Nařízení o ochraně údajů

Tato nařízení pomáhají sjednotit a provést nejdůležitější ustanovení obsažená v dokumentaci o ochraně osobních údajů, která jsou rovněž vyžadována zákonem. Vztahuje se na zaměstnance na plný úvazek a spolupracovníky s platným oprávněním ke zpracování osobních údajů uděleným správcem údajů. Předpisy byly vytvořeny v návaznosti na požadavky obsažené v zákoně ze dne 10. května 2018 o ochraně osobních údajů (Sb. z roku 2018, č. 1000, 1669, z roku 2019, č. 730.) a v nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 a v nařízení ministra vnitra a správy ze dne 29. dubna 2004. o dokumentaci zpracování osobních údajů a technických a organizačních podmínkách, které musí splňovat zařízení a informační systémy používané pro zpracování osobních údajů (Sb. m. s., 2004, č. 100, bod 1024), ve vztahu k čl. 68 a 69 odst. 1. bod 3 zákona ze dne 27. srpna 2009 o veřejných financích (konsolidované znění: Sbírka zákonů 2013, položka 885).

  1. Udělování oprávnění a pravomocí

(1) Správce údajů, který současně jedná jako správce informačního systému, uděluje veškerá oprávnění k přístupu do systému.

(2) Každý, kdo je před udělením oprávnění ke zpracování osobních údajů povinen:

(a) být seznámen s těmito předpisy,

(b) absolvovat nezbytné školení,

(c) podepsat prohlášení o mlčenlivosti a být si vědom povinností s tím spojených.

(3) Oprávnění ke zpracování osobních údajů v listinné podobě se uděluje pro tyto účely:

Zpracování osobních údajů pro účely související s činností správce je zákonné, pokud byly údaje získány od subjektu údajů, a přípustné, pokud je nezbytné pro výkon práva nebo splnění povinnosti podle právního předpisu.

Pokud osobní údaje nebyly získány od subjektu údajů, je jejich zpracování zákonné, pokud tak stanoví zvláštní předpis.

Posouzení nezbytnosti zpracování osobních údajů pro naplnění oprávněných účelů správce by mělo být provedeno případ od případu.

Zpracování údajů pro jiný účel, než pro který byly shromážděny, je přípustné, pokud neporušuje práva a svobody subjektu údajů a pokud je prováděno za účelem výkonu oprávnění nebo plnění povinnosti vyplývající z právního předpisu.

(4) Je-li uděleno oprávnění k vedení souboru údajů, správce tohoto systému poskytne osobě individuální a jedinečný identifikátor v systému.

(5) Je-li oprávnění ke zpracování osobních údajů z jakéhokoli důvodu odejmuto, práva přidělená v počítačovém systému dotčené osobě se zablokují.

(6) Správce systému osobně odpovídá za evidenci přidělených oprávnění v počítačovém systému a je povinen sledovat a dohlížet na jejich soulad se skutečným stavem.

(7) Uvědomte si, že každý, kdo má přístup do místnosti, v níž je instalováno zařízení informačního systému, může způsobit poškození systému nebo může mít přístup k informacím zobrazovaným na monitoru nebo k tiskovým výstupům. Hrozbu pro systém může představovat i jakákoli jiná osoba, např. podpůrný personál, technici, konzultanti atd. s dostatečnými dovednostmi a znalostmi, které umožňují přístup k síti.

(8) Místnosti, v nichž jsou umístěny počítačové pracovní stanice, musí být: a) uzamčeny, pokud se v nich nikdo nenachází; b) vybaveny trezory nebo jinými schránkami pro ukládání dokumentů. 9. Instalace systémového a síťového vybavení ICT probíhá s vědomím a pod kontrolou správce informační bezpečnosti, který je rovněž odpovědný za podmínky uvedení do provozu, skladování, provozování a vyřazení jednotlivých zařízení.

2 Zásady používání hesel

(1) Heslo pro přístup do informačního systému se skládá nejméně z 8 znaků (velká a malá písmena a číslice nebo speciální znaky).

(2) Heslo pro přístup do informačního systému se mění nejméně každých 30 dní a neprodleně, pokud existuje podezření, že heslo mohlo být prozrazeno.

