EVA CORP za žiadnych okolností nesmie poskytnúť informácie o dotknutej osobe neoprávnenej osobe.
Lehota na vybavenie žiadosti dotknutej osoby začína plynúť až od overenia jej identity. Všeobecná lehota na vybavenie žiadosti dotknutej osoby je jeden mesiac od doručenia žiadosti. EVA CORP je oprávnený rozhodnúť o predĺžení tejto mesačnej lehoty až o ďalšie dva mesiace, pričom zohľadní komplexnosť žiadosti a celkový počet žiadostí, ktoré v danom období obdržal. Vždy keď EVA CORP rozhodne o predĺžení danej lehoty, je povinný informovať dotknutú osobu o každom takomto predlžení spolu s dôvodmi zmeškania lehoty v pôvodnej mesačnej lehote.
Ak EVA CORP neprijme opatrenia na základe žiadosti dotknutej osoby je povinný v mesačnej lehote informovať dotknutú osobu o dôvodoch nekonania a o možnosti podať sťažnosť na Úrade na ochranu osobných údajov alebo uplatniť súdny prostriedok nápravy do jedného mesiaca od doručenia žiadosti.
Ak sú žiadosti dotknutej osoby zjavne neopodstatnené alebo neprimerané, najmä pre ich opakujúcu sa povahu, EVA CORP je oprávnený odmietnuť konať na základe žiadosti alebo požadovať primeraný poplatok zohľadňujúci administratívne náklady EVA CORP podľa jeho vlastného rozhodnutia. Za neprimerane opakujúcu žiadosť tej istej dotknutej osoby sa považuje každá rovnaká alebo obdobná žiadosť, ktorá je podaná do 6 mesiacov od podania predchádzajúcej žiadosti.
Za zjavne neopodstatnené žiadosti dotknutej osoby sa považujú najmä také žiadosti:
ktoré majú výslovne šikanózny charakter voči zamestnancom EVA CORP, spolupracovníkom EVA CORP alebo voči EVA CORP;
ktoré sú vulgárne alebo obsahujú prvky rasovej, etnickej, rodovej, pohlavnej, sexuálnej alebo náboženskej nenávisti;
ktoré majú tak všeobecný charakter alebo sú tak nezrozumiteľné, že EVA CORP nevie z danej žiadosti posúdiť aké právo dotknutá osoba uplatňuje;
ktorými dotknutá osoba žiada informácie, oznámenia alebo žiada na uskutočnenie opatrení, ktoré výslovne nevyplývajú z článkov 15 až 20 GDPR;
ktoré smerujú opakovane k tej istej skutočnosti, ktorú EVA CORP už vysvetlil dotknutej osobe, pričom dotknutej osobe musí byť z okolností jasné, že odpoveď EVA CORP sa nemala prečo zmeniť;
pri ktorých dotknutá osoba vyhotovuje obrazové, zvukové alebo obrazovo-zvukové záznamy zamestnancov, spolupracovníkov alebo EVA CORP;
pri ktorých dotknutá osoba koná agresívne, pod vplyvom alkoholu alebo omamných látok ,alebo ohrozuje bezpečnosť ostatných osôb nachádzajúcich sa v danom priestore.
5.2 Informácie poskytované dotknutým osobám
EVA CORP je oprávnený splniť si informačné povinnosti podľa článkov 13 a 14 GDPR akýmkoľvek spôsobom, bez ohľadu na formu a podobu poskytnutých informácií. Hlavný rozdiel medzi danými povinnosťami spočíva v tom, že podľa čl. 13 GDPR sa postupuje len voči dotknutým osobám od ktorých EVA CORP priamo získala osobné údaje a podľa čl. 14 GDPR postupuje len voči dotknutým osobám, ktorých osobné údaje nezískala priamo od dotknutých osôb, pričom podľa čl. 14 GDPR existuje viacero podstatných výnimiek z danej povinnosti.
V prípade , ak sa získavajú osobné údaje od dotknutej osoby, ktoré sa jej týkajú, je EVA CORP povinný poskytnúť dotknutej osobe už pri ich získavaní tieto informácie:
a) identifikačné údaje a kontaktné údaje EVA CORP,
b) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
c) oprávnené záujmy EVA CORP alebo tretej strany, ak sa osobné údaje spracúvajú na účely oprávnených záujmov EVA CORP (napr. práva EVA CORP uplatňované v súdnom konaní) ,
d) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje (v prípade, že sa osobné údaje poskytujú tretej osobe odlišnej od EVA CORP) ,
e) informáciu o tom, že EVA CORP používa platené e-mailové služby zabezpečujúce ochranu dát viacúrovňovým zabezpečením vrátane popredných šifrovacích technológií ,
f) dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia (v závislosti od jednotlivých účelov spracúvania osobných údajov a na ne sa viažúce osobitné právne predpisy) ,
g) o práve požadovať od EVA CORP prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
h) o práve kedykoľvek svoj súhlas odvolať,
i) o práve podať návrh na začatie konania pred Úradom na ochranu osobných údajov, ak sa cíti priamo dotknutá na svojich právach ustanovených týmto zákonom
j) o tom, či je poskytovanie osobných údajov zákonnou požiadavkou alebo zmluvnou požiadavkou alebo požiadavkou, ktorá je potrebná na uzavretie zmluvy, a o tom, či je dotknutá osoba povinná poskytnúť osobné údaje, ako aj o možných následkoch neposkytnutia osobných údajov.
Ak má EVA CORP v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané je povinné ešte pred ďalším spracúvaním osobných údajov poskytnúť dotknutej osobe informácie o inom účele .
Ak boli osobné údaje získané od dotknutej osoby, EVA CORP nemusí informovať dotknutú osobu v rozsahu, v akom už dotknutá osoba má dané informácie.
V prípade , ak osobné údaje nie sú získané od dotknutej osoby, (napr. ide o údaje o rodinných príslušníkoch dotknutej osoby a pod.) EVA CORP nemusí poskytovať informácie už pri získavaní osobných údajov, informácie je povinná poskytnúť v primeranej lehote a najneskôr do jedného mesiaca od ich získania, najneskôr v čase prvej komunikácie s touto dotknutou osobou, alebo keď sa osobné údaje prvýkrát poskytnú, ak sa predpokladá poskytnutie osobných údajov ďalšiemu príjemcovi. EVA CORP je povinný poskytnúť dotknutej osobe tieto informácie:
a) identifikačné údaje a kontaktné údaje EVA CORP,
b) účel spracúvania osobných údajov, na ktorý sú osobné údaje určené, ako aj právny základ spracúvania osobných údajov,
c) kategórie spracúvaných osobných údajov,
d) identifikáciu príjemcu alebo kategóriu príjemcu, ak existuje,
e) informáciu o tom, že EVA CORP používa platené e-mailové služby zabezpečujúce ochranu dát viacúrovňovým zabezpečením vrátane popredných šifrovacích technológií ,
f) dobe uchovávania osobných údajov; ak to nie je možné, informácie o kritériách jej určenia (v závislosti od jednotlivých účelov spracúvania osobných údajov a na ne sa viažúce osobitné právne predpisy) ,
g) o opránených záujmoch EVA CORP alebo tretej strany, ak sa spracúvajú osobné údaje na tento účel,
h) o práve požadovať od EVA CORP prístup k osobným údajom týkajúcich sa dotknutej osoby, o práve na opravu osobných údajov, o práve na vymazanie osobných údajov alebo o práve na obmedzenie spracúvania osobných údajov, o práve namietať spracúvanie osobných údajov, ako aj o práve na prenosnosť osobných údajov,
i) o práve kedykoľvek svoj súhlas odvolať,
j) o práve podať návrh na začatie konania pred Úradom na ochranu osobných údajov, ak sa cíti priamo dotknutá na svojich právach ustanovených týmto zákonom
k) o zdroji, z ktorého pochádzajú osobné údaje, prípadne informácie o tom, či pochádzajú z verejne prístupných zdrojov.
Ak má EVA CORP v úmysle ďalej spracúvať osobné údaje na iný účel ako ten, na ktorý boli získané je povinný ešte pred ďalším spracúvaním osobných údajov poskytnúť dotknutej osobe informácie o inom účele .
