Správce osobních údajů

Věříme, že je lepší dělat jednu činnost co nejlépe než více činností průměrně. Proto se u nás ve firmě zaměřujeme pouze na službu správy a zabezpečení sítě. A to v České republice, i ve členských zemích Evropské unie. Avšak i při velice úzké specializaci se dostáváme do pozice správce i zpracovatele osobních údajů.

S případnými dotazy a připomínkami se můžete obracet na:
PATRON-IT s.r.o. (IČ: 29279534)
Příkop 843/4
602 00 Brno
gdpr@patron-it.cz

Seznam zpracovávaných osobních údajů z pozice správce

Mzdová agenda

Abychom splnili zákonné požadavky a mohli plnit své závazky vůči zaměstnancům (dále je budu nazývat Kolegy - protože toto slovo lépe vyjadřuje atmosféru a přátelské vztahy, jaké ve firmě panují), udržujeme o nich po dobu 30 let následující údaje (samotného mne překvapuje délka následujícího výčtu, avšak vše je opravdu potřeba): jméno, příjmení, titul, rodné číslo, datum a místo narození, trvalé bydliště, rodinný stav, zdravotní pojišťovnu, předchozí vzdělání a zaměstnání, brannou povinnost, soukromé kontaktní údaje (telefon, e-mail), číslo bankovního účtu, údaje o pracovní době (nemoci, dovolené, odpracované hodiny), mzdové údaje, potvrzení o zdravotním stavu, údaje potřebná pro daňová přiznání (potvrzení od banky o úrocích zaplacených na hypotéce, počet nezaopatřených dětí včetně jejich jména, příjmení a rodného čísla, osobní údaje o manželovi/manželce/partnerovi/partnerce včetně jména, příjmení, rodného čísla, výše úroků z úvěrů na bydlení, penzijní, údaje o příspěvcích poskytovaných do systému životního a důchodového pojištění včetně smluvních podmínek konkrétních produktů údaje o poskytnutých darech, údaje o úrocích poskytovaných na bytové potřeby včetně smluvních podmínek a zákonem požadovaných údajů o bytové potřebě), druh pobíraného důchodu, kategorie zdravotního znevýhodnění, příslušnost k systému sociálního pojištění jiného státu, údaje o srážkách ze mzdy včetně údajů o probíhajících exekučních řízeních, pracovní pozice, jakož i všechny ostatní osobní údaje nezbytné pro vedení mzdového účetnictví a plnění povinností založených obecně závaznými právními předpisy a všechny ostatní údaje nezbytné pro uplatňování slev na dani a odpočtů od základu daně zaměstnanců .

Část údajů získáváme přímo od zaměstnanců při uzavírání smlouvy (např. jméno, příjmení) a další část vzniká během našeho vztahu (např. údaje o pracovní době a mzdové údaje). O změnách ve svých údajích nás informují Kolegové.

K těmto OÚ má přístup pouze omezený počet osob: jednatelé, asistentka, účetní a mzdová účetní. Mimo společnost je zpřístupňujeme pouze externí mzdové účetní, s níž máme uzavřenou samostatnou zpracovatelskou smlouvu, a v nezbytném rozsahu zdravotním pojišťovnám našich Kolegů a státním institucím (finanční úřad, městská správa sociálního zabezpečení).

Tyto OÚ se u nás ve firmě nachází v elektronické podobě v systému Pohoda se šifrovanou databázovou jednotkou a v listinné podobě v zamykatelném kabinetu.

Reprezentace společnosti

Stejně jako uvnitř společnosti, tak i navenek (s odběrateli, dodavateli) se snažíme mít vřelé a upřímné vztahy. Věříme, že když ostatní strany ví, s kým komunikují, je spolupráce efektivnější a rychleji vzniká důvěra. Z tohoto důvodu v „oprávněném zájmu společnosti" zpracováváme o svých Kolezích následující OÚ, které od nich získáme: jméno, příjmení, fotografie, pracovní pozice, firemní telefonní číslo, firemní e-mailová adresa, certifikace, pracovní úspěchy .

Tyto osobní údaje používají kolegové při e-mailové komunikaci a společnost je používá na webových stránkách a marketingových, reklamních i prodejních materiálech .

Osobní údaje se nachází na následujících místech:

• E-mailové zprávy - poskytovatel Office365.com - obsahuje všechny výše uvedené OÚ.
• Informační systémy - ERA, Unifi, PATRAM, Active directory - obsahuje jméno a příjmení jako přihlašovací údaje.

