Nařízení GDPR (z anglického označení General Data Protection Regulation) — nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“ nebo

„Nařízení“). Předmětné Nařízení se dnem nabytí účinnosti 25. května 2018 stává přímo aplikovatelným právním předpisem na území všech členských států Evropské unie (s použitím i pro zbývající členské země EHP), kdy na území České republiky fakticky nahrazuje stávající zákon č. 101/2000 Sb., o ochraně osobních údajů, který bude nadále upravovat některé otázky ponechané v působnosti členských států EU jako adaptační zákon. Právní úprava GDPR nepředstavuje zásadní revoluci v oblasti ochrany osobních údajů (dále také „OÚ“), ale reaguje na faktické změny, zejména na technologický vývoj a s ním spojené nové hrozby. Je ovšem potřeba zohlednit, že správcům a zpracovatelům přibylo několik nových povinností a že nová právní úprava přináší i některé další změny. Mezi nejvýznamnější novinky patří:

1. přesunutí povinnosti prokázat soulad s nařízením GDPR na správce – nově již dozorové úřady při kontrole nemusí aktivně zjišťovat konkrétní porušení povinností dotčeného subjektu, ale tento dotčený subjekt musí sám předložit důkazy, kterými prokáže správnost svých postupů;
2. nový institut osvědčení o souladu s nařízením GDPR – jeden ze způsobů, jak prokázat

soulad

s nařízením GDPR ve smyslu předchozího bodu; osvědčení budou vydávat akreditované subjekty s platností na dobu max. 3 let;

1. opuštění souhlasu subjektu údajů se zpracováním OÚ jako základního právního titulu a zpřísnění podmínek k získání souhlasu – tam, kde lze zpracování OÚ založit na jiném právním titulu (např. plnění smlouvy uzavřené se subjektem údajů, plnění zákonné povinnosti, realizace oprávněných zájmů správce), má přednost tento titul a získání souhlasu subjektu údajů je nežádoucí;
2. opuštění oznamovací povinnosti (notifikace zpracování OÚ) vůči Úřadu na ochranu osobních údajů (ÚOOÚ) – v zásadě ji nahrazuje nová povinnost vést záznamy o činnostech zpracování ve smyslu čl. 30 GDPR, která dopadá na stanovený okruh správců a zpracovatelů;
3. zavedení povinnosti jmenovat pověřence pro ochranu osobních údajů – dopadá na vymezené skupiny správců a zpracovatelů; blíže viz čl. 37 a násl. GDPR;
4. nová povinnost ohlašování a oznamování bezpečnostních incidentů a nová povinnost provedení posouzení vlivu a předchozí konzultace s dozorovým úřadem;
5. Úprava nařízení GDPR chrání pouze osobní údaje žijících fyzických osob a nevztahují se na údaje právnických osob. Nařízení GDPR se také nevztahuje na osobní údaje zesnulých osob, je ovšem nutné si uvědomit, že ochranu vyžadují takové osobní údaje o zesnulých, které jsou chráněny jinými právními předpisy (např. zdravotnická dokumentace).

Dle § 13c zákona č. 133/2000 Sb., o evidenci obyvatel a rodných číslech, lze rodná čísla využívat jen, jde-li o činnost ministerstev a jiných správních úřadů, stanoví-li tak zvláštní zákon, příp. se souhlasem nositele rodného čísla nebo jeho zákonného zástupce. Pro využívání rodných čísel se rodným číslem rozumí i jakákoliv kombinace čísel vyjadřující den, měsíc, rok narození a třímístnou nebo čtyřmístnou koncovku rodného čísla, z níž je možné dovodit identifikaci fyzické osoby.

Obecné ustanovení

Tato směrnice upravuje příslušné postupy a povinnosti pracovníků, vázaných zástupců, jakož i dalších subjektů ve smluvním vztahu s Expat Insurance s.r.o.