EVA CORP nie je povinný informovať dotktnutú osobu v zmysle vyššie uvedeného:
v rozsahu, v akom dotknutá osoba už dané informácie má,
v rozsahu v akom sa poskytovanie týchto informácií ukáže ako nemožné, alebo by si vyžadovalo neprimerané úsilie,
v rozsahu, v akom sa získanie týchto informácií alebo poskytnutie týchto informácií ustanovuje v osobitnom predpise, ktorý sa na EVA CORP vzťahuje a v prípade, ak osobné údaje musia zostať dôverné na základe povinnosti mlčanlivosti podľa osobitného predpisu.
EVA CORP zverejňuje na Portáli základné informácie podľa článkov 13 a 14 GDPR pod označením Podmienky ochrany súkromia, v príslušnom gramatickom tvare ) .
Odkaz na tieto podmienky a pravidlá EVA CORP používa pri získavaní osobných údajov, v zmluvnej dokumentácii alebo v rámci podpisu v emailovej komunikácii.
V prípadoch, kedy dotknutá osoba nemá možnosť sa oboznámiť s podmienkami ochrany osobných údajov na Portále , EVA CORP poskytne podmienky ochrany osobných údajov dotknutým osobám aj v tlačenej podobe alebo osobne, a to najmä ak dotknutá osoba nemá prístup k internetu.
Na preukázanie splnenia povinnosti informovať dotknutú osobu podľa článkov 13 GDPR je rozhodujúce, či dotknutá osoba mala možnosť pri získavaní osobných údajov oboznámiť sa s týmito informáciami a nie skutočnosť, či tak dotknutá osoba skutočne urobila, nakoľko dotknuté osoby nie sú povinné oboznamovať sa alebo čítať tieto informácie. Nie je potrebné, aby poskytnutie základných informácií dotknutá osoba potvrdzovala napr. označením, súhlasom, vyhlásením alebo podpisom.
EVA CORP v dokumentoch, ktorými si plní informačnú povinnosť podľa čl. 13 a 14 GDPR odkazuje na túto Smernicu.
Právo na prístup k osobným údajom
Dotknuté osoby majú právo na prístup podľa čl. 15 GDPR, pričom dané právo zahŕňa právo dotknutej osoby získať od EVA CORP potvrdenie, či o nej EVA CORP spracúva osobné údaje alebo nie. Len v prípade, že EVA CORP spracúva osobné údaje o dotknutej osobe má dotknutá osoba právo žiadať (aj v rámci jednej žiadosti aj postupne) ďalšie práva patriace pod právo na prístup, konkrétne:
právo na poskytnutie informácií podľa článku 15 ods. 1 GDPR;
právo získať prístup k osobným údajom spracúvaných EVA CORP;
právo na poskytnutie kópie spracúvaných osobných údajov.
Pri poskytovaní informácií podľa čl. 15 ods. 1 GDPR EVA CORP vychádza z toho, že dotknutá osoba už pravdepodobne mala možnosť oboznámiť sa s podmienkami ochrany osobných údajov a pravdepodobne žiada tieto generické informácie potvrdiť a prispôsobiť vo vzťahu k svojej osobe. EVA CORP by mal týmto spôsobom aj odpovedať (napr. vybrať zo zoznamu všetkých účelov iba relevantné účely vo vzťahu k danej osobe).
Právo na poskytnutie kópie osobných údajov podľa článku 15 ods. 3 GDPR predstavuje doplnkové právo dotknutej osoby v rámci práva na prístup. Uplatnením práva na poskytnutie informácií podľa článku 15 ods. 1 GDPR EVA CORP poskytne dotknutej osobe len kategórie dotknutých osobných údajov, ktoré spracúva o konkrétnej dotknutej osobe.
Ak iná fyzická osoba ako EVA CORP, zamestnanec, alebo spolupracovník EVA CORP už má informáciu, že EVA CORP o nej spracúva osobné údaje v súvislosti s konkrétnym zamestnancom, alebo spolupracovníkom EVA CORP, EVA CORP postupuje nasledovne:
EVA CORP základné informácie podľa čl. 13 a 14 GDPR tejto osobe neposkytuje, pretože táto osoba už dané informácie má z Portálu
EVA CORP je oprávnený žiadosť o potvrdenie dotknutej osoby, či o nej spracúva osobné údaje podľa čl. 15 ods. 1 GDPR považovať za zjavne neopodstatnenú v zmysle čl. 12 ods. 4 a 5 GDPR (nakoľko dotknutá osoba už vie, že tieto údaje EVA CORP spracúva);
Pri ďalších právach dotknutej osoby EVA CORP postupuje podľa nasledujúcich bodov nižšie.
5.4 Právo na opravu, vymazanie
Dotknutá osoba má právo žiadať EVA CORP o opravu nesprávnych osobných údajov, ktoré sa jej týkajú a má právo na doplnenie neúplných osobných údajov, a to aj prostredníctvom poskytnutia doplnkového vyhlásenia. O tom, či sú osobné údaje neúplné z pohľadu účelov spracúvania však rozhoduje EVA CORP ako prevádzkovateľ. Právo na opravu podľa článku 16 GDPR musí byť vykladané v súlade so zásadou správnosti podľa tejto Smernice.
Právo na vymazanie osobných údajov nie je absolútne právo, ktorým je možné kedykoľvek dosiahnuť vymazanie všetkých osobných údajov u prevádzkovateľa. Právo na vymazanie sa aplikuje len v prípadoch vymedzených v článku 17 GDPR, ktoré nemajú všeobecnú alebo absolútnu povahu. Tieto dôvody je dotknutá osoba vo svojej žiadosti povinná vysvetliť a EVA CORP má právo žiadať dané vysvetlenie, ak tak dotknutá osoba neurobila.
Ak dotknutá osoba žiada EVA CORP o vymazanie osobných údajov bez uvedenia dôvodov na výmaz podľa čl. 17 GDPR (pričom tieto dôvody nevyplývajú ani z kontextu žiadosti), EVA CORP má právo odpovedať (v mesačnej lehote od podania neúplnej žiadosti) takým spôsobom, že požaduje od dotknutej osoby doplnenie dôvodov na základe ktorých dotknutá osoba žiada o vymazanie. Ak dotknutá osoba tieto dôvody doplní, mesačná lehota na vybavenie žiadosti plynie od doplnenia týchto dôvodov.
Bez vplyvu na vyššie uvedené je EVA CORP oprávnený odmietnuť konať na základe žiadosti o vymazanie osobných údajov, ak platí niektorý z dôvodov uvedený nižšie:
a) na uplatnenie práva na slobodu prejavu a na informácie;
b) na splnenie zákonnej povinnosti, ktorá si vyžaduje spracúvanie osobných údajov, alebo na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej EVA CORP;
c) z dôvodov verejného záujmu v oblasti verejného zdravia;
d) na účely archivácie vo verejnom záujme, na účely vedeckého alebo historického výskumu či na štatistické účely, pokiaľ je pravdepodobné, že právo na vymazanie osobných údajov znemožní alebo závažným spôsobom sťaží dosiahnutie cieľov takéhoto spracúvania, alebo
e) na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov.
Pre EVA CORP sú relevantné najmä dôvody odmietnutia podľa písm. b), d) a e).
EVA CORP nevymaže osobné údaje na základe žiadosti dotknutej osoby, ak:
Doba uchovávania osobných údajov pre účely účtovné, mzdové a daňové ešte trvá;
Osobné údaje sú predmetom predarchívnej starostlivosti podľa Zákona o archívoch (lehota uloženia + vyraďovacie konanie);
osobitné právne predpisy vyžadujú alebo odporúčajú dané osobné údaje nezmazať resp. neskartovať.
Bez vplyvu na vyššie uvedené je EVA CORP oprávnený odmietnuť konať na základe žiadosti o vymazanie osobných údajov, ak je žiadosť zjavne neopodstatnená .
5.5 Právo na obmedzenie spracúvania
Obsah naplnenia podmienok pre uplatnenie práva na obmedzenie spracúvania sa posudzuje obdobným spôsobom ako pri posudzovaní dôvodov na vymazanie osobných údajov vysvetlených vyššie.
5.6 Právo na prenosnosť
Dotknutá osoba má právo žiadať o poskytnutie osobných údajov len vo vzťahu k osobným údajom, ktoré sú spracúvané:
automatizovanými prostriedkami (t.j. elektronicky);
sú spracúvané na právnom základe súhlasu alebo plnenia zmluvy;
a ktoré aktívne poskytla EVA CORP samotná dotknutá osoba.
Tieto podmienky vo väčšine prípadoch nebudú splnené vo vzťahu k osobným údajom iných fyzických osôb, nakoľko EVA CORP vo väčšine týchto prípadov spracúva osobné údaje získané od zamestnanca, spolupracovníka EVA CORP alebo objednávateľa /zákazníka EVA CORP.
Právo na prenosnosť sa nevzťahuje na osobné údaje, ktoré EVA CORP spracúva na iných právnych základoch ako je udelenie súhlasu a plnenie zmluvy. Pod kategórie údajov, ktoré nespadajú pod právo na prenosnosť sa vzťahujú predovšetkým všetky osobné údaje spracúvané na právnom základe vyplývajúcom z osobitných predpisov alebo oprávnených záujmov vysvetlených vyššie. Štandardne, pod túto kategóriu patria aj osobné údaje o iných fyzických osobách, nakoľko o týchto osobách EVA CORP nespracúva osobné údaje na základe zmluvy alebo súhlasu.
Právo na prenosnosť nesmie mať nepriaznivé dôsledky pre práva a slobody iných.
Vo vzťahu k osobným údajom spracúvaným na účely účtovné, mzdové a daňové sa právo na prenosnosť vzťahuje len na osobné údaje priamo poskytnuté zamestnancom, spolupracovníkom EVA CORP , EVA CORP alebo objednávateľom /zákazníkom - fyzickou osobou v elektronickej podobe. Právo na prenosnosť nepatrí právnickým osobám.
Tieto údaje sú najčastejšie poskytované vo formáte .doc, .docx, .rtf, .xls, .pdf, .jpg, .jepg, .png, .gif alebo v texte emailu. Ak má EVA CORP povinnosť poskytnúť osobné údaje v rámci práva na prenosnosť v štruktúrovanom, bežne používanom a strojovo čitateľnom formáte platí, že môže osobné údaje poskytnúť v tom istom formáte, v ktorom mu ich poskytol zamestnanec, spolupracovník EVA CORP alebo objednávateľ/zákazník -fyzická osoba.
5.7 Právo namietať
Dotknuté osoby majú právo namietať z dôvodov týkajúcich sa ich konkrétnej situácie proti spracúvaniu osobných údajov zo strany EVA CORP na právnom základe verejného alebo oprávneného záujmu. Po prijatí žiadosti dotknutej osoby je EVA CORP povinná v lehote do jedného mesiaca od doručenia žiadosti preukázať dotknutej osobe nevyhnutné oprávnené dôvody na spracúvanie, ktoré prevažujú nad záujmami, právami a slobodami dotknutej osoby, alebo dôvody na preukazovanie, uplatňovanie alebo obhajovanie právnych nárokov. V prípade ak EVA CORP nie je schopná v danej lehote preukázať tieto dôvody spracúvania, nesmie od momentu uplynutia tejto lehoty ďalej osobné údaje spracúvať. Lehota podľa tohto bodu sa môže v prípade potreby predĺžiť o ďalšie dva mesiace, pričom sa zohľadní komplexnosť žiadosti a počet žiadostí. EVA CORP informuje o každom takomto predĺžení dotknutú osobu do jedného mesiaca od doručenia žiadosti spolu s dôvodmi zmeškania lehoty. Ak dotknutá osoba podala žiadosť elektronickými prostriedkami, informácie sa podľa možnosti poskytnú elektronickými prostriedkami, pokiaľ dotknutá osoba nepožiadala o iný spôsob.
VI.
BEZPEČNOSŤ OSOBNÝCH ÚDAJOV
EVA CORP dodržuje bezpečnostné opatrenia, ktoré môžu byť použité na preukázanie primeranej úrovne bezpečnosti osobných údajov:
pseudonymizáciu a šifrovanie osobných údajov;
schopnosť zabezpečiť trvalú dôvernosť, integritu, dostupnosť a odolnosť systémov spracúvania a služieb;
schopnosť včas obnoviť dostupnosť osobných údajov a prístup k nim v prípade fyzického alebo technického incidentu (napr. zálohovanie, archivácia);
proces pravidelného testovania, posudzovania a hodnotenia účinnosti technických a organizačných opatrení na zaistenie bezpečnosti spracúvania.
EVA CORP je povinná na každom zariadení, ktoré používa na spracúvanie osobných údajov:
mať nainštalovaný len legálny softvér;
mať inštalovanú antivírovú ochranu a používať primerané zabezpečenie heslami, pričom heslá musia obsahovať minimálne veľké a malé znaky a číslicu
EVA CORP spracúvanie osobných údajov zverí inému sprostredkovateľovi len vtedy, ak poskytuje dostatočné záruky za to, že GDPR bude dodržané.
Pred začatím spracúvania údajov sprostredkovateľ doloží vypracované potrebné technické a organizačné opatrenia vypracované ešte pred uzavretím sprostredkovateľskej zmluvy, zohľadňujúc najmä jej detailné vypracovanie pred začatím spracúvania údajov, a predloží tieto zdokumentované opatrenia EVA CORP na kontrolu. Po schválení zo strany EVA CORP sa tieto zdokumentované opatrenia stanú súčasťou Zmluvy. Ak kontrola/audit zo strany EVA CORP preukáže potrebu zmien uvedených opatrení, takéto zmeny budú na základe spoločnej dohody zapracované.
Zmluvne dohodnuté spracúvanie osobných údajov sa vykoná výlučne v rámci členského štátu Európskej únie (EÚ) alebo v rámci členského štátu Európskeho hospodárskeho priestoru (EHP). Každý prenos osobných údajov do štátu, ktorý nie je členským štátom EÚ alebo EHP alebo do medzinárodnej organizácie, si vyžaduje predchádzajúci súhlas EVA CORP a vykoná sa iba v prípade, keď boli splnené osobitné podmienky prenosov podľa čl. 44 a nasl. GDPR.
EVA CORP prijal na zabezpečenie ochrany osobných údajov pri ich spracúvaní nasledovné technické a organizačné opatrenia.
A/ TECHNICKÉ OPATRENIA
Technické opatrenia realizované prostriedkami fyzickej povahy
Všetky listinné dokumenty EVA CORP obsahujúce spracúvané osobné údaje sú založené v prehľadne označených šanónoch, ktoré sa umiestňujú do uzamykateľnej skrini z drevného pevného materiálu, kľúče od ktorých má k dispozícii len EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti. Iná osoba ako EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti prístup k takto uzamknutým dokumentom nemá . Uzamykateľné skrine sa nachádzajú v miestnosti – kancelárii určenej len pre EVA CORP, do ktorej je prístup iným osobám povolený len v sprievode EVA CORP alebo osoby poverenej EVA CORP vedením administratívnej činnosti . EVA CORP zabezpečí uloženie listinných dokumentov obsahujúcich osobné údaje takým spôsobom, aby tieto neboli prístupné tretím osobám a aby nebolo tretím osobám umožnené do nich nekontrolovane nahliadať.
Listinné dokumenty obsahujúce spracúvané osobné údaje, ktoré majú byť následne spracované na účel vedenia a spracovania miezd a účtovníctva externým subjektom – sprostredkovateľom, sa odovzdávajú zo strany EVA CORP na spracovanie sprostredkovateľovi, s ktorým má EVA CORP uzatvorenú sprostredkovateľskú zmluvu. Platí, že pred uzatvorením sprostredkovateľskej zmluvy a začatím spracúvania osobných údajov sprostredkovateľ predloží EVA CORP vypracované a prijaté potrebné technické a organizačné opatrenia na kontrolu. Po schválení zo strany EVA CORP sa tieto zdokumentované opatrenia stanú súčasťou sprostredkovateľskej zmluvy.
Zabezpečenie objektu pomocou mechanických zábranných prostriedkov
EVA CORP má zriadenú prevádzku v rodinnom dome, do ktorého vstup je umožnený cez uzamykateľné vchodové dvere, ktoré sú vybavené zámkom s bezpečnostnou vložkou.
Prevádzka EVA CORP sa nachádza na 1. poschodí rodinného domu v jednej miestnosti Vstup do tejto miestnosti je chránený dverami, ktoré sú vybavené zámkom s vložkou. Kľúče od prevádzky má EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti. Prevádzka EVA CORP pozostáva z jednej miestnosti s okenným otvorom.
Zabezpečenie chráneného priestoru jeho oddelením od ostatných častí objektu
Prevádzka EVA CORP je oddelená od ostatných častí objektu rodinného domu z vonkajšej strany zvislým obvodovým plášťom a z vnútornej strany spoločnou priečkou oddeľujúcou prevádzkové priestory EVA CORP od susediacich priestorov a ďalšou zvislou priečkou oddeľujúcou prevádzkové priestory EVA CORP od spoločnej chodby vrátane dverí do prevádzkových priestorov EVA CORP. Vo vodorovnej polohe sú prevádzkové priestory EVA CORP ohraničené podlahou a stropom, štyrmi stenami s okenným otvorom, s jediným prístupom cez uzamykateľné dvere.
Umiestnenie informačného systému v chránenom priestore (ochrana informačného systému pred fyzickým prístupom neoprávnených osôb a nepriaznivými vplyvmi okolia)
Všetky listinné dokumenty EVA CORP určené na spracovanie na účely vedenia miezd a účtovníctva a na archiváciu sa uschovávajú v priestoroch EVA CORP v uzamykateľných skriniach, ku ktorým majú fyzický prístup len EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti . Prehľadne označené šanóny, v ktorých sú listinné dokumenty EVA CORP uložené, chránia listinné dokumenty pred ich znehodnotením v dôsledku zaprášenia a ich uloženie v uzamykateľných skriniach ich chráni pred znehodnotením v dôsledku zatečenia a fyzického odcudzenia. Rovnakým spôsobom sa uschovávajú aj záložné médiá a iné obdobné nosiče osobných údajov. Kľúče od uzamykateľných skríň má k dispozícii len EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti. Informačné systémy sú umiestnené v prevádzkovom priestore EVA CORP, ktorý je v čase neprítomnosti oprávnených osôb uzamknutý. Pohyb neoprávnených osôb po prevádzkovom priestore EVA CORP je možný len za prítomnosti oprávnenej osoby.
Všetky osobné údaje nachádzajúce sa na nosičoch ako je pracovný laptop EVA CORP, sú chránené pred prístupom zo strany neoprávnených osôb ich zabezpečením prístupovým heslom k takémuto nosiču, čím je znemožnený prístup k osobným údajom nachádzajúcim sa na tomto nosiči neoprávneným osobám. Heslo musí obsahovať minimálne 8 znakov. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod. Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi „%,/,#,&,@,$ (bez použitia diakritických znamienok). Heslá je potrebné pravidelne meniť každých 45-60 dní, po uplynutí doby platnosti sa heslá nesmú opakovať.
Heslo je sprístupnené len osobe, ktorej bol daný nosič zverený a osobe, ktorá vykonáva funkciu administrátora.
Za utajenie hesla zodpovedá užívateľ nosiča. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod.
Užívateľ nosiča je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužite a spôsobené škody.
Na všetkých pracovných laptopoch a každom zariadení , ktoré EVA CORP používa na spracúvanie osobných údajov je povinný mať nainštalovaný len legálny softvér a inštalovanú antivírovú ochranu, pričom sa používajú platené verzie.
Bezpečné uloženie fyzických nosičov osobných údajov (napr. uloženie listinných dokumentov v uzamykateľných skriniach alebo trezoroch)
Všetky listinné dokumenty EVA CORP určené na spracovanie na účely vedenia miezd a účtovníctva a na archiváciu sa uschovávajú v priestoroch EVA CORP v uzamykateľných skriniach z pevného drevného materiálu, ku ktorým majú fyzický prístup len EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti. Prehľadne označené šanóny, v ktorých sú listinné dokumenty EVA CORP uložené, chránia listinné dokumenty pred ich znehodnotením v dôsledku zaprášenia a ich uloženie v uzamykateľných skriniach ich chráni pred znehodnotením v dôsledku zatečenia a fyzického odcudzenia. Rovnakým spôsobom sa uschovávajú aj záložné médiá a iné obdobné nosiče osobných údajov.
Všetky osobné údaje nachádzajúce sa na nosičoch ako sú pracovné laptopy sú v prevádzke EVA CORP chránené pred ich fyzickým odcudzením mechanickými zábrannými prostriedkami špecifikovanými vyššie.
Všetky osobné údaje nachádzajúce sa na nosičoch ako sú pracovné laptopy sa pravidelne zálohujú na externých harddiskoch, ktoré sa uschovávajú v priestoroch EVA CORP v uzamykateľných skriniach z pevného drevného materiálu, ku ktorým majú fyzický prístup len EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti.
Zamedzenie náhodného odpozerania osobných údajov zo zobrazovacích jednotiek informačného systému (napr. vhodné umiestnenie zobrazovancích jednotiek)
EVA CORP zabezpečuje vhodné umiestnenie zobrazovacích jednotiek nosičov osobných údajov takým spôsobom, aby bolo vylúčené riziko náhodného odpozerania osobných údajov zo zobrazovacej jednotky neoprávnenými osobami.
EVA CORP je povinný nosiče osobných údajov (listinné, laptopy) zabezpečiť tak, aby nedošlo k náhodnému nahliadnutiu, odpozeraniu, alebo vyhotovovaniu kópií nosičov spracovávaných osobných údajov neoprávnenou osobou.
Zariadenie na ničenie fyzických nosičov osobných údajov (napr. zariadenie na skartovanie listín)
EVA CORP je povinný zabezpečiť zničenie fyzických nosičov osobných údajov po uplynutí doby, po ktorú je EVA CORP povinný archivovať fyzické nosiče osobných údajov v zmysle všeobecne záväzných právnych predpisov, a to prostredníctvom zariadenia na skartovanie listín.
Nepotrebné a/alebo pokazené dokumenty , ktoré obsahujú citlivé informácie a osobné údaje sa skartujú bezodkladne.
Ochrana pred neoprávneným prístupom
Šifrová ochrana obsahu dátových nosičov a šifrová ochrana dát premiestňovaných prostredníctvom počítačových sietí
Prístup k dátovým nosičom má výlučne EVA CORP a externé subjekty, ktoré spracovávajú osobné údaje na účely účtovné, mzdové a daňové, ktoré majú postavenie sprostredkovateľov. EVA CORP má so sprostredkovateľom uzatvorenú osobitnú sprostredkovateľskú zmluvu, v rámci ktorej sú dojednané požiadavky na ochranu pred neoprávneným prístupom k osobným údajom dotknutých osôb prostredníctvom šifrovacích technológií, používania vysoko bezpečného systému zálohovania dát využívajúceho externé alebo interné diskové polia tzv. RAID – polia, s požiadavkou inštalácie iba legálneho softvéru a to nielen operačného, ale akýchkoľvek aplikácií ako je napr. kancelársky balík, ekonomický softvér, pričom každú inštaláciu musí prevádzať systémový správca a kontrolu všetkých technických zariadení vykonávať systémový správca min. každých šesť mesiacov, pričom vstup do databáz príslušného softvéru je zabezpečený nastaviteľným heslom užívateľa.
Dokumenty zasielané prostredníctvom počítačových sietí sa zasielajú šifrované alebo zaheslované s heslom /kľúčom posielaným príjemcovi inými komunikačnými kanálmi, napr. SMS.
Pravidlá prístupu tretích strán k informačnému systému, ak k takému prístupu dochádza
O prístupe tretích strán k informačnému systému rozhoduje EVA CORP, ktorý prístup umožní osobe, ktorej to vyplýva zo zmluvného vzťahu s EVA CORP.
Prevádzkovateľ je povinný poučiť osobu podľa predchádzajúcej vety o právach a povinnostiach ustanovených zákonom a o zodpovednosti za ich porušenie pred uskutočnením prvej operácie s osobnými údajmi. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov. Oprávnená osoba je povinná zachovávať mlčanlivosť a dôvernosť ohľadne osobných údajov, s ktorými príde do styku.
Prevádzkovateľ je povinný o poučení oprávnenej osoby vyhotoviť písomný záznam. Záznam o poučení obsahuje
a) identifikačné údaje prevádzkovateľa,
b) titul, meno, priezvisko, pracovné, služobné, členské alebo funkčné zaradenie a podpis oprávnenej osoby,
c) titul, meno, priezvisko, pracovné zaradenie alebo funkciu a podpis toho, kto vykonal poučenie,
d) informácie o právach a povinnostiach ustanovených zákonom,
e) informáciu o oboznámení sa s touto smernicou
f) deň poučenia a
g) deň, odkedy osoba prestala byť oprávnenou osobou; tento údaj doplní prevádzkovateľ po ukončení jej činnosti ako oprávnenej osoby.
EVA CORP zaviaže mlčanlivosťou všetky fyzické osoby, ktoré u nej prídu do styku s osobnými údajmi, pričom táto povinnosť mlčanlivosti musí trvať aj po skončení pracovného , členského alebo obdobného pomeru daných osôb.
EVA CORP je povinný zachovávať mlčanlivosť o osobných údajoch, ktoré spracúva. Povinnosť mlčanlivosti trvá aj po ukončení spracúvania osobných údajov.
Príjemca je povinný zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku; tie nesmie využiť ani pre osobnú potrebu a bez súhlasu EVA CORP ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť.
Povinnosť mlčanlivosti trvá aj po skončení pracovného, členského, alebo obdobného pomeru alebo vzťahu príjemcu .
Povinnosť mlčanlivosti neplatí, ak je to nevyhnutné na plnenie úloh súdu a orgánov činných v trestnom konaní podľa osobitného zákona; tým nie sú dotknuté ustanovenia o mlčanlivosti podľa osobitných predpisov.
6.3 Riadenie prístupu oprávnených osôb
Identifikácia, autentizácia a autorizácia oprávnených osôb v informačnom systéme (v ďalšom texte aj ako „IS“)
Prístup do informačného systému EVA CORP má výlučne EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti.
Každý užívateľ IS je povinný pri prístupe k IS prihlásiť sa menom a heslom. Heslo musí obsahovať minimálne 8 znakov. Kombinácia znakov tvoriacich heslo nesmie byť jednoducho dešifrovateľná, nie je dovolené používať prihlasovacie meno do siete, mená a priezviská používateľov, ich rodinných príslušníkov, dátumy narodení a pod. Odporúčaná je kombinácia veľkých a malých písmen spolu s číslicami a špeciálnymi znakmi „%,/,#,&,@,$ (bez použitia diakritických znamienok). Heslá je potrebné pravidelne meniť každých 45-60 dní, po uplynutí doby platnosti sa heslá nesmú opakovať.
Za utajenie hesla zodpovedá užívateľ IS. Heslá nesmú byť voľne dostupné, napr. vedľa počítača, pod klávesnicou, na stole a pod.
Používateľ je zodpovedný za neoprávnené sprístupnenie svojho hesla inej osobe, následne i za jeho zneužite a spôsobené škody.
Zaznamenávanie vstupov jednotlivých oprávnených osôb do informačného systému
EVA CORP je povinná viesť evidenciu vstupov jednotlivých oprávnených osôb do informačného systému.
V prípade, ak užívateľ nosiča osobných údajov získa v dôsledku chyby programových alebo technických prostriedkov privilegovaný stav, ktorý mu nebol udelený, alebo prístupové práva, ktoré mu neboli udelené, je povinný túto skutočnosť oznámiť EVA CORP.
6.4 Ochrana proti škodlivému kódu
Detekcia prítomnosti škodlivého kódu v prichádzajúcej elektronickej pošte a v iných súboroch prijímaných z verejne prístupnej počítačovej siete alebo z dátových nosičov
Každý užívateľ nosiča osobných údajov v EVA CORP je povinný mať zabezpečenú ochranu IS pred jeho napadnutím neautorizovanými osobami a to inštalácou zakúpených licenčných programov, ktoré eliminujú možnosť napadnutia pracovnej stanice a spĺňajú tieto bezpečnostné ochrany:
- antivírová ochrana (ochrana pred vírusovými napadnutiami)
- antispamová ochrana (ochrana pred nevyžiadanou elektronickou poštou)
Antivírový program musí byť nainštalovaný na každej pracovnej stanici /laptope/, ktorá je z technického hľadiska pripojená do internetu.
Používanie legálneho a prevádzkovateľom schváleného softvéru
EVA CORP je povinný používať na všetkých pracovných staniciach /laptopoch/ len legálny softvér so zakúpenou licenciou.
Pravidlá sťahovania súborov z verejne prístupnej počítačovej siete
EVA CORP vyslovuje zákaz pre oprávnené osoby, ktoré používajú pracovné stanice /laptopy/ zverené im zo strany EVA CORP sťahovať súbory z neoverených zdrojov na verejne prístupnej počítačovej sieti. Rovnako vyslovuje zákaz vkladať cudzie médiá do vlastných zariadení EVA CORP.
Všetci oprávnení užívatelia pracovných staníc /laptopov/, zverených im zo strany EVA CORP, sú oprávnení na ich využitie výlučne v súlade s účelom plnenia úloh vyplývajúcich z ich zmluvného vzťahu s EVA CORP .
6.5 Sieťová bezpečnosť
Kontrola, obmedzenie alebo zamedzenie prepojenia informačného systému, v ktorom sú spracúvané osobné údaje s verejne prístupnou počítačovou sieťou
EVA CORP prevádzkuje webovú stránku, ktorej zabezpečenie spĺňa štandardy v zmysle požiadaviek GDPR.
Evidencia všetkých miest prepojenia sietí vrátane verejne prístupnej počítačovej siete
Pracovné stanice /laptopy/ EVA CORP nie sú navzájom prepojené. / EVA CORP vedie evidenciu o všetkých miestach prepojenia nosičov osobných údajov s externými sieťami.
Ochrana vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti (napr. firewall)
EVA CORP :
a) zabezpečuje ochranu vonkajšieho a vnútorného prostredia prostredníctvom nástroja sieťovej bezpečnosti (firewall) pre svoje informačné systémy ,
b) vedie evidenciu o všetkých miestach prepojenia nosičov osobných údajov s externými sieťami,
c) má zabezpečenú identifikáciu používateľa a následnú autentifikáciu pri vstupe do informačného systému,
d) používateľ má prístup iba k tým údajom a funkciám, ktoré sú potrebné na vykonávanie jeho úloh,
e) zodpovedným za prideľovanie prístupových práv používateľom je EVA CORP
f) zaznamenáva zmeny v pridelenom prístupe a ich archiváciu počas celej doby činnosti informačného systému,
g) dodržiava bezpečnostné zásady pre mobilné pripojenie do informačného systému a pre prácu na diaľku; mobilným pripojením je najmä prenosný laptop
h) zabezpečuje, aby používatelia nepoužívali informačné systémy na nelegálne účely,
ch) umožňuje oprávneným osobám prístup iba k takým údajom a funkciám v týchto informačných systémoch, ktoré nevyhnutne potrebujú na vykonávanie pridelených úloh,
i) zaznamenáva každý prístup každého používateľa vrátane administrátora do informačného systému, zamedzuje možnosti zmeny týchto záznamov a možnosti vymazania týchto záznamov bez schválenia EVA CORP
j) vedie formalizovanú dokumentáciu prístupových práv všetkých používateľov informačného systému
Pravidlá prístupu do verejne prístupnej počítačovej siete (napr. zamedzenie pripojenia k určitým webovým sídlam)
EVA CORP povoľuje prístup používateľom IS len k webovým sídlam potrebným pre vykonávanie pridelených úloh.
Ochrana proti iným hrozbám pochádzajúcim z verejne prístupnej počítačovej siete (napr. hackerský útok)
EVA CORP je povinný zabezpečiť všetky pracovné stanice takými programami, ktoré ochránia pracovnú stanicu pred hrozbami pochádzajúcimi z verejne prístupnej počítačovej siete, ak sú na ňu napojené. Doporučuje sa inštalovať min. antivírový program, ktorý musí byť pravidelne aktualizovaný s pravidelnou kontrolou celého počítača antivírovým programom v intervale 1x mesačne.
Nikdy sa nesmie otvárať podozrivá nevyžiadaná e-mailová príloha.
6.6 Zálohovanie
Test funkcionality dátového nosiča zálohy
EVA CORP zabezpečuje v pravidelných intervaloch testovanie zálohovacích médií a kontroluje, či sú dáta na nich nahraté korektne a nevykazujú známky chybovosti.
Vytváranie záloh s vopred zvolenou periodicitou
Záloha sa musí robiť pravidelne (každé dva týždne) , systematicky, dôsledne a stáva sa rutinnou súčasťou práce. Oprávnené osoby sú uzrozumené s tým, že obnovením dát zo zálohy sa vždy nenávratne stratí tá časť práce, ktorá bola vykonaná od posledného zálohovania.
Každý užívateľ IS EVA CORP je povinný zabezpečiť zálohu IS v pravidelných dvojtýždňových intervaloch, o ktorom uskutočnení zálohy vedie záznam v knihe záloh, v ktorej uvedie dátum zálohy, názov IS, znak „Z“ (záloha), svoje meno a podpis.
Test obnovy informačného systému zo zálohy
Každý užívateľ IS EVA CORP je povinný v pravidelných intervaloch na mesačnej báze otestovať možnosť obnovy informačného systému zo zálohy, o ktorom uskutočnení obnovy IS zo zálohy vedie záznam v knihe záloh, v ktorej uvedie dátum obnovy IS zo zálohy, názov IS, znak „OZ“ (obnova zálohy) svoje meno a podpis.
Bezpečné ukladanie záloh
Údaje na pamäťovom médiu musia byť fyzicky umiestnené mimo počítača. Záložné médium musí byť dostatočne zabezpečené pred zničením a zneužitím neoprávnenými osobami. Na tento účel sa pamätové médiá uschovávajú v priestoroch EVA CORP v uzamykateľných skriniach z pevného drevného materiálu, ku ktorým má fyzický prístup len EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti.
6.7 Likvidácia osobných údajov a dátových nosičov
Všetky písomné, obrazové, zvukové a iné záznamy, ktoré obsahujú osobné údaje (zoznamy, výpisy, pamäťové médiá a pod.) musia byť po vylúčení z ďalšieho spracovania fyzicky zlikvidované skartovaním, rozložením, alebo spálením. Je zakázané nosiče osobných údajov odovzdať do zberu bez predchádzajúceho znehodnotenia znemožňujúceho prístup k osobným údajom.
Bezpečné vymazanie osobných údajov z dátových nosičov
Prepisovateľné pamäťové média (CDRW, DVDRW média, USB kľúče, pamäťové karty a pod.) sa musia likvidovať vymazaním, alebo naformátovaním tak, aby sa z nich osobné údaje nedali reprodukovať. Neprepisovateľné pamäťové médiá (CD a DVD média a pod.) sa musia fyzicky likvidovať napr. zlomením alebo prostredníctvom zariadenia napr. skartovacieho prístroja. Pri vymazaní osobných údajov v elektronickej podobe je potrebé dávať pozor pri vymazaní súboru „vysypať kôš“) a zabezpečiť prekrytie osobných údajov prázdnymi znakmi alebo iným textom.
Zariadenie na likvidáciu dátových nosičov osobných údajov
Na fyzickú likvidáciu dátových nosičov má EVA CORP zabezpečené zariadenie na to určené – tzv. skartovačku.
Aktualizácia operačného systému a programového aplikačného vybavenia
EVA CORP je povinný zabezpečiť pravidelnú aktualizáciu operačného systému a programového aplikačného vybavenia.
B/ ORGANIZAČNÉ OPATRENIA
6.8 Personálne opatrenia
Písomné poučenie oprávnených osôb pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi
EVA CORP je povinný každú oprávnenú osobu pred uskutočnením prvej spracovateľskej operácie s osobnými údajmi poučiť o právach a povinnostiach ustanovených Zákonom a GDPR a o zodpovednosti za ich porušenie. Poučenie obsahuje najmä rozsah oprávnení, popis povolených činností a podmienky spracúvania osobných údajov. O poučení je predseda povinný vyhotoviť písomný záznam. Oprávnená osoba poučenie potvrdí svojím podpisom.
Poučenie o právach a povinnostiach vyplývajúcich zo Zákona a GDPR a zodpovednosti za ich porušenie
Každá oprávnená osoba je povinná zachovávať mlčanlivosť o osobných údajoch, s ktorými príde do styku. Tie nesmie využiť ani pre osobnú potrebu a bez súhlasu EVA CORP ich nesmie zverejniť a nikomu poskytnúť ani sprístupniť, mimo situácií vymedzených zákonom o ochrane osobných údajov. Povinnosť mlčanlivosti trvá aj po ukončení ich spracovania. Povinnosť mlčanlivosti platí aj pre iné fyzické osoby, ktoré v rámci svojej činnosti prídu do styku s osobnými údajmi. Povinnosť mlčanlivosti nemajú, ak je to podľa osobitného zákona nevyhnutné na plnenie úloh orgánov činných v trestnom konaní. Povinnosť mlčanlivosti trvá aj po zániku funkcie oprávnenej osoby alebo po skončení jej pracovného pomeru alebo obdobného pracovného vzťahu.
Vymedzenie osobných údajov, ku ktorým má mať konkrétna oprávnená osoba prístup na účel plnenia jej povinností alebo úloh
EVA CORP má prístup ku všetkým osobným údajom dotknutých osôb, ktoré EVA CORP spracováva na právnych základoch a v súlade s účelom špecifikovanými v tejto smernici.
Sprostredkovateľ EVA CORP má prístup k osobným údajom dotknutých osôb, ktoré spracúva na základe vymedzeného účelu a právneho základu v sprostredkovateľskej zmluve.
Určenie postupov, ktoré je oprávnená osoba povinná uplatňovať pri spracúvaní osobných údajov
Všetka korešpondencia doručovaná EVA CORP prostredníctvom poštového doručovateľa je doručovaná do rúk EVA CORP. Doporučené zásielky adresované EVA CORP je oprávnený preberať len EVA CORP. Obyčajné zásielky adresované EVA CORP je oprávnený otvoriť len EVA CORP alebo osoba poverená EVA CORP vedením administratívnej činnosti.
EVA CORP využíva v rámci svojej činnosti e-mailovú adresu kontakt@evacorp.sk , ku ktorému má prístup len EVA CORP alebo osoba poverená EVA CORP vedením administratívnej činnosti, ktorý spracúva osobné údaje len v rozsahu vymedzeného účelu a právneho základu vyplývajúceho z plnenia úloh EVA CORP v zmysle tejto smernice.
Osoby s oprávnením na prístup do e-mailového účtu EVA CORP v prípade potreby výmeny informácií obsahujúcich osobné údaje fyzických osôb využívajú prednostne doručovanie prostredníctvom poštovej schránky. V prípade, ak nie je možné zo strany EVA CORP zvoliť iný informačný kanál ako e-mailový účet, dokumenty obsahujúce osobné údaje EVA CORP zasiela zabezpečené heslom s tým, že heslo adresátovi oznámi prostredníctvom iného komunikačného kanálu (napr. SMS).
EVA CORP je prevádzkovateľom webovej stránky, v rámci ktorej činnosti spracováva osobné údaje len v rozsahu vymedzeného účelu a právneho základu vyplývajúceho z tejto smernice.
Vymedzenie zakázaných postupov alebo operácií s osobnými údajmi
Pre všetky osoby, ktoré boli oboznámené s touto smernicou a sú ňou viazané je zakázané zhromažďovanie a rozmnožovanie zhromaždených osobných údajov mimo zákonom stanovených prípadov.
Je zakázané: - zhromažďovať, zapisovať, evidovať osobné údaje mimo k tomu určených a zabezpečených médií
- poskytovať osobné údaje telefonicky, internetom (výnimka je zabezpečené spojenie), mobilnými sieťami
- poskytovať osobné údaje bez overenia oprávnenosti osoby, ktorej majú byť osobné údaje poskytnuté
Vymedzenie zodpovednosti za porušenie zákona
Osoby oprávnené spracúvať osobné údaje sú zodpovedné za komplexné, pravdivé, aktuálne údaje a vkladanie týchto údajov do IS. Sú zodpovedné za uchovávanie, ochranu a manipuláciu s nimi v prípade, že tieto údaje sú v textovej forme. Sú zodpovedné za preukázateľnosť súhlasu na spracúvanie osobného údaju, a to tak, že možno o ňom podať dôkaz, ak EVA CORP spracúva osobné údaje na základe súhlasu. Sú zodpovedné za poriadok na pracovisku a odloženie všetkých písomností obsahujúcich osobné údaje a iných dokumentov, ktoré by mohli viesť k slobodnému prístupu k osobným údajom, do odkladacích skriniek, resp. skríň. Sú zodpovedné za dodržiavanie politiky tzv. čistého stola.
Poučenie oprávnených osôb o postupoch spojených s automatizovanými prostriedkami spracúvania a súvisiacich právach a povinnostiach (v priestoroch prevádzkovateľa a mimo týchto priestorov)
K spracúvaniu osobných údajov automatizovanými prostriedkami dochádza výlučne prostredníctvom účtovného programu, v ktorom je spracúvané účtovníctvo EVA CORP, s ktorým pracuje externý subjekt – sprostredkovateľ, ktorý má s EVA CORP uzavretú osobitnú sprostredkovateľskú zmluvu.
Oboznámenie oprávnených osôb so smernicou
Každá oprávnený osoba musí byť preukázateľne oboznámená s obsahom tejto smernice v rozsahu potrebnom na plnenie jej povinností a úloh. Uvedená povinnosť sa vzťahuje aj na každú zmenu tejto smernice.
Vzdelávanie oprávnených osôb (napr. právna oblasť, oblasť informačných technológií)
EVA CORP zabezpečí sledovanie zmien v právnej oblasti a v oblasti informačných technológií a následne ich zakomponovanie do smernice, ktorá slúži ako zdroj vzdelávania oprávnených osôb v sledovaných oblastiach.
Postup pri ukončení pracovného alebo obdobného pomeru oprávnenej osoby (napr. odovzdanie pridelených aktív, zrušenie prístupových práv, poučenie o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti)
Pri skončení pracovného, alebo obdobného pomeru je oprávnená osoba povinná odovzdať EVA CORP všetky pridelené aktíva. Oprávnená osoba bude preukázateľne poučená o následkoch porušenia zákonnej alebo zmluvnej povinnosti mlčanlivosti.
Riadenie prístupu oprávnených osôb k osobným údajom
Kontrola vstupu do objektu a chránených priestorov prevádzkovateľa (napr. prostredníctvom technických a personálnych opatrení)
Prevádzka EVA CORP sa nachádza na prízemí objektu rodinného domu. Vstup do prevádzky je chránený dverami, ktoré sú vybavené zámkom s bezpečnostnou vložkou. Kľúče od prevádzky EVA CORP majú EVA CORP, osoba poverená EVA CORP vedením administratívnej činnosti. Prevádzka EVA CORP pozostáva z jednej miestnosti s okenným otvorom.
Pohyb v prevádzke EVA CORP inými osobami ako sú uvedené v predchádzajúcom odseku je možný len v sprievode niektorej z osôb definovaných v predchádzajúcom odseku.
Kľúče od uzamykateľných skríň slúžiacich na úschovu nosičov obsahujúcich osobné údaje má len EVA CORP a osoba poverená EVA CORP vedením administratívnej činnosti.
Prideľovanie prístupových práv a úrovní prístupu (rolí) oprávnených osôb
O pridelení prístupových práv a úrovni prístupu oprávnenej osobe rozhoduje len EVA CORP , ktorý je zároveň administrátorom. Oprávnej osobe je pridelené prístupové právo a rola len v rozsahu zodpovedajúcom a nevyhnutnom na plnenie úloh vyplývajúcich zo zmluvného vzťahu uzatvoreného s EVA CORP.
Správa hesiel
Prístupové heslo do IS prideľuje oprávnenej osobe administrátor, ktorý vykonáva kontrolu dodržiavania pravidelnej zmeny hesla v zmysle tejto smernice zo strany oprávnenej osoby.
Pravidlá spracúvania osobných údajov v chránenom priestore
Všetky výstupy v listinnej podobe z IS slúžiaceho na vedenie účtovníctva sú určené na archiváciu, ktorú zabezpečuje externý subjekt – sprostredkovateľ, s ktorým má EVA CORP uzatvorenú osobitnú sprostredkovateľskú zmluvu. V prípade ukončenia spolupráce je sprostredkovateľ povinný odovzdať EVA CORP všetku listinnú dokumentáciu určenú na archiváciu, ktorá je následne uschovávaná v uzamykateľných skriniach slúžiacich na úschovu nosičov osobných údajov.
EVA CORP nosiče osobných údajov v listinnej podobe, ktorých spracovávanie uskutočňuje na zmluvnom základe a ktorých archivácia vyplýva z osobitného právneho predpisu, uschováva v uzamykateľných skriniach slúžiacich na úschovu nosičov osobných údajov .
Z iných nosičov osobných údajov, ako sú napr. pracovné laptopy sa nevyhotovujú listinné nosiče osobných údajov. Vykonáva sa len záloha na externé hard disky, ktoré sú uschovávané v uzamykateľných skriniach slúžiacich na úschovu nosičov osobných údajov .
EVA CORP spracúva osobné údaje bez súhlasu dotknutej osoby, ak účel spracúvania osobných údajov, okruh dotknutých osôb a zoznam osobných údajov ustanovuje osobitný zákon a ktoré už boli zverejnené v súlade so zákonom a prevádzkovateľ ich náležite označil ako zverejnené. Sprostredkovateľ spracúva osobné údaje len v rozsahu a spôsobom, ktorý ustanovuje osobitný zákon.
Nepretržitá prítomnosť oprávnenej osoby v chránenom priestore, ak sa v ňom nachádzajú aj iné ako oprávnené osoby
Vstup iných ako oprávnených osôb do prevádzky EVA CORP je možný len za nepretržitej prítomnosti konateľa EVA CORP , alebo niektorého zo zamenstnancov, resp. spolupracovníkov EVA CORP.
Režim údržby a upratovania chránených priestorov
Upratovanie prevádzky EVA CORP sa uskutočňuje svojpomocne.
Pravidlá spracúvania osobných údajov mimo chráneného priestoru, ak sa také spracúvanie predpokladá
Každá oprávnený osoba, ktorá spracováva osobné údaje mimo prevádzkového priestoru EVA CORP, najmä na pracovných laptopoch v domácom alebo inom prostredí, je povinná dodržiavať zásady bezpečnosti a politiku čistého stola a dbať, aby nebolo možné odpozorovať spracúvané osobné údaje zo strany osoby bez oprávnenia napr. zo zobrazovacieho zariadenia.
Pravidlá spracúvania osobných údajov v IS v súvislosti s účelom vedenia miezd, účtovníctva a daní ako aj v súvislosti s marketingovým účelom sú predmetom osobitnej sprostredkovateľskej zmluvy, ktorú má EVA CORP uzavretú so sprostredkovateľom .
Pravidlá manipulácie s fyzickými nosičmi osobných údajov (napr. listiny, fotografie) mimo chránených priestorov a vymedzenie zodpovednosti
Každá oprávnená osoba manipuluje s fyzickými nosičmi osobných údajov (napr. listiny, fotografie, pracovné laptopy) takým spôsobom, aby zabránila prístupu tretích osôb k týmto nosičom osobných údajov.
Pravidlá manipulácie s fyzickými nosičmi osobných údajov v IS v súvislosti s účelom vedenia miezd, účtovníctva a daní sú predmetom osobitnej sprostredkovateľskej zmluvy, ktorú má EVA CORP uzavretú so sprostredkovateľom.
Pravidlá používania automatizovaných prostriedkov spracúvania (napr. notebooky) mimo chránených priestorov a vymedzenie zodpovednosti
Pravidlá používania automatizovaných prostriedkov spracúvania osobných údajov v IS v súvislosti s účelom vedenia miezd, účtovníctva a daní sú predmetom osobitnej sprostredkovateľskej zmluvy, ktorú má EVA CORP uzavretú so sprostredkovateľom .
Pravidlá používania prenosných dátových nosičov mimo chránených priestorov a vymedzenie zodpovednosti
V prípade použitia prenosných dátových nosičov je oprávnená osoba povinná dodržiavať bezpečnostné opatrenia, tento dátový nosič starostlivo počas prenosu uschovávať a dbať, aby sa prenosný dátový nosič nedostal do dispozície inej ako oprávnenej osoby.
Likvidácia osobných údajov
Likvidáciu osobných údajov zabezpečuje EVA CORP po ich vylúčení z ďalšieho spracovania, ak nakladanie s nimi nepredpisuje osobitný zákon.
Určenie postupov likvidácie osobných údajov s vymedzením súvisiacej zodpovednosti jednotlivých oprávnených osôb (bezpečné vymazanie osobných údajov z dátových nosičov, likvidácia dátových nosičov a fyzických nosičov osobných údajov)
EVA CORP osobne vykoná fyzickú likvidáciu dátových a fyzických nosičov prostredníctvom zariadenia na to určeného – skartovacieho zariadenia a zodpovedá za vykonanie ich likvidácie v zmysle platných právnych predpisov.
Postup likvidácie osobných údajov v IS v súvislosti s vedením účtovníctva je predmetom osobitnej zmluvy, ktorú má EVA CORP uzavretú s externým subjektom – sprostredkovateľom.
VII.
OZNAMOVANIE PORUŠENÍ OCHRANY OSOBNÝCH ÚDAJOV ÚRADU NA OCHRANU OSOBNÝCH ÚDAJOV
EVA CORP je povinný oznamovať porušenia ochrany osobných údajov v lehote 72 hodín (t.j. 3 dní) s výnimkou prípadov, keď nie je pravdepodobné, že porušenie ochrany osobných údajov povedie k riziku pre práva a slobody fyzických osôb. Rozhodujúcou skutočnosťou pre začiatok tejto lehoty je moment, kedy EVA CORP overí, či nastalo porušenie ochrany osobných údajov a aké môže predstavovať riziká pre práva a slobody fyzických osôb a nie zistenie, že porušenie ochrany osobných údajov mohlo nastať. EVA CORP je povinná vykonávať overenie podľa predchádzajúcej vety bezodkladne po zistení, že porušenie ochrany osobných údajov mohlo nastať. Ak nie je možné oznámenie podať v uvedenej lehote, malo by sa k oznámeniu pripojiť odôvodnenie omeškania, pričom informácie možno poskytnúť vo viacerých etapách bez ďalšieho zbytočného odkladu.
EVA CORP stratí pracovný laptop , personálne spisy alebo prenosné dátové úložisko a vzhľadom na ich obsah usúdi, že únik daných informácií pravdepodobne povedie k rizikám pre práva a slobody fyzických osôb.
EVA CORP musí zdokumentovať každý prípad porušenia ochrany osobných údajov vrátane skutočností spojených s porušením ochrany osobných údajov, jeho následky a prijaté opatrenia na nápravu.
Pri porušení ochrany osobných údajov podľa čl. 34 GDPR je EVA CORP povinný dané porušenie oznamovať tým dotknutým osobám, ktorých sa dané porušenie týka.
Osobou zodpovednou za zrealizovanie úkonov podľa tohto článku smernice je EVA CORP .
VIII.
BEZPEČNOSTNÉ INCIDENTY
Postup pri ohlasovaní bezpečnostných incidentov a zistených zraniteľných miest informačného systému na účel včasného prijatia preventívnych alebo nápravných opatrení.
Všetky bezpečnostné incidenty a zistené zraniteľné miesta IS je potrebné ihneď nahlásiť EVA CORP a to za účelom včasného prijatia preventívnych alebo nápravných opatrení.
Evidencia bezpečnostných incidentov a použitých riešení
EVA CORP eviduje všetky vzniknuté bezpečnostné incidenty a použité riešenia v osobitnej evidencii.
Postup pri riešení jednotlivých typov bezpečnostných incidentov
strata, vyzradenie alebo krádež hesiel pre vstup do IS – je potrebné zmeniť všetky prihlasovacie heslá do IS , vykonať poučenie osôb o ochrane a utajení hesiel pre vstup do IS
neoprávnený vstup neoprávnenej osoby do IS – je potrebné zmeniť všetky prihlasovacie heslá do informačného systému , vykonať poučenie osôb o ochrane a utajení hesiel pre vstup do IS
krádež alebo strata kľúčov – je potrebné zabezpečiť okamžitú výmenu zámkov, prípadne doplnenie bezpečnostných ochrán IS – napr. inštalovaním senzorov, kamerového systému, doplnkových mechanických zábran
strata záložných médií – je potrebné zabezpečiť zálohu údajov v kryptovanom tvare s prístupom cez heslo
krádež záložných médií- je potrebné zabezpečiť miesto, kde sú uložené média, proti opätovnému odcudzeniu- napr. inštalovaním senzorov, kamerových systémov, doplnkových mechanických zábran, zabezpečiť zálohu údajov v kryptovanom tvare s prístupom cez heslo
Identifikácia, evidencia a odstraňovanie následkov bezpečnostných incidentov
EVA CORP zabezpečuje identifikáciu, evidenciu a odstraňovanie následov bezpečnostných incidentov.
Postupy pri haváriách, poruchách a iných mimoriadnych situáciách (napr. oznamovanie bezpečnostných incidentov)
Každý, kto zaregistruje haváriu, poruchu alebo inú mimoriadnu situáciu nasvedčujúcu tomu, že by sa mohlo jednať o bezpečnostný incident je povinný o tom bez zbytočného odkladu informovať EVA CORP.
Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania (napr. ochrana osobných údajov na pevnom disku opravovaného počítača)
Postup pri poruche, údržbe alebo oprave automatizovaných prostriedkov spracúvania osobných údajov v IS je predmetom osobitnej zmluvy, ktorú má EVA CORP uzavretú so sprostredovateľom, u ktorého dochádza k automatizovanému spracúvaniu osobných údajov.
IX.
KONTROLNÁ ČINNOSŤ
Kontrolná činnosť EVA CORP zameraná na dodržiavanie prijatých bezpečnostných opatrení s určením spôsobu, formy a periodicity jej realizácie
EVA CORP vždy pred začatím spracúvania osobných údajov v informačnom systéme preverí, či ich spracúvaním nevzniká nebezpečenstvo narušenia práva a slobôd dotknutých osôb.
Pri zistení porušenia zákona EVA CORP okamžite pozastaví zber údajov, údaje sa zablokujú a hľadajú sa postupy, ako dostať situáciu do súladu so zákonom.
EVA CORP pri zistení zreteľahodného nedostatku spracuje zápis o zistenom nedostatku, jeho odstránení a navrhovanom riešení.
EVA CORP musí vždy vykonať zápis pri zistení systémového nedostatku a pri porušení práv dotknutých osôb.
EVA CORP vykonáva kontrolu dodržiavania bezpečnostnej smernice priebežne, najmenej každé tri mesiace.
EVA CORP kontroluje zásady spracúvania osobných údajov minimálne raz za rok a vyhotovuje o tom písomný záznam.
EVA CORP o každej kontrole vypracuje zápis do knihy kontrol bezpečnosti IS, ktorý musí obsahovať: dátum a čas kontroly, rozsah kontroly, zistené nedostatky pri kontrole, návrh protiopatrení, osobu zodpovednú za vykonanie protiopatrení, termín kontroly splnenia protiopatrení.
EVA CORP pri vzniku bezpečnostnej udalosti vykoná mimoriadnu kontrolu a vypracuje zápis do knihy kontrol bezpečnosti IS.
Kontrola zabezpečenia priestoru prevádzky EVA CORP pred nedovoleným prístupom je vykonávaná námatkovo EVA CORP .
Táto smernica nadobúda účinnosť dňa 12.11.2018.
________________________________
EVA CORP
Pôsobíme v Banskobystrickom, Nitrianskom a Žilinskom kraji.
Zásah do 3 hodín od Vášho zavolania.