Z povahy těchto osobních údajů dochází k jejich sdílení s třetími stranami.

Osobní údaje udržujeme po dobu pracovního poměru kolegy se společností. Po jejím ukončení dochází bez zbytečného odkladu k deaktivaci a ukončení sdílení těchto osobních údajů. Do 1 roku od ukončení pak dojde i k jejich smazání u nás ve společnosti.

Záznam pracovní aktivity

Pro transparentnost a dobré vztahy se zákazníky naší společnosti pořizujeme záznamy o naší práci ( oprávněný zájem společnosti, plnění smluv se zákazníky). Na základě těchto výkazů práce (vzor https://www.patron-it.cz/uploads/patron-it-vykaz-prace.pdf) následně svým zákazníkům fakturujeme.

Výkazy práce obsahují: jméno a příjmení osoby vykonávající servis, popis servisu (co, kdy, jak a kde), a případně jméno osoby (zákazník nebo jeho zástupce), která servis schválila, objednala či se jej účastnila.

Tyto údaje získáváme přímo od kolegů samotných, nebo je o sobě pořizují navzájem (např. někdo zapisuje do informační systému hromadný úkon, na kterým se podílel s ostatními).

Jelikož jsou výkazy práce přílohou k daňovým dokladům (pro doložení účelnosti nákladů pro finanční úřad) a naše firma je plátcem DPH, musíme je uchovávat po dobu 10 let.

Interně má k těmto OÚ přístup každý z Kolegů (z důvodu vzájemného zastupování a dohledávání minulých servisních zásahů).

Tyto OÚ ve formě výkazů práce sdílíme se zákazníky. Každý zákazník e-mailovou zprávou dostane pouze výkaz práce obsahující OÚ vztahující se k jeho zaměstnancům a našim Kolegům. Zákazníky ve smlouvě o správě sítě zavazujeme k tomu, aby poskytnuté OÚ řádně zabezpečili (dle platných předpisů ohledně ochrany osobních údajů).

OÚ se nachází ve firemním Dropbox účtu, informačním systému PATRAM a e-mailech. Všechny systémy vyžadují pro přístup uživatelské jméno, heslo a druhý faktor. Komunikace je proti odposlechu během přenosu chráněna šifrováním.

Informace pro obchodní styk

Abychom mohli provozovat obchodní aktivitu a plnit zároveň povinnosti zákona o účetnictví, musíme o našich obchodních partnerech evidovat: jméno, adresu společnosti, IČ, DIČ, kontaktní osoby, číslo bankovního účtu, informace o poskytnutých/objednaných službách a zboží, platební schopnost .

Tyto údaje udržujeme po dobu 10 let a získáváme je přímo od subjektu údajů, z bankovních výpisů, obchodního rejstříku, registru plátců DPH, finančního úřadu .

Tyto OÚ se nachází různě v IS Pohoda, mailovém serveru Office 365 a papírové podobě. I když se jedná převážně o veřejné údaje, tak pro IS Pohoda i Office 365 používáme šifrování a papírovou podobu uchováváme v zamčeném kabinetu a přístup k nim je omezen pouze pro jednatele, administrativní pracovníky a účetní společnosti, a kromě zákonných povinností je nezpřístupňujeme třetím stranám.

Kontaktní údaje na zákazníky

Během poskytování služeb (správy a zabezpečení sítě) jsme v kontaktu se zákazníky, jejich partnery, zaměstnanci i potencionálními zákazníky. V oprávněném zájmu společnosti a za účelem plnění smluv zpracováváme následující osobní údaje: jméno, příjmení, telefonní číslo, e-mailová adresa, název společnosti.

Hlavním důvodem zpracovávání OÚ těchto osob je, abychom s nimi mohli komunikovat za účelem plnění jejich požadavků nebo našich závazků vůči nim (vyplývajících ze smluv). Osobní údaje nám poskytují dobrovolně.

Tyto údaje sdílíme v rámci naší společnosti a předáváme je pouze:

• obchodním partnerům, kteří se podílejí na vedení účetnictví a výkaznictví,
• subdodavatelům, s nimiž spolupracujeme na našich zakázkách,
• níže uvedeným „partnerům".

Samozřejmě máme také povinnost vyplývající ze zvláštních právních předpisů předat požadované údaje soudům, policii a dalším orgánům veřejné správy.

OÚ se nachází v Office 365, firemních počítačích a mobilních telefonech. Pro případ krádeže/ztráty mobilního telefonu jsou OÚ chráněna šifrováním a obsah telefonu je možné vzdáleně vymazat. Firemní počítače nejsou přenosné a jejich obsah je také chráněn šifrováním.

Nábor nových kolegů

Občas k nám do firmy hledáme nové kolegy. V takovém případě nám do firmy chodí životopisy a motivační dopisy skrze e-mailovou adresu.

Tyto OÚ ukládáme na firemním sdíleném disku. Z e-mailu jsou OÚ smazány, jakmile je pracovní místo, na které se hledá kolega, obsazeno, případně dané kolo uzavřeno (cca 2 měsíce). Tyto OÚ údaje netiskneme.

Na firemním disku ukládáme tyto OÚ po dobu 1 roku, pak je mažeme. Výjimkou jsou případy, kdy nám dá uchazeč písemné oprávnění si OÚ ponechat po delší dobu (protože bychom jej rádi v budoucnu kontaktovali ohledně volného místa).

Tyto OÚ nikam dále nepředáváme a uvnitř naší společnosti k nim přistupuje jen část lidí (ti, kteří jsou zodpovědní za výběr nového kolegy).

Posílání nových článků

Čtenáři, kterým se líbí náš blog https://martinhaller.cz, se mohou přihlásit k odběru upozornění na nový článek. Abychom jim mohli tato upozornění zasílat,nechávají nám na sebe sami svoue-mailovou adresu. Tyto OÚ dále s nikým nesdílíme a nepoužíváme je k jinému účelu než posílání upozornění. V každém e-mailu, který pošleme, je zároveň i odkaz na odstranění svého e-mailu z daného seznamu. Když se čtenář rozhodne dále nedostávat upozornění, je jeho e-mailová adresa ihned smazána ze systému.

Seznam zpracovávaných osobních údajů z pozice zpracovatele

Jako správce sítě, počítačů a serverů našich zákazníků máme přístup i k osobním údajům, jichž jsou správci, nebo zpracovatelé. Ke zpracování těchto údajů máme povinnost na základě smlouvy o správě sítě, kterou máme se zákazníky uzavřenou.

Jaké osobní údaje zpracováváme a co s nimi děláme

Naši zákazníci jsou firmy z různých oborů, proto i osobní údaje, jichž jsme zpracovateli, se různí. Většinou se jedná o osobní údaje obchodního charakteru (seznamy dodavatelů, odběratelů, přehledy), uživatelského charakteru (přihlašovací údaje, uživatelské profily v e-shopech, historie aktivity), mzdové podklady, zdravotní informace (výsledky vyšetření, zdravotní karty). Vzhledem k množství zákazníků však pro nás není možné provést úplný výčet OÚ.

Většinou k těmto OÚ nemáme přímý přístup (přihlašovací údaje do informačních systémů), ale jen přístup k podkladovým systémům/infrastruktuře. Jako správci sítě k nim přistupujeme primárně za účelem zálohování (zálohuje se například celá databáze/server), zabezpečení (staráme se o systémy, kde se OÚ nachází) a podpory zákazníků (pokud uživatel potřebuje s nějakým systémem pomoci).

Osobní údaje již dále nepředáváme, až na výjimky, kdy jsme o to písemně požádáni samotným správcem údajů (např. za účelem technické podpory s výrobcem informačního systému, kde jsou OÚ spravovány).

Jak zajišťujeme bezpečnost

Někteří naši zákazníci jsou správci „zvláštní kategorie osobních údajů", které mají zvýšené nároky na bezpečnost. Ve firmě také zastáváme filozofii standardizace (viz náš článek „ Standardizace - děláme IT jako Baťa cvičky"). Z těchto důvodů jsme se rozhodli ke správě sítí všech zákazníků přistupovat s důrazem na co nejvyšší zabezpečení.

• Nevytváříme si kopie OÚ - při správě sítí našich zákazníků (plnění povinností ze smlouvy o správě sítě) neopouští jejich OÚ své prostředí (tzn. nepořizujeme si k sobě jejich kopie).
• Fyzická bezpečnost:
  • Místa, ze kterých můžeme k prostředím našich zákazníkům přistoupit, jsou omezena.
  • Tato místa jsou hlídána elektronickým zabezpečovacím systémem nebo mají ostrahu.
• Elektronická bezpečnost:
  • Pro přístup ke každému zákazníkovi používáme unikátní sadu hesel.
  • Ke vzdálenému přístupu k zákazníkovi používáme primárně RDP, TeamViewer a VPN spojení. Všechny tyto technologie zajišťují šifrování, autentizaci a autorizaci a jsou standardem v IT oboru.
  • Veškeré přístupové údaje ukládáme v software k tomu určenému, který provozujeme nad vlastními servery a dá se k němu přistoupit pouze z PC s vysokou úrovní zabezpečení (viz článek „ Správa hesel 2").
  • PC, ze kterých se dá od nás k zákazníkům přistoupit, jsou extra zabezpečeny. Jejich uživatelé (Kolegové) nemohou na stanice nic instalovat a mohou spouštět pouze povolené aplikace (jedná se o technické omezení). (více o této bezpečnosti v článku „Zabezpečení sítě: Tierování a PAW").
  • U všech našich centrálních systémů (umožňují přístup k více zákazníkům) využíváme minimálně dvou faktorovou autentizaci.
• Organizační opatření:
  • Ve firmě máme vyřešen systém oprávnění (tzn. každý nemá přístup všude).
  • V oblasti zabezpečení se snažíme neustále vzdělávat, zlepšovat a zavádět nové technologie (viz články z našeho dění na https://martinhaller.cz/).
  • Všichni Kolegové jsou pravidelně školeni k ochraně osobních údajů, aby znali a dodržovali pravidla firmy ohledně ochrany osobních údajů.
• Záznamy o činnosti:
  • Veškerá připojení k zákazníkům jsou automaticky evidována (kdo, kdy, kam a jak dlouho).
  • Zároveň se o všech úkonech vede ruční evidence, která se každý měsíc předkládá zákazníkovi (viz článek „ Výkazy práce")

Poučení

Jako subjekt osobních údajů máte právo:

• žádat o informace o kategoriích vašich zpracovávaných osobních údajů, účelu, době a povaze zpracování a o příjemcích vašich osobních údajů;
• požádat o poskytnutí kopie zpracovávaných osobních údajů;
• požádat při naplnění podmínek stanovených relevantními právními předpisy, aby osobní údaje byly opraveny, doplněny nebo vymazány, případně jejich zpracování omezeno;
• vznést námitku proti zpracovávání osobních údajů a právo podat stížnost u dozorového úřadu;
• být informován o případech porušení zabezpečení osobních údajů a to tehdy, pokud je pravděpodobné, že daný případ porušení bude mít za následek vysoké riziko pro jeho práva a svobody;
• na přenesení údajů;
• kdykoli odvolat svůj souhlas se zpracováním OÚ (Zde bychom vás chtěli upozornit, že některé OÚ, které jsou nezbytné pro řádné poskytnutí služby, resp. ke splnění našich povinností, musíme zpracovávat i když svůj souhlas odvoláte. To proto, abychom vám mohli řádně poskytnout služby, na kterých jsme se domluvili, nebo protože nám to přikazuje zákon).

Pokud od vás obdržíme žádost týkající se osobních údajů, budeme vás informovat o přijatých opatřeních bez zbytečného odkladu

Zákon nám povoluje zpracovávat osobní údaje bez souhlasu subjektu OÚ, ale pouze za účelem:

• poskytnutí služby či produktu (při plnění povinností, které vyplývají buď přímo ze smlouvy, nebo i v situaci, kdy si spolu úkol odkývneme nebo si jako projev souhlasu potřeseme rukou - zákon to definuje jako „konkludentní využívání služby")
• splnění zákonných povinností , které pro nás vyplývají z obecně závazných právních předpisů;
• ve veřejném zájmu (např. ověření a zajištění bezpečnosti námi poskytnutých služeb a výrobků);
• zpracování, jež je nezbytné pro účely oprávněných zájmů (efekt pro zákazníka je vyšší než pro zpracovatele).

Dále můžeme zpracovávat OÚ i na základě souhlasu. To, za jakým účelem zpracováváme jaké konkrétní OÚ, je uvedeno výše v tomto dokumentu.

Proti zpracování údajů, které se vás týkají, máte také právo vznést námitku (dle čl. 21 GDPR).

Pro případ dotazů, nebo uplatnění vašich práv nám pošlete zprávu na adresu gdpr@patron-it.cz.