Preskočiť na obsah Preskočiť na pätu
Zatvoriť

Úvod

GDPR je všeobecné nariadenie o ochrane údajov , ktoré je účinné od 25. mája 2018 a predstavuje najvýznamnejšiu zmenu súvisiacu s ochranou osobných údajov za posledné dve desaťročia. Je navrhnutý a realizovaný tak, aby plne spĺňal potreby digitálneho veku.
Dvadsiate prvé storočie prináša širšie uplatnenie technológií v každodennom živote, ako aj nové definície osobných údajov. Cieľom GDPR je štandardizovať zákony o ochrane údajov v celej Európskej únii a tým poskytnúť jednotlivcom väčšie a konzistentnejšie práva týkajúce sa prístupu k ich osobným údajom a kontroly nad nimi.

Náš záväzok k ochrane údajov

Spoločnosť Fine'sa Conceptus doo (ďalej len my, naše) sa plne zaväzuje k cieľu poskytovať bezpečnosť a ochranu spracovávaných osobných údajov používateľov, ako aj poskytovať svojim používateľom konzistentný prístup k ochrane údajov. Vždy sme sa snažili mať robustný a efektívny program ochrany údajov, ktorý je v súlade s platnými zákonmi, ako aj so základnými zásadami ochrany údajov. Napriek tomu si uvedomujeme potrebu jeho vylepšenia, aby sme plne splnili smernice GDPR a zákony Chorvátskej republiky.

Ako sa pripravujeme na GDPR

Spoločnosť Fine'sa Conceptus doo má konzistentnú úroveň politík a procesov ochrany údajov na všetkých organizačných úrovniach, ale aby sme do 25. mája 2018 dosiahli úplný súlad s pokynmi GDPR, zaviedli sme nasledujúce kroky:

