VNITŘNÍ PŘEDPIS K OCHRANĚ OSOBNÍCH ÚDAJŮ

AB Solartrip s.r.o.,
se sídlem Jiráskova 701, 755 01 Vsetín,
IČO: 640 84 701,
zapsaná v obchodním rejstříku vedeném Krajským soudem v Ostravě, oddíl C, vložka 8627,
zastoupená Ing. Karlem Zubkem, jednatelem,
(dále jen „zaměstnavatel“ nebo „správce“),
vydává vnitřní předpis k ochraně osobních údajů v tomto znění:

Preambule

Tento vnitřní předpis k ochraně osobních údajů (dále jen „vnitřní předpis“) je vydáván
v návaznosti na přijetí Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.
dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně
osobních údajů), (dále jen „GDPR“), které nabylo účinnosti dne 25. 5. 2018, a kterým došlo
ke změně právní úpravy ochrany osobních údajů fyzických osob v souvislosti se zpracováním
osobních údajů.
Účelem vydání tohoto vnitřního předpisu je, zejména s ohledem na zásadu transparentnosti
jako jednu z ústředních zásad GDPR, stanovení podmínek zpracování osobních údajů, jejich
ochrany a zabezpečení, a dále informování zaměstnanců, jakožto subjektů údajů o
zpracování jejich osobních údajů, o jejich právech.

Článek I

Vymezení pojmů

Pro účely tohoto vnitřního předpisu se v souladu s GDPR rozumí

a) Osobním údajem veškeré informace o identifikované nebo identifikovatelné
fyzické osobě; identifikovatelnou fyzickou osobou je fyzická
osoba, kterou lze přímo či nepřímo identifikovat, zejména
odkazem na určitý identifikátor, např. jméno, adresa, datum
narození, telefonní číslo apod.

b) Zpracováním jakákoliv operace nebo soubor operací s osobními údaji
nebo soubory osobních údajů, která je prováděna
pomocí či bez pomoci automatizovaných postupů, jako je
shromáždění, zaznamenání, uspořádání, strukturování,
uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí,
použití, zpřístupnění přenosem, šíření, omezení, výmaz nebo
zničení;

c) Subjektem údajů zaměstnanec a jeho osoba blízká, jejichž osobní údaje jsou
zaměstnavatelem zpracovávány na základě některého ze
zákonných důvodů uvedených v GDPR;

d) Správcem AB Solartrip s.r.o., se sídlem Jiráskova 701, 755 01 Vsetín,
IČO: 640 84 701, zapsaná v obchodním rejstříku u Krajského
soudu v Ostravě, oddíl C, vložka 8627, který určuje účely a
prostředky zpracování osobních údajů;

e) Zpracovatelem fyzická nebo právnická osoba, která zpracovává osobní údaje
pro správce;

f) Třetí stranou fyzická nebo právnická osoba, orgán veřejné moci,
agentura nebo jiný subjekt, který není subjektem
údajů, správcem, zpracovatelem ani osobou přímo
podléhající správci nebo zpracovateli, jež je oprávněna
ke zpracování osobních údajů;

g) Dozorovým úřadem Úřad pro ochranu osobních údajů sídlící na adrese
Pplk. Sochora 27, 170 00 Praha 7.

Článek II

Zásady zpracování osobních údajů

1. Správce je povinen zpracovávat osobní údaje subjektů údajů korektně a zákonným a
transparentním způsobem. Zpracování osobních údajů je zákonné, je-li splněna
nejméně jedna z podmínek uvedená v článku 6 odst. 1 GDPR, zejména tehdy

a) udělil-li subjekt údajů souhlas se zpracováním svých osobních údajů pro jeden či
více konkrétních účelů,

b) je-li zpracování nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt
údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost
tohoto subjektu údajů,

c) je-li zpracování nezbytné pro splnění právní povinnosti, která se na správce
vztahuje,

d) je-li zpracování nezbytné pro účely oprávněných zájmů správce, kromě
případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a
svobody subjektu údajů vyžadující ochranu osobních údajů.

2. Správce je oprávněn zpracovávat pouze přiměřené a relevantní osobní údaje omezené
na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány.