(3) Uživatel systému může v případě potřeby změnit své heslo i během práce v aplikaci.

(4) Změnu hesla provádí uživatel automaticky.

(5) Hesla nesmí být běžně používaná slova, zejména by se jako hesla neměla používat následující slova: data, jména, příjmení, iniciály, registrační čísla automobilů, telefonní čísla.

(6) Uživatel se zavazuje zachovávat důvěrnost hesel i po uplynutí jejich platnosti, zejména není dovoleno hesla ukládat otevřeně na místech, která k tomu nejsou určena, nebo je předávat jiným osobám.

3 Používání informačního systému

  1. IT vybavení se skládá ze stolních počítačů, síťových tiskových zařízení a serverových stanic.

Uživatel systému vykonává na pracovní stanici všechny práce potřebné pro efektivní a bezpečnou práci /včetně používání pracovní stanice/. Je povinen dodržovat nezbytné bezpečnostní podmínky, zejména dodržovat postupy pro přístup do systému a ochranu osobních údajů. Osoba používající systém IT:

(a) je povinna používat zařízení způsobem: v souladu s jeho určením, způsobem, který je v souladu s přiloženým návodem k použití, a chránit zařízení před zničením, ztrátou nebo poškozením,

b) je povinen neprodleně informovat správce tohoto systému o každém zničení, ztrátě nebo poškození svěřeného zařízení,

(c) nesmí do počítačového systému svévolně instalovat nebo používat žádný software, který nebyl předem schválen společností ASI, ani se pokoušet o prolomení nebo získání administrátorských práv v tomto systému, a je zakázáno ripovat na pevný disk počítače nebo spouštět jakékoli nelegální programy a soubory stažené z neznámého zdroje (nelegálního původu). Takové soubory by měly být stahovány pouze se souhlasem správce dat v každém případě a pouze v odůvodněných případech, pokud to nepovede k porušení zákona.

d) nesmí svévolně zasahovat do zařízení, přemisťovat je, otevírat (demontovat), instalovat další zařízení (např. pevné disky, paměťové karty) nebo připojovat k systému IT jakákoli neschválená zařízení (včetně soukromých zařízení, a to i pouze za účelem nabíjení baterií těchto zařízení).

3 Antivirová politika V souvislosti s antivirovou ochranou platí následující doporučení: a) nepoužívat na pracovní stanici jiný software, než který doporučil správce systému; b) neinstalovat freeware ani shareware; c) pravidelně aktualizovat virovou databázi nainstalovaného antivirového softwaru; d) před použitím jakéhokoli paměťového média zkontrolovat, zda není infikováno počítačovým virem.

4 Zásady čistoty obrazovky

  1. Politika čisté obrazovky, tj. přijetí veškerých opatření k zajištění toho, aby neoprávněné osoby neměly přístup k obsahu zobrazovanému na obrazovkách monitorů nebo notebooků, na nichž jsou uložena data zákazníka.

(2) Osoba oprávněná používat IT systém je povinna ručně aktivovat heslem chráněný spořič obrazovky pokaždé, když ponechá IT systém byť jen na okamžik bez dozoru.

  1. Je zakázáno pořizovat snímky obrazovek IT systému, na kterých jsou zobrazeny údaje, jakož i zasílat tyto informace mimo organizaci bez souhlasu správce tohoto systému.

(4) Každý, kdo je oprávněn používat IT systém, je povinen:

(a) umístit monitory a obrazovky notebooků tak, aby obsah na nich zobrazený nebyl viditelný ve vztahu k oknům i vstupním dveřím místností, v nichž jsou umístěny,

b) v případě, že jsou přenosné počítače provozovány mimo prostor pro zpracování dat, např. na letištích, nádražích, v konferenčních místnostech a na jiných veřejných místech, zajistit diskrétnost a ochranu údajů na nich zobrazených,

c) dohlížet na nepovolané osoby, které se zdržují v prostoru pro zpracování údajů.

5 Zásady čistého stolu a čistého tisku

  1. Politika čistého stolu, tj. zajištění toho, aby po ukončení práce byly všechny dokumenty obsahující osobní údaje mimo dosah očí a rukou nepovolaných osob.
  2. Pokud je místnost vybavena uzamykatelným nábytkem nebo skříněmi, před ukončením práce skříně uzamkněte, předtím do nich uložte všechny citlivé údaje a dokumenty a klíče uložte na bezpečné místo, aby k nim neměly přístup neoprávněné osoby.