  • Informačný audit – na všetkých organizačných úrovniach bol vykonaný audit zhromaždených osobných údajov, t. j. bol overený ich obsah, spôsob ich zhromažďovania, dôvod ich spracovania a komu sú zverejňované.
  • Politika a postupy – boli vykonané revízie a zavedené nové zásady a postupy ochrany údajov, ktoré spĺňajú všetky požiadavky GDPR a všetkých súvisiacich zákonov a zahŕňajú nasledovné:
    • Ochrana údajov – hlavný dokument o politike a postupoch ochrany údajov bol revidovaný tak, aby spĺňal štandardy a požiadavky GDPR. Zodpovednosti a opatrenia v oblasti riadenia sú zavedené s cieľom zabezpečiť, aby sme rozumeli, primerane šírili a preukazovali naše povinnosti a zodpovednosti s osobitným zameraním na ochranu súkromia pri návrhu a práva jednotlivcov.
    • Uchovávanie a vymazávanie údajov – Aktualizovali sme naše zásady a harmonogram uchovávania údajov, aby sme zabezpečili splnenie zásad „minimalizácie údajov“ a „obmedzenia ukladania“ a aby sa osobné údaje uchovávali, archivovali a ničili eticky a v súlade s nimi. Máme špecifické postupy pre vymazanie údajov, aby sme splnili novú povinnosť „práva na vymazanie“ a sme si vedomí toho, kedy sa uplatňujú ďalšie práva dotknutých osôb – spolu s prípadnými výnimkami, lehotami na odpoveď a povinnosťami týkajúcimi sa oznámenia.
    • Riadenie porušení – Naše postupy riadenia porušení sú záruky a postupy na čo najrýchlejšiu identifikáciu, posúdenie, vyšetrovanie a nahlásenie porušení ochrany osobných údajov. Naše postupy sú robustné a prístupné všetkým zamestnancom a predstavujú sériu konkrétnych krokov, ktoré je potrebné implementovať.
    • Medzinárodné prenosy údajov a zverejňovanie tretím stranám – v prípadoch, keď spoločnosť Fine'sa Conceptus dd uchováva alebo prenáša osobné údaje mimo EÚ, existujú prísne postupy a záruky na zabezpečenie zabezpečenia, šifrovania a zachovania ich integrity údajov. Naše postupy zahŕňajú priebežné preskúmanie krajín s dostatočnými rozhodnutiami o primeranosti, ako aj záväznými ustanoveniami o firemných pravidlách, ako aj štandardnými doložkami o ochrane údajov alebo schválenými kódexmi správania pre krajiny bez takýchto rozhodnutí. U všetkých príjemcov osobných údajov vykonávame dôkladné kontroly náležitej starostlivosti, aby sme posúdili a potvrdili, že majú zavedené primerané záruky na ochranu informácií, zabezpečili vymáhateľné práva týkajúce sa predmetných údajov a v prípade potreby mali k dispozícii účinné právne prostriedky nápravy pre dotknuté osoby.
    • Žiadosť o prístup k údajom (SAR) – Upravili sme naše postupy SAR tak, aby vyhovovali revidovanej 30-dňovej lehote na poskytnutie požadovaných informácií a aby toto poskytnutie bolo bezplatné. Naše nové postupy podrobne opisujú overovanie údajov, kroky, ktoré sa podnikajú na spracovanie žiadostí o prístup, aké výnimky sa uplatňujú, a ponúkajú celý rad šablón odpovedí, aby sa zabezpečilo, že komunikácia o údajoch je v súlade s predpismi, konzistentná a vhodná.
  • Právny základ spracovania – všetky činnosti spracovania preverujeme s cieľom určiť právny základ spracovania a zabezpečiť, aby každý základ bol vhodný pre činnosť, na ktorú sa vzťahuje. V prípade potreby tiež vedieme záznamy o činnostiach spracovania, čím zabezpečujeme splnenie povinností podľa článku 30 GDPR a prílohy 1 zákona o ochrane údajov.
  • Oznámenie a zásady ochrany osobných údajov – Naše oznámenia o ochrane osobných údajov sme upravili tak, aby boli v súlade s GDPR a zabezpečili sme, aby všetky osoby, ktorých osobné údaje sa spracúvajú, boli informované o tom, prečo tieto údaje potrebujeme, ako sa používajú, aké sú ich práva a aké záruky sú zavedené na ochranu údajov.
  • Získanie súhlasu – prepracovali sme naše mechanizmy súhlasu so zhromažďovaním osobných údajov, aby sme zabezpečili, že jednotlivci rozumejú tomu, čo poskytujú, prečo a ako ich používame, a aby sme poskytli jasné a definované spôsoby, ako udeliť súhlas so spracovaním osobných údajov. Vypracovali sme prísne postupy na zaznamenávanie súhlasu, ktoré zabezpečujú, že vieme preukázať potvrdzujúci súhlas spolu s časom a dátumom záznamu. Takto je jednoduché vidieť a získať prístup k tomu, ako kedykoľvek odvolať súhlas.
  • Priamy marketing – Prepracovali sme naše texty a postupy priameho marketingu a zahrnuli sme jasné mechanizmy na odber priameho marketingu s predplatným (newsletter), ako aj jasné oznámenie a spôsob odstránenia a poskytnutie funkcií na odhlásenie sa z odberu vo všetkých nasledujúcich marketingových materiáloch.
  • Posúdenia vplyvu na ochranu údajov (DPIA) – v prípadoch, keď spracovávame osobné údaje považované za vysoko rizikové, vrátane rozsiahleho spracovania alebo údajov o osobitných kategóriách/odsúdeniach za trestné činy, sme vypracovali prísne postupy a šablóny na vykonávanie posúdení vplyvu, ktoré sú plne v súlade s požiadavkami článku 35 GDPR. Zaviedli sme dokumentačné procesy, ktoré zaznamenávajú každé posúdenie, umožňujú nám posúdiť riziko, ktoré predstavuje spracovanie, a zaviesť zmierňujúce opatrenia na zníženie rizika pre danú osobu.
  • Externé zmluvy o spracovaní údajov – v prípadoch, keď na spracovanie osobných údajov v našom mene využívame tretiu stranu (napr. mzdy, nábor, hosting atď.), zaviedli sme príslušné zmluvy o spracovaní a postupy náležitej starostlivosti, aby sme zabezpečili, že všetko je v súlade s našimi a ich povinnosťami podľa GDPR. Tieto opatrenia zahŕňajú počiatočné a priebežné audity poskytovanej služby, nevyhnutnosť spracovateľskej činnosti, technické a organizačné opatrenia a súlad s GDPR.
  • Údaje špeciálnej kategórie – v situáciách, keď zhromažďujeme a spracovávame údaje špeciálnej kategórie, sú všetky postupy v súlade s požiadavkami článku 9 a všetky údaje tohto typu sú šifrované a chránené na vysokej úrovni. Údaje špeciálnej kategórie sa spracúvajú iba v nevyhnutných prípadoch a iba vtedy, ak sme najprv identifikovali vhodný základ podľa článku 9(2) alebo požiadavky prílohy 1 zákona o ochrane údajov. Ak sa na spracovanie spoliehame na súhlas, je to výslovne potvrdené podpisom s jasne uvedeným právom na zmenu alebo odvolanie súhlasu