1. (dále jen „EI“ nebo „Společnost“) při nakládání s osobními údaji. EI může při zpracování osobních údajů vystupovat jak v roli správce, tak i

1.    Vymezení základních pojmů GDPR

1.1       Osobní údaj

„Osobními údaji“ jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

1.2       Zvláštní kategorie osobních údajů

Do zvláštní kategorie osobních údajů spadají osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

1.3       Zpracování osobních údajů

Zpracováním  je  jakákoliv  operace  nebo  soubor  operací  s  osobními  údaji  nebo   soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;

1.4       Správce a zpracovatel osobních údajů

„Správcem“ je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely

a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;

„Zpracovatelem“ je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;

„Příjemcem“ je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli;

„Třetí stranou“ je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.

1.5       Souhlas

„Souhlasem“ subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;

1.6       Porušení zabezpečení

„Porušením zabezpečení osobních údajů“ je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;

2.    Zásady zpracování, zákonnost zpracování GDPR

2.1       Zásady zpracování

Osobní údaje musí být:

1. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem;
2. shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný;
3. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
4. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
5. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány;
6. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
7. EI jako Správce odpovídá za dodržení zásad zpracování GDPR musí být schopen toto dodržení souladu doložit.

2.2       Zákonnost zpracování

Zpracování OÚ je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:

1. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
3. zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
6. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.

3.    Práva subjektu údajů

3.1       Právo subjektu údajů na přístup k osobním údajům

Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a zejména k následujícím informacím:

1. účely zpracování;
2. kategorie dotčených osobních údajů;
3. příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,

zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;

1. plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
2. existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování a nebo vznést námitku proti tomuto zpracování;
3. právo podat stížnost u dozorového úřadu;
4. veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
5. skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

3.2       Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

3.3       Právo na výmaz („právo být zapomenut“)

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:

1. osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
2. subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování;
3. subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování;
4. osobní údaje byly zpracovány protiprávně;
5. osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce

3.4       Právo na omezení zpracování

Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:

1. subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
2. zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
3. správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
4. subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.

3.5       Právo na přenositelnost údajů

Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

1. zpracování je založeno na souhlasu nebo na smlouvě a
2. zpracování se provádí automatizovaně.

3.6       Právo vznést námitku

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které je nezbytné pro účely příslušného správce či třetí strany.

Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků.

Pokud se osobní údaje zpracovávají pro účely přímého marketingu, má subjekt údajů právo vznést kdykoli námitku proti zpracování osobních údajů, které se ho týkají, pro tento marketing, což zahrnuje i profilování, pokud se týká tohoto přímého marketingu.

Pokud subjekt údajů vznese námitku proti zpracování pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány.

3.7       Právo podat stížnost

Subjekt údajů má právo podat ve věci zpracování osobních údajů stížnost u Správce nebo dozorového orgánu. Správce pověřil ochrannou osobních údajů:

• Miroslav Chovanec
• ……………………………………………..

Stížnost je možno podat u dozorového orgánu:

Úřad pro ochranu osobních údajů, Pplk. Sochora 27, 170 00 Praha 7 Telefon: +420 234 665 111 (Ústředna), fax: +420 234 665 444

Internet: https://www.uoou.cz, E-mail: posta@uoou.cz, ID datové schránky: qkbaa2n

4.    Subjekty údajů

EI při své činnosti zpracovává osobní údaje níže uvedených kategorií subjektů údajů:

• Pracovník EI;
• Uchazeč o přijetí do pracovního poměru u EI ;
• Vázaný zástupce a Doplňkový pojišťovací zprostředkovatel EI(dale jen

společně „VZ”)

• Jiný smluvní partner EI
• Zákazník EI
• Akcionáři, členové orgánů společnosti
• Veřejnost (v prostoru monitorovaném kamerovým systém EI).

4.1       Zaměstnanci EI

Role EI – Společnost je správcem osobních údajů.