(3) Každý, kdo naposledy opouští prostor pro zpracování dat, by měl zkontrolovat, zda jsou všechna okna zavřená a zda jsou v provozu všechny další bezpečnostní prvky, např. poplašný systém. Ten by měl být aktivován, dveře by měly být uzamčeny a měly by být aktivovány veškeré další bezpečnostní systémy.

(4) Dokumenty a výtisky obsahující osobní údaje nesmí být ponechány bez dozoru v prostorách, kde se nacházejí zařízení, jako jsou tiskárny, kopírky, skenery. Veškeré dokumenty, které jsou chybně vytištěny nebo které jsou určeny k vyřazení, musí být okamžitě zničeny pomocí skartovaček nebo kontejnerů na likvidaci důvěrné dokumentace.

(5) Pokud je to nutné a nastane situace, kdy jsou tištěné kopie osobních údajů vynášeny mimo prostor zpracování, musí se tak dít způsobem, který zajistí jejich důvěrnost, tj. dokumenty musí být zakryty a chráněny před náhodnou ztrátou a před nahlédnutím neoprávněnými osobami.

6 Sdílení osobních údajů

  1. Zpracovatel údajů si musí být při telefonickém předávání údajů jistý totožností svého volajícího, v případě pochybností o totožnosti musí správce upozornit na problém při zjišťování totožnosti volajícího. Pokud ústní předání údajů nezaručuje důvěrnost, mělo by být použito písemné sdělení (k nahlédnutí).

(2) Osobní údaje mohou být subjektu údajů nebo jiné osobě s jeho souhlasem poskytnuty pouze pro účely dokazování postupem podle předchozího odstavce.

(3) Při sdílení osobních údajů mimo pracoviště, kde je nelze dostatečně chránit (např. na veřejně přístupných místech), musí být zaručena maximální důvěrnost údajů.

(4) Riziko vyzrazení osobních údajů nebo jiných informací o zavedených ochranných opatřeních neoprávněným osobám by mělo být zmírněno přijetím různých opatření, která jsou pro tento účel přiměřená. Rizikové situace jsou např:

(a) vyžadování údajů o zavedených bezpečnostních opatřeních ze strany osob, které se vydávají za jiné osoby (krádež identity),

b) žádosti o informace o dříve používaných heslech pro přístup k IT systémům (telefonické sociální inženýrství),

(c) jakékoli jiné podezřelé žádosti o utajované informace, zejména telefonické.

7 Používání přístupu k internetu

(1) Každý, kdo zpracovává údaje, je povinen používat internet pouze k účelům nezbytným pro výkon funkcí, které mu správce svěřil. Je kategoricky zakázáno navštěvovat během práce internetové stránky pro soukromé účely.

(2) Při používání internetu jsou zpracovatelé údajů povinni respektovat právní předpisy, zejména předpisy o průmyslovém vlastnictví a autorském právu.

(3) Zpracovatelům údajů je kategoricky zakázáno používat internet k prohlížení obsahu, který svou povahou nesouvisí s jejich funkcí, prací, a zejména obsahu, který je urážlivý, nemorální nebo neslučitelný s obecně platnými pravidly chování, jakož i k hraní počítačových her na internetu nebo v počítačovém systému, ke sledování filmů nebo k jiné široké zábavě.

(4) Správce údajů si v rozsahu povoleném zákonem vyhrazuje právo kontrolovat a kontrolovat používání internetu zpracovateli údajů s ohledem na výše popsané zásady.

8 Používání elektronické pošty

(1) Elektronická pošta je určena a smí být používána pouze k plnění povinností vyplývajících ze zastávané funkce, jakékoli jiné použití není povoleno a může být důvodem k odpovědnosti.

(2) Při používání elektronické pošty jsou zpracovatelé údajů povinni dodržovat zákon o průmyslovém vlastnictví a autorský zákon.

(3) Zpracovatelé údajů jsou povinni dbát zejména na to, aby prostřednictvím internetu, a to i prostřednictvím soukromé elektronické schránky, neúmyslně nezasílali zprávy obsahující informace definované jako důvěrné neoprávněným osobám, např. týkající se správce údajů, jeho zaměstnanců, zákazníků, dodavatelů nebo smluvních partnerů.

Zpracovatelé údajů by měli dbát zvýšené opatrnosti a neměli by otevírat e-maily od neznámých odesílatelů, u nichž z názvu nevyplývá souvislost s povinnostmi vyplývajícími z jejich funkce, měli by takové zprávy nahlásit správci a vymazat je ze své poštovní schránky.

(5) Pokud jsou soubory obsahující osobní údaje zasílány elektronicky externím subjektům, které jsou k tomu oprávněny, je zpracovatel údajů povinen soubory zabalit a zaheslovat. Heslo musí být zasláno odděleným komunikačním prostředkem, aby v případě chybného přenosu nebo neoprávněného zachycení nehrozilo otevření datového souboru.

9 Elektronické nosiče dat

  1. Elektronickými nosiči dat jsou např. výměnné pevné disky, pen-disky, CD, DVD, flash disky.

(2. Zpracovatelé údajů nesmějí vynášet vyměnitelné elektronické nosiče dat, a to jak soukromé, tak sdílené, mimo oblast zpracování v případě, že jsou na ně přenášeny informace s osobními údaji, bez souhlasu správce údajů a bez jeho vědomí v každém případě.

(3) V případě poškození, opotřebení nebo ukončení používání daného média obsahujícího osobní údaje musí být fyzicky zničeno spálením nebo skartací tak, aby informace na něm obsažené nebylo možné znovu přečíst nebo použít.

10 Pokyny pro případ nouze

Zpracovatel je povinen v případě zjištěného nebo předpokládaného porušení zabezpečení osobních údajů informovat správce.

Správce informačního systému je povinen po zjištění narušení informačního systému, zajištění stop ke zjištění příčin narušení informačního systému, analýzu a zjištění následků narušení informačního systému, zjištění faktorů, které způsobily narušení informačního systému, provedení nezbytných oprav informačního systému spočívajících v zabezpečení systému proti opětovnému narušení. Správce přijme obdobná opatření, pokud zjistí, že:

(a) stopy na dveřích, oknech a skříních naznačují pokus o vloupání,

(b) datové soubory jsou zničeny bez použití skartovačky nebo nejsou zničeny vůbec,

(c) dveře do místností, skříní, kde jsou uloženy osobní údaje, jsou ponechány otevřené,

(d) nejsou nastaveny monitory, které by zabránily neoprávněnému přístupu,

e) dochází k neoprávněnému kopírování a vynášení osobních údajů, ať už v papírové a/nebo elektronické podobě, mimo oblast zpracování bez souhlasu a oznámení správci,

f) dochází k telefonickým žádostem o poskytnutí osobních údajů nebo přístupových hesel,

g) dojde ke krádeži počítačů nebo elektronických paměťových médií,

h) antivirový program nahlásí hrozbu,

hesla k systémům nejsou řádně chráněna nebo jsou uložena v blízkosti počítače.

11 Disciplinární opatření

Jakékoli neodůvodněné nedodržení pokynů k ochraně údajů podle těchto podmínek může být považováno za závažné porušení základních povinností zaměstnance nebo smluvních závazků, které zavazují osobu k jednání v dané situaci. Osoba, která v případě porušení bezpečnosti informačního systému nebo důvodného podezření na takové porušení nepřijala opatření podle těchto Pravidel, zejména neoznámila tuto skutečnost příslušné osobě v souladu se stanovenými pravidly, může být disciplinárně potrestána, což nevylučuje její odpovědnost podle příslušných právních předpisů za způsobenou škodu nebo riziko vzniku takové škody.

(2) Disciplinární trest při uplatnění vůči osobě, která se vyhýbá oznámení rizika správci, nevylučuje její dodatečnou trestní odpovědnost podle zákona ze dne 10. května 2018 o ochraně osobních údajů (Sbírka zákonů z roku 2018, částka 1000, 1669, z roku 2019, částka 730.) a nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 a možnost podat proti ní občanskoprávní žalobu na náhradu vzniklé škody.