Práva osoby, ktorej údaje boli zhromaždené

Okrem vyššie uvedených zásad a postupov, ktoré môžu zabezpečiť, aby jednotlivci mali svoje práva na ochranu údajov, poskytujeme prostredníctvom našej webovej stránky prístup k právu jednotlivca na prístup ku všetkým osobným údajom, ktoré o ňom spoločnosť Fine'sa Conceptus doo spracováva. Osoby, ktorých údaje boli zhromaždené, majú právo požadovať informácie o:

  • Všetky osobné údaje, ktoré o nich uchovávame
  • Účely spracovania údajov
  • Kategórie spracúvaných osobných údajov
  • Všetkým stranám, ktoré budú mať prístup k osobným údajom
  • Ako dlho budú osobné údaje uchovávané?
  • Zdroj údajov, pokiaľ sme údaje nezískali priamo od neho
  • Právo na opravu neúplných alebo nesprávnych údajov o sebe, ako aj postup pri iniciovaní opravy a doplnenia údajov
  • Právo požadovať vymazanie osobných údajov alebo požiadať o obmedzenie spracovania údajov v súlade so všetkými príslušnými zákonmi o ochrane údajov a právo namietať proti akejkoľvek forme priameho marketingu voči nim a získať nahliadnutie do všetkých automatizovaných procesov priameho marketingu, ktorými bol vykonaný
  • Právo podať sťažnosť alebo domáhať sa právnej nápravy a na koho sa v týchto situáciách obrátiť

Informačná bezpečnosť a technické/organizačné opatrenia

Spoločnosť Fine'sa Conceptus berie súkromie a bezpečnosť jednotlivcov, ako aj ich osobných údajov, vážne a prijíma všetky primerané opatrenia a preventívne opatrenia na zabezpečenie ochrany spracovávaných údajov. Na ochranu osobných údajov pred neoprávneným prístupom, zmenou, zverejnením alebo zničením sú zavedené prísne bezpečnostné zásady a postupy, ktoré majú niekoľko úrovní bezpečnostných opatrení vrátane:

  • SSL
  • Riadenie prístupu
  • Pravidlá pre heslá
  • Kódovanie
  • Pseudonymizácia
  • Praktiky
  • Obmedzenia
  • IT
  • Autentifikácia

Úlohy a zamestnanci v oblasti GDPR

V mene spoločnosti Fine's Conceptus doo bola za osobu zodpovednú za bezpečnosť údajov určená ___________________ a bola vytvorená skupina zodpovedná za implementáciu pravidiel a postupov v súlade s GDPR. Dotknutá skupina je zodpovedná za propagáciu povedomia o GDPR v rámci organizácie, pochopenie zamestnancami a priebežné dodržiavanie GDPR. Bol zavedený program školení zamestnancov, ktorý bude k dispozícii všetkým zamestnancom pred 25. májom 2018 a je súčasťou ročného programu školení na úrovni celej organizácie.