3. Správce je povinen zpracovávat osobní údaje přesné a aktualizované.

4. Správce je povinen zpracovávat osobní údaje způsobem, který zajistí náležité
zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo
organizačních opatření před neoprávněným či protiprávním zpracováním a před
náhodnou ztrátou, zničením nebo poškozením.

Článek III

Zpracování osobních údajů správcem

1. Správce je oprávněn zpracovávat pouze ty kategorie osobních údajů, které jsou
nezbytné pro splnění správcovy povinnosti, která se na něj vztahuje, pro plnění
smlouvy, nebo jejichž zpracování je nezbytné pro účely oprávněných zájmů správce.

2. Správce zpracovává osobní údaje v souladu se zásadami uvedenými v článku II tohoto
vnitřního předpisu pro účely plnění pracovněprávních povinností, plnění povinností
uložených mu právními předpisy, a to včetně povinností, které pro něj vyplývají ve
vztahu k orgánům veřejné správy (dále jen „účel zpracování“). Zpracovává-li správce
osobní údaje v nezbytném rozsahu pro účely v předchozí větě uvedené, zpracovává
tyto osobní údaje zákonně, a subjekty údajů v souladu s GDPR neudělují správci se
zpracováním jejich osobních údajů souhlas.

3. Správce zpracovává osobní údaje zaměstnance nejvýše v rozsahu:
– jméno a příjmení,
– titul,
– datum a místo narození,
– rodné číslo,
– adresa,
– rodné příjmení,
– rodinný stav,
– státní občanství,
– zdravotní znevýhodnění,
– zdravotní pojištění,
– údaj o pobírání důchodu,
– telefonní číslo,
– údaj o bankovním spojení,
a osobní údaje osob blízkých zaměstnance nejvýše v rozsahu:
– jméno, příjmení, rodné číslo a adresa dítěte zaměstnance,
– jméno, příjmení, rodné číslo a adresa manžela zaměstnance, popř. údaj o jeho
zaměstnavateli
(dále jen „kategorie osobních údajů“).

4. Správce je oprávněn zpracovávat kategorie osobních údajů za jiným účelem zpracování
nebo ve větším rozsahu, než je uveden v odst. 3, pouze za předpokladu, že mu subjekt
údajů udělil se zpracováním osobních údajů pro jeden či více konkrétních účelů souhlas
nebo je dán jiný zákonný důvod uvedený v článku 6 odst. 1 GDPR.

5. Správce nezpracovává zvláštní kategorie osobních údajů dle článku 9 GDPR, kterými se
rozumí např. osobní údaje vypovídající o rasovém a etnickém původu, politických
názorech, náboženském vyznání apod.

6. Správce je povinen vést v souladu s článkem 30 GDPR záznamy o činnostech
zpracování osobních údajů, za něž odpovídá, a které poskytne na požádání
dozorovému úřadu. Tyto záznamy o činnostech zpracování osobních údajů správce
v případě změn aktualizuje.

7. Správce zpracovává osobní údaje po dobu nezbytně nutnou. Osobní údaje jsou
archivovány nejdéle po dobu vyžadovanou právními předpisy a likvidují se nejpozději
po uplynutí archivační doby.

8. Členové statutárního orgánu správce zachovávají o zpracovávaných osobních údajích
mlčenlivost.

Článek IV

Zpracování osobních údajů zpracovatelem
1. Správce využije pouze toho zpracovatele, který poskytuje dostatečné záruky zavedení
vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo
požadavky stanovené GDPR a aby byla zajištěna ochrana práv subjektů údajů.

2. Správce je povinen uzavřít se zpracovatelem písemnou smlouvu o zpracování osobních
údajů. Správce je povinen stanovit ve smlouvě o zpracování osobních údajů povinnost
zpracovatele k mlčenlivosti a závazek zpracovatele přijmout vhodná technická a
organizační opatření zajištující ochranu zpracovávaných osobních údajů.

3. Správce je oprávněn předat zpracovateli ke zpracování pouze ty osobní údaje subjektů,
jejichž zpracování zpracovatelem je bezpodmínečně nutné za účelem v ní uvedeným.

Článek V

Ochrana a zabezpečení osobních údajů

1. Správce přijme vhodná technická a organizační opatření za účelem ochrany a
zabezpečení zpracovávaných údajů, zejména

  • zabezpečí přístup k listinám obsahujících osobní údaje před neoprávněným či
    protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením,
    zneužitím či zpřístupněním neoprávněným osobám;
  • zabezpečí přístup do PC, ve kterých jsou uchovávány osobní údaje bezpečným
    heslem a tato bude pravidelně měnit;
  • na PC nainstaluje software zajišťující ochranu proti neoprávněnému průniku a proti
    škodlivým kódům;
  • data v PC bude pravidelně zálohovat;
  • nezveřejní listiny obsahující osobní údaje na místě, kde by k nim mohly mít přístup
    neoprávněné osoby.

2. Správce pravidelně hodnotí přijatá technická a organizační opatření a přizpůsobuje je
tak, aby bylo dosaženo účelu ochrany a zabezpečení osobních údajů ve smyslu GDPR.

3. Správce ohlásí jakékoli porušení zabezpečení osobních údajů bez zbytečného odkladu a
pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, dozorovému úřadu,
ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a
svobody fyzických osob. O tomto porušení správce neprodleně informuje dotčené
subjekty údajů.

4. V případě porušení zabezpečení osobních údajů správce přijme bez zbytečného odkladu
náležitá opatření, aby bylo dosaženo účelu ochrany a zabezpečení osobních údajů ve
smyslu GDPR.

Článek VI

Práva subjektů údajů

1. Subjekt údajů má v souladu s GDPR tato práva

a) právo na přístup k osobním údajům, tj. právo získat od správce potvrzení,
zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány a pokud je tomu
tak, má právo získat přístup k těmto osobním údajům a k informacím uvedeným
v článku 15 odst. 1 GDPR;

b) právo na opravu, tj. právo na to, aby správce bez zbytečného odkladu opravil
nepřesné osobní údaje, které se ho týkají; s přihlédnutím k účelům zpracování
má subjekt údajů právo na doplnění neúplných osobních údajů;

c) právo na výmaz („právo být zapomenut“), tj. právo na to, aby správce bez
zbytečného odkladu vymazal osobní údaje, které se daného subjektu týkají.
Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je
dán některý z důvodů uvedených v článku 17 odst. 1 GDPR;

d) právo na omezení zpracování, tj. právo na to, aby správce omezil zpracování
v kterémkoli z případů uvedených v článku 18 odst. 1 GDPR;

e) právo na přenositelnost údajů, tj. právo získat osobní údaje, které se ho
týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově
čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu
správce, kterému byly osobní údaje poskytnuty, bránil, je-li zpracování osobních
údajů v daném případě založeno na udělení souhlasu subjektem údajů nebo na
základě uzavřené smlouvy a zpracování se provádí automatizovaně;

f) právo vznést námitku proti zpracování osobních údajů, které se jej týkají, na
základě zpracovávání osobních údajů pro účely oprávněných zájmů správce;
g) právo podat stížnost u dozorového úřadu, pokud se subjekt údajů domnívá,
že zpracováním jeho osobních údajů je porušeno GDPR.

2. Udělil-li subjekt údajů se svým zpracováním osobních údajů souhlas dle článku III odst.
4, má právo souhlas kdykoli odvolat.

3. Subjekt údajů může svá práva uvedená v odst. 1 pod písm. a) až f) a odst. 2 tohoto
článku uplatnit osobně v sídle správce u člena statutárního orgánu nebo na emailové
adrese k.zubek@energyprukaz.cz .

4. Subjekt údajů může své právo uvedené v odst. 1 pod písm. g) tohoto článku uplatnit u
dozorového úřadu.

Článek VII

Závěrečná ustanovení

1. Tento vnitřní předpis může být měněn pouze písemně.
2. Tento vnitřní předpis nabývá platnosti a účinnosti dnem jeho vydání.
3. Tento vnitřní předpis je vydáván na dobu neurčitou.
4. Přílohou tohoto vnitřního předpisu je prohlášení zaměstnanců o seznámení se s tímto
vnitřním předpisem.

AB Solartrip s.r.o.,
Ing. Karel Zubek, jednatel