Rozsah zpracovávaných osobních údajů – EI zpracovává osobní údaje poskytnuté jí pracovníkem při vzniku pracovního poměru nebo obdobného poměru nebo jiným způsobem v souvislosti s jeho činností.

Zpracovávané osobní údaje tak mohou zahrnovat zejména:

• osobní údaje běžné:

jméno, příjmení, titul, datum narození, rodné číslo, trvalé bydliště, kontaktní adresa, číslo občanského průkazu nebo průkazu k povolení pobytu, státní příslušnost, rodné příjmení, místo a okres narození, zdravotní pojišťovna, bankovní spojení, dosažené vzdělání a kvalifikace vč. jazykových znalostí,  další  absolvovaná  školení,  doklady  prokazující  odbornou  způsobilost a bezúhonnost, telefonní číslo, mailová adresa, údaje o předchozím pracovněprávním vztahu a další údaje uvedené v životopise, údaje o odměňování, údaje o odpracovaném čase a čerpání dovolené, docházka, údaje o pracovní neschopnosti, údaje o důležitých osobních překážkách v práci, údaje o čerpání mateřské a rodičovské dovolené, kariérní pozice, podpis, výše nároku na stravenku, údaje o lokalizaci GPS v případě použití vozidla pro účely zaměstnavatele, údaje o rodinných příslušnících v rozsahu jméno, příjmení, trvalé bydliště, datum narození, rodné číslo

• osobní údaje zvláštní kategorie: zdravotní stav

Účel zpracování – plnění povinností zaměstnavatele dle příslušné pracovní smlouvy a vůči orgánům veřejné správy a dalším osobám (zejména zdravotní pojišťovny, ČSSZ, finanční správa, orgány BOZP apod.) a vedení vnitřní agendy Společnosti (zejména personální a týkající se ochrany majetku a práv EI.

Právní základ (důvod) zpracování – pro účely zpracování EI zpracovává osobní údaje z důvodu:

1. splnění smlouvy uzavřené s pracovníkem (čl. 6 odst. 1 písm. b) Nařízení);
2. splnění právní povinnosti EI (čl. 6 odst. 1 písm. c) Nařízení);
3. e) oprávněný zájem EI nebo jiných osob ve smyslu a za podmínek čl. 6 odst. 1 písm.
4. f) Nařízení. Některé osobní údaje pracovníků, zejména fotografie, jméno a příjmení, označení pracovní pozice apod., mohou být využity k veřejné prezentaci a marketingové činnosti EITakto budou osobní údaje využity pouze s předchozím souhlasem pracovníka dle čl. 6 odst. 1 písm.
5. a) uděleným v souladu s čl. 7 Nařízení.

Zdroje osobních údajů – zpracovávané osobní údaje Společnost získává od pracovníků, a to zejména prostřednictvím smluvní dokumentace a osobního dotazníku a v průběhu plnění smluvního vztahu. Délka zpracování je stanovena archivačním a skartačním řádem EI Zpracováním osobních údajů byl pověřen Valentyna Pavlyk V souladu se zákonem poskytuje EI osobní údaje i ČSSZ, zdravotním pojišťovnám, finanční správě, exekutorům a dalším  orgánům veřejné moci a také svým smluvním partnerům. Přehled smluvních partnerů s možností zpracovávat osobní údaje je uveden v příloze

4.2       Uchazeči o přijetí do pracovního poměru u EI

Role EI– Společnost je správcem osobních údajů.

Rozsah zpracovávaných osobních údajů – EI zpracovává osobní údaje poskytnuté jí Uchazečem při  výběrovém  řízení  k přijetí  do  pracovního  poměru  nebo  jiným  způsobem v souvislosti s uzavřením pracovního poměru.

Zpracovávané osobní údaje tak mohou zahrnovat zejména:

• osobní údaje běžné:

jméno a příjmení, dosažené vzdělání a kvalifikace, kontaktní údaje (telefonní číslo a mailoví adresa), trvalé bydliště a další údaje uvedené v životopise, podpis

Účel zpracování – plnění povinností EI při uzavření pracovního poměru nebo obdobného poměru. Délka zpracování je vymezena délkou výběrového řízení.

Právní základ (důvod) zpracování – pro účely zpracování EI zpracovává osobní údaje z důvodu:

splnění právní povinnosti EI (čl. 6 odst. 1 písm. c) Nařízení);

oprávněný zájem EI nebo jiných osob ve smyslu a za podmínek čl. 6 odst. 1 písm.

1. f) Nařízení.

Zdroje  osobních  údajů   –  zpracovávané  osobní  údaje  Společnost  získává  od  Uchazeče    o zaměstnání, a to zejména prostřednictvím osobního dotazníku pro výběrové řízení.

4.3       Vázaný zástupce, doplňkový pojišťovací zprostředkovatel (VZ)

Role EI – Společnost je správcem osobních údajů.

Rozsah zpracovávaných osobních údajů – EI zpracovává osobní údaje poskytnuté jí VZ při vzniku smluvního vztahu, získané z veřejných databází a osobní údaje VZ zaznamenané u Společnosti  v  souvislosti  se  smluvním  vztahem.  Rozsah  je  dále  vymezen  právní úpravou

distribuce pojištění a jiných finančních produktů. Zpracovávané osobní údaje tak mohou zahrnovat zejména:

• osobní údaje běžné:

jméno, příjmení, titul, datum narození, rodné číslo, IČO, trvalé bydliště, kontaktní adresa, místo podnikání, číslo registrace u VZ nebo jiného veřejného orgánu, bankovní spojení, dosažené vzdělání a kvalifikace vč. jazykových znalostí, další absolvovaná školení, doklady prokazující odbornou způsobilost a bezúhonnost, telefonní číslo, mailová adresa, údaje o odměňování – provize a stornoprovize, údaje zákaznickém kmeni, podpis

Účel zpracování – plnění povinností smluvní strany dle příslušné smlouvy o spolupráci a

smlouvy o obchodním zastoupení, plnění povinností dle právní úpravy distribuce pojištění a jiných finančních produktů

Právní základ (důvod) zpracování – pro účely zpracování EI zpracovává osobní údaje z důvodu:

splnění smlouvy uzavřené s VZ (čl. 6 odst. 1 písm. b) Nařízení); splnění právní povinnosti EI (čl. 6 odst. 1 písm. c) Nařízení);

oprávněný zájem EI nebo jiných osob ve smyslu a za podmínek čl. 6 odst. 1 písm.

1. f) Nařízení.

Některé osobní údaje VZ, zejména fotografie, jméno a příjmení, mohou být využity k veřejné prezentaci  a   marketingové   činnosti   EI   Takto   budou   osobní   údaje   využity   pouze s předchozím souhlasem VZ (čl. 6 odst. 1 písm. a) uděleným v souladu s čl. 7 Nařízení).

Zdroje osobních údajů – zpracovávané osobní údaje Společnost získává od VZ při kontraktačním procesu, při registraci VZ u ČNB a v průběhu plnění smluvního vztahu a zákonných povinností. Délka zpracování je stanovena archivačním a skartačním řádem EI

V souladu se zákonem poskytuje EI osobní údaje ČNB, finanční správě, exekutorům a dalším orgánům veřejné moci a také svým smluvním partnerům — pojistitelům, bankám, stavebním spořitelnám, penzijním společnostem a jiným finančním institucím a jiným smluvním parterům dle Přehled smluvních partnerů s možností zpracovávat osobní údaje je uveden v příloze.

4.4       Jiný smluvní partner

Účel zpracování – plnění povinností smluvní strany dle příslušné smlouvy o dílo či smlouvy     o spolupráci

Právní základ (důvod) zpracování – pro účely zpracování EI zpracovává osobní údaje z důvodu:

splnění smlouvy uzavřené s partnerem VZ (čl. 6 odst. 1 písm. b) Nařízení); splnění právní povinnosti EI. (čl. 6 odst. 1 písm. c) Nařízení);

oprávněný zájem EI nebo jiných osob ve smyslu a za podmínek čl. 6 odst. 1 písm. f) Nařízení. Některé osobní údaje smluvních partnerů, zejména fotografie, jméno a příjmení, mohou být využity k veřejné prezentaci a marketingové činnosti EI Takto budou osobní údaje využity pouze  s předchozím souhlasem smluvního partnera (čl. 6 odst. 1 písm. a) uděleným v souladu s čl. 7 Nařízení).

Role EI– Společnost je správcem osobních údajů.

Rozsah zpracovávaných osobních údajů – EI zpracovává osobní údaje poskytnuté jí smluvním partnerem při vzniku smluvního vztahu, získané z veřejných databází a osobní údaje VZ zaznamenané u Společnosti v souvislosti s plněním smluvního vztahu. Rozsah je dále vymezen právní úpravou příslušného odvětví – regulace advokacie, účetního a daňového poradenství, ekonomického, administrativního a jiného poradenství, IT služeb, marketingu, školení apod.

Zpracovávané osobní údaje tak mohou zahrnovat zejména:

• osobní údaje běžné:

jméno, příjmení, titul, datum narození, rodné číslo, IČO, trvalé bydliště, kontaktní adresa, místo podnikání, číslo registrace u veřejného orgánu, bankovní spojení, dosažené vzdělání a kvalifikace vč. jazykových znalostí, další absolvovaná školení, doklady prokazující odbornou způsobilost

a bezúhonnost, telefonní číslo, mailová adresa, údaje o odměňování, podpis.

Zdroje osobních údajů – zpracovávané osobní údaje Společnost získává od smluvního partnera při kontraktačním procesu a v průběhu plnění smluvního vztahu a zákonných povinností. Délka zpracování je stanovena archivačním a skartačním řádem EI

V souladu se zákonem poskytuje EI osobní údaje finanční správě, exekutorům a dalším orgánům veřejné moci a také svým smluvním partnerům. Přehled smluvních partnerů s možností zpracovávat osobní údaje je uveden v příloze.

4.5       Zákazníci EI

Role EI– Společnost je správcem osobních údajů, dle smlouvy o zpracování osobních údajů s pojistitelem nebo jinou finanční institucí může být EI i pozici zpracovatele osobních údajů. Rozsah zpracovávaných osobních údajů – EIzpracovává osobní údaje poskytnuté jí Klientem při vzniku smluvního vztahu (dohoda o zmocnění nebo příkazní smlouva), získané z veřejných databází a osobní údaje Klientů zaznamenané u Společnosti v souvislosti se smluvním vztahem. Společnost může zpracovávat osobní údaje i dle uděleného souhlasu (agentský obchod) nebo jako zpracovatel pro Správce – pojišťovnu nebo jinou finanční instituci. Rozsah je dále vymezen právní úpravou distribuce pojištění a jiných finančních produktů.

Zpracovávané osobní údaje tak mohou zahrnovat zejména:

• osobní údaje běžné:

jméno, příjmení, titul, datum narození, rodné číslo, IČO, trvalé bydliště, kontaktní adresa, místo podnikání, číslo registrace u veřejného orgánu, bankovní spojení, údaje o pojištění, údaje o majetku, zdroje příjmů, rodinný stav, bankovní spojení, telefonní číslo, mailová adresa, podpis osobní údaje zvláštní kategorie:

zdravotní stav, biometrické a genetické údaje

Účel zpracování – plnění povinností smluvní strany dle příslušné smlouvy – zprostředkování pojištění nebo jiného finančního produktu, plnění povinností dle právní úpravy distribuce pojištění a jiných finančních produktů a AML

Právní základ (důvod) zpracování – pro účely zpracování EI zpracovává osobní údaje z důvodu:

splnění smlouvy uzavřené s klientem (čl. 6 odst. 1 písm. b) Nařízení); splnění právní povinnosti EI (čl. 6 odst. 1 písm. c) Nařízení);

oprávněný zájem EInebo jiných osob ve smyslu a za podmínek čl. 6 odst. 1 písm.

1. f) Nařízení

souhlas zákazníka (čl. 6 odst. 1 písm. a) Nařízení).

Některé osobní údaje zákazníků, zejména fotografie, jméno a příjmení, mohou být využity k veřejné prezentaci a marketingové činnosti EI Takto budou osobní údaje využity pouze s předchozím souhlasem zákazníka (čl. 6 odst. 1 písm. a) uděleným v souladu s čl. 7 Nařízení). Zdroje osobních údajů – zpracovávané osobní údaje Společnost získává od zákazníka při kontraktačním procesu a v průběhu plnění smluvního vztahu a zákonných povinností. Délka zpracování je stanovena archivačním a skartačním řádem EI.

V souladu se zákonem poskytuje EI osobní údaje ČNB, finanční správě a dalším orgánům veřejné moci a také svým smluvním partnerům — pojistitelům, bankám, stavebním spořitelnám, penzijním společnostem a jiným finančním institucím a jiným smluvním parterům dle 5.4. Přehled smluvních partnerů s možností zpracovávat osobní údaje je uveden v příloze.

4.6       Statutární orgán

Role EI – Společnost je správcem osobních údajů.

Rozsah zpracovávaných osobních údajů – EI zpracovává osobní údaje poskytnuté jí Akcionáři a členy orgánů společnosti v souladu se zněním zákona o obchodních korporacích a Stanov společnosti.

Zpracovávané osobní údaje tak mohou zahrnovat zejména:

• osobní údaje běžné:

jméno, příjmení, titul, datum narození, rodné číslo, trvalé bydliště, místo narození, okres narození

a další údaje zapisované do veřejných rejstříků, bankovní spojení, telefonní číslo, mailová

adresa, podpis

Účel zpracování – plnění povinností dle zákona o obchodních korporacích a Stanov společnosti a dalších právních předpisů.

Právní základ (důvod) zpracování – pro účely zpracování EIzpracovává osobní údaje z důvodu:

1. splnění smlouvy uzavřené se členy orgánů (čl. 6 odst. 1 písm. b) Nařízení);
2. splnění právní povinnosti EI(čl. 6 odst. 1 písm. c) Nařízení);
3. oprávněný zájem EInebo jiných osob ve smyslu a za podmínek čl. 6 odst. 1 písm. f) Nařízení.

Některé osobní údaje Akcionářů a členy orgánů společnosti, zejména fotografie, jméno a příjmení, označení pracovní pozice apod., mohou být využity k veřejné prezentaci a marketingové činnosti EI Takto budou osobní údaje využity pouze s předchozím souhlasem (čl.6 odst.1písm.a) uděleným v souladu s čl. 7 Nařízení).

Zdroje osobních údajů – zpracovávané osobní údaje Společnost získává od Akcionářů a členů orgánů společnosti, a to zejména prostřednictvím smluvní dokumentace.

Délka zpracování je stanovena archivačním a skartačním řádem EI

V souladu se zákonem poskytuje EI osobní údaje soudům, ČNB, finanční správě a dalším orgánům veřejné moci a také svým smluvním partnerům — pojistitelům, bankám, stavebním spořitelnám, penzijním společnostem a jiným finančním institucím a jiným smluvním parterům dle 5.4. Přehled smluvních partnerů s možností zpracovávat osobní údaje je uveden v příloze. písm. f) Nařízení.

Doba uložení – záznam obsahující osobní údaje se ukládá po dobu 3 dnů od uložení záznamu. Pokud je na základě pořízeného záznamu zjištěn a řešen incident, je v nutném rozsahu záznam uložen do konečného vyřízení incidentu.

Zdroje osobních údajů – zpracovávané osobní údaje Společnost získává v rámci provozu kamerových systémů.

5.    Povinnosti zpracovatele osobních údajů

EI, VZ a dále jiný smluvní partner dle 5.4 se účastní zpracování osobních údajů v pozici

Zpracovatele.

Postavení EI jako zpracovatele osobních údajů vymezují smlouvy o zpracování osobních údajů uzavřené s pojistiteli a ostatními finančními institucemi – přehled smluvních partnerů tvoří příloha směrnice.

Postavení VZ jako zpracovatele osobních údajů ve vztahu k EI vymezuje smlouva o spolupráci, smlouva o obchodním zastoupení příp. jiný smluvní vztah a tato Směrnice GDPR. Postavení jiného smluvního partnera dle 5.4 jako zpracovatele osobních údajů ve vztahu k EIvymezují smlouvy o spolupráci nebo o dílo příp. jiný smluvní vztah a tato Směrnice GDPR.

Zpracovatel povinen respektovat jednotlivé správcem stanovené povinnosti při zpracování a využívání osobních údajů, které zpracovateli správce jakkoli poskytne, které zpracovatel sám zpracuje nebo k nim jinak získá přístup v rámci své činnosti pro správce. Tato ustanovení se vztahují na všechny aspekty ochrany osobních údajů a bezpečnosti informací a jsou závazná pro všechny zpracovatele osobních údajů.

Zpracovatel se vždy řídí pokyny správce. Tyto pokyny mohou být předány písemně, ústně nebo jakýmkoli jiným vhodným způsobem, ať už jsou adresovány přímo zpracovateli nebo obecně více zpracovatelům stejné kategorie, včetně emailové komunikace, zpřístupnění na soukromé síti (intranet) nebo webu. Pokud by byl pokyn v rozporu s touto směrnicí nebo právními předpisy, zpracovatel to správci bezodkladně sdělí.

Zpracovatel zpracovává osobní údaje výhradně pro vymezené účely a pro splnění svých smluvních povinností, podle pokynů správce a v souladu právními předpisy a s touto směrnicí; nesmí zejména provádět bez předchozího výslovného souhlasu žádné operace s osobními údaji, které by představovaly vysoké riziko jako např. spojování různých databází a obohacování údajů o údaje z jiných zdrojů; použití moderních technologií, o jejichž dopadech na soukromí nebo jiná práva osob nejsou dostatečné informace; využití SW, cloudových služeb, aplikací a nástrojů, které neposkytují dostatečné záruky zabezpečení údajů apod.

Zpracovatel může zpracovávat údaje nad rámec uvedených účelů, pokud to je nezbytné   pro plnění smlouvy nebo právní povinnosti a pro subjekty údajů i správce předvídatelné a odůvodnitelné. V takovém případě musí zpracovatel správce o tomto postupu písemně informovat. V případě, že se zpracovatel rozhodne nebo musí v rámci svých zákonných povinností osobní údaje zpracovávat nad rámec zadání nebo pokynů správce, stává se sám správcem se všemi povinnostmi z toho vyplývajícími, včetně případné nutnosti informovat dotčené osoby, jejichž OÚ hodlá zpracovávat.

Zpracovatel zpracovává osobní údaje, které mu jsou v rámci spolupráce předány, nebo k nim jinak získá přístup, a to v rozsahu kategorií, který je vymezen Správcem.

Zpracovatel zpracovává osobní údaje po dobu nutnou pro splnění svých povinností podle pokynů správce. Kritéria pro stanovení doby zpracování určuje správce.

Po skončení zpracování osobních údajů podle pokynů správce zpracovatel osobní údaje, které nepředal zpět správci, zlikviduje nebo odstraní (včetně všech kopií a nosičů) a na požádání o tom předá správci protokol. To neplatí, pokud je musí dále zpracovávat z důvodu zákonných povinností nebo svých oprávněných zájmů.

Zpracovatel může ke zpracování osobních údajů použít jen takové osoby – pracovníky nebo jiné osoby (dále společně jen spolupracovníky), které jsou proškolené, seznámené se všemi pokyny a na které se vztahují všechny povinnosti podle této směrnice. Zpracovatel může vedle pracovníků použít ke zpracování osobních údajů další osoby jen s předchozím souhlasem správce, to neplatí pro EI, který jako zpracovatel může použít ke zpracování osobních údajů jemu vázané zástupce, kteří jako zpracovatelé mají obdobné povinnosti, jako zpracovatel vůči správci podle této směrnice.

Zpracovatel a všichni spolupracovníci dodržují ve vztahu ke zpracování osobních údajů mlčenlivost, tj. nepředávají ani nezpřístupňují je žádným dalším osobám bez souhlasu správce. To neplatí pro zákonnou povinnost údaje předat zákonem určeným subjektům.

Zpracovatel poskytuje správci potřebnou součinnost, zejm.:

• při předání a řešení žádostí dotčených osob týkajících se jejich osobních údajů;
• při zjišťování a vyřizování bezpečnostních incidentů;
• při posuzování dopadů zpracování na ochranu osobních údajů a konzultacích s

dohledem;

• při kontrole plnění povinností a výkonu audit, a to i třetí

V případě žádostí subjektů údajů, které byly doručeny zpracovateli a které se týkají zpracování osobních údajů, zpracovatel neprodleně správce informuje a předá veškeré podklady, které se žádosti týkají. Pokud správce potřebuje k vyřízení žádosti další informace nebo podklady od zpracovatele,  zpracovatel  mu  je  bez  zbytečného  odkladu  od  doručení  správcovy žádosti,

předá. To neplatí, pokud by předání takových informací nebo podkladů bylo v rozporu se zákonem.

Zpracovatel je povinen umožnit kontrolu plnění všech povinností podle této směrnice. Zpracovatel musí bez zbytečného odkladu předložit na výzvu správce doklady o tom, že zpracovává osobní údaje v souladu s touto směrnicí a právními předpisy, a umožnit audit plnění těchto povinností ze strany správce nebo jím pověřené osoby. Stejně tak to platí pro audity, inspekce nebo šetření ze strany dohledových orgánů, o kterých zpracovatel správce neprodleně informuje.

Správce oznámí plán provedení auditu zpracovateli s dostatečným předstihem a společně se dohodnou na termínu, způsobu a rozsahu jeho provedení. Zpracovatel musí umožnit provedení auditu nejpozději do 7 dní od oznámení o provedení auditu.

Pokud kontrola nebo audit probíhají u zpracovatele, je povinen to oznámit neprodleně správci, poskytnout relevantní dokumenty (včetně nálezů dohledu) a vyvinout maximální úsilí pro zajištění souladu s právními předpisy.

V případě omezení nebo ukončení zpracování osobních údajů některých subjektů údajů je zpracovatel povinen informovat o tom své subdodavatele nebo jiné příjemce osobních údajů těchto subjektů, kterým údaje předal nebo o kterých ví, že je mají k dispozici, a zajistit, že zpracování údajů těchto subjektů ukončí.

Zpracovatel udržuje v přiměřené míře evidenci a záznamy o zpracování osobních údajů zahrnujících:

• identifikaci subjektu, pro který zpracování provádí
• účel a předmět zpracování
• alespoň obecný popis bezpečnostních opatření.

Zpracovatel se zavazuje provést náležitá opatření k ochraně osobních údajů, minimálně v rozsahu nastavení odpovídajících pravidel pro:

• řízení a omezení přístupu
• kontroly přístupu, změn, kopírování, mazání nebo jiných operací (logování)
• ochrany proti náhodnému i úmyslnému zničení, úniku, ztrátě, napadení
• oddělení od ostatních údajů zpracovávaných pro jiné účely nebo jiné subjekty, pokud je to přiměřené a možné
• komunikaci a transfer údajů prostřednictvím zