Ochrana osobných údajov

V zmysle Nariadenia Európskeho parlamentu a Rad (EÚ) č. 2016/679 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov a v zmysle zákona č. 18/2018 Z. z. o ochrane osobných údajov v platnom a účinnom znení s názvom Interná Smernica č. 1/2018 o politike a zásadách ochrany fyzických osôb v súvislosti so spracovaním osobných údajov prijatá a schválená obchodnom spoločnosťou Ing. Anna Virágová PER IMMACULATAM, IČO: 32758120, 171, 95104 Veľký Lapáš dňa 25.05.2018 v sídle spoločnosti (ďalej iba „interná smernica“)

 

Článok 1

Úvodné ustanovenie

 

Účelom vytvorenia politiky a zásad ochrany fyzických osôb v súvislosti so spracovaním osobných údajov v našej spoločnosti je vytvorenie legálneho vnútropodnikového rámca v jednom dokumente pre používanie postupov v súlade s vyššie uvedenými právne záväznými predpismi o ochrane osobných údajov fyzických osôb. Tento dokument bude takisto použitý pre prípad vykonávania kontroly z Úradu pre ochranu osobných údajov. Naša spoločnosť sa zaoberá prevažne kúpou a predajom tovaru a pri týchto činnostiach dochádza k spracovávaniu osobných údajov našich klientov a preto je v našom najlepšom záujme, aby  všetky naše postupy a procesy v rámci spoločnosti boli v súlade s platnými a účinnými predpismi o ochrane údajov.

 

Článok 2

Bezpečnostná a zodpovednostná politika v našej spoločnosti

 

1) Dosiahnutie najvyššej možnej ochrany osobných údajov našich klientov je pre našu spoločnosť vysokou prioritou a okrem existujúcich obchodných cieľov bude tejto oblasti zo strany vedenia spoločnosti a takisto aj zamestnancov venovaná zvýšená pozornosť. Opatrenia technickej a organizačnej povahy, ktoré budú použité v našej spoločnosti budú starostlivo vybrané vzhľadom na rozsah spracovania osobných údajov  a na technické a personálne možnosti našej spoločnosti, ale vždy takým spôsobom, aby tieto prostriedky boli maximálne efektívne a aby bolo učinené zadosť platnej a účinnej právnej úprave v SR a EÚ.

2) Určenou oprávnenou osobou pre oblasť ochrany osobných údajov fyzických osôb v našej spoločnosti je štatutár Ing. Anna Virágová. Tento je oprávnený a povinný zároveň kontrolovať úroveň ochrany v tejto oblasti vo vnútri spoločnosti v rámci jej vnútropodnikových procesov a takisto aj navonok voči tretím osobám a to najmä klientom, teda fyzickým osobám, ktorých údaje sa pri obchodnej činnosti spoločnosti spracúvajú. Konateľ je oprávnený ustanoviť za seba osobu, z radov zamestnancov pre tento účel.

3) Ako spoločnosť sa týmto výslovne zaväzujeme, že budeme aj do budúcna kontinuálne sledovať vývoj v oblasti právnych predpisov, judikatúry a technického aj iného rozvoja ochrany osobných údajov a poznatky takto získané budeme implementovať do našich vlastných procesov v záujme zlepšenia ochrany osobných údajov fyzických osôb v našej spoločnosti.

4) Ako spoločnosť sa zaväzujeme, že budeme vykonávať pravidelné školenia v počte 2 krát za kalendárny rok pre zamestnancov a vedenie spoločnosti zamerané na zopakovanie vedomostí a znalostí z oblasti ochrany osobných údajov, ich prehĺbenie ako aj získavanie nových poznatkov. Tieto činnosti budú určené takisto aj k senzibilizácii zamestnancov a vedenia spoločnosti a k zvýšeniu pocitu zodpovednosti všetkých zúčastnených osôb vzhľadom na dôležitosť a citlivosť oblasti ochrany osobných údajov fyzických osôb.

Článok 3

Právny rámec ochrany osobných údajov

 

1) Ako základný právny rámec nastavenia ochrany osobných údajov v našej spoločnosti bude použité platné a účinné znenie Nariadenia EP a Rady č. 2016/679 ako aj znenie zákona č. 18/2018 Z. z. o ochrane osobných údajov. Okrem týchto predpisov budú pre tento účel rané na vedomie aj úpravy noriem ISO 27001, ISO 27000, ISO 31000 a prípadne ďalšie normy.

2) V prípade potreby naša spoločnosť využije aj služby externých spoločností na vykonávanie školení a vytváranie dokumentácie pre účel zabezpečenia súladu s právnymi predpismi o ochrane osobných údajov a to najmä advokátske kancelárie alebo osoby, ktoré majú preukázateľné skúsenosti a hlboké vedomosti z oblasti ochrany osobných údajov.

 

Článok 4

Dokumentácia a o ochrane osobných údajov

 

1) V prípade, ak naša spoločnosť ako prevádzkovateľ odovzdáva získané osobné údaje o fyzických osobách ďalšej osobe v postavení sprostredkovateľa, sme povinní pre tento prípad vyhotoviť osobitnú zmluvu medzi našou spoločnosťou a každou takouto ďalšou osobou v postavení sprostredkovateľa, alebo inkorporovať príslušné ustanovenia v zmysle zákona č. 18/2018 do rámcovej zmluvy, prípadne vyhotoviť dodatok k tejto zmluve.

2) Ďalšími dokumentmi, ktoré sa naša spoločnosť zaväzuje vyhotoviť pre potrebu ochrany osobných údajov a pre potreby preukázania zhody sú Interné Smernice, Záznamy o vykonaní školení, Záznamy o spracovaní osobných údajov, Formulár hlásenia bezpečnostnej udalosti Úradu pre ochranu osobných údajov, Formulár hlásenia bezpečnostnej udalosti dotknutej fyzickej osobe, prípadne ďalšie dokumenty podľa potreby.

 

Článok 5

Existujúce a pripravované technické a organizačné opatrenia

 

Naša spoločnosť sa zaväzuje, že vykoná vhodné technické a organizačné opatrenia, ktoré budú implementované za účelom zlepšenia procesov ochrany osobných údajov fyzických osôb. Popis opatrení v súvislosti použitím štruktúry ako je uvedená v ISO norme 27002 a ISO norme 29151 zahŕňa nasledovné:

  • Jednotný postup pri vybavovaní podnetov, námietok, sťažností dotknutých fyzických osôb
  • Kontrola prístupov k zariadenia, kde sa nachádzajú osobné údaje klientov, či už v elektronickej podobe alebo v papierovej podobe
  • Klasifikácia informácií a následné dôsledné triedenie a bezpečné uchovanie a zálohovanie
  • Zvýšenie bezpečnosti fyzických priestorov ako aj samotného prostredia organizácie a to najmä výmenou zámkov za odolnejšie, zvýšenie frekvencie použitia zámkov a bezpečnostných skríň
  • Zvýšenie používania šifrovania samotných dát a rovnako aj komunikácie pri prenosoch týchto dát elektronickou formou
  • Zvýšenie používania heslovania prístupu k mobilným zariadenia, laptopom, stolovým počítačom a iným zariadeniam na ktorých prebieha spracovanie dát a to minimálne 14 miestnym heslom zloženým z písmen
  • Zálohovanie osobných údajov s použitím dvojcestnej metódy a to s použitím iného média ako to na ktorom sú uložené pôvodné dáta
  • Používanie antivírových a antimalvérových aplikácii v rámci organizácie
  • Pravidelné preskúmavanie a hľadanie slabých miest v rámci vnútropodnikových procesov a ich následné odstraňovanie
  • Nákup USB médií s možnosťou použitia kryptovania, alebo s možnosťou použitia biometrického údaju na autentifikáciu
  • Použitie aplikácií na kryptovanie HDD a SSD diskov
  • Zabezpečenie friendly prístupu a plnej odbornej aj organizačnej súčinnosti zamestnancov a vedenia spoločnosti pri kontrole z Úradu pre ochranu osobných údajov

 

V ......................... dňa ........................

 

 

.........................................

Ing. Anna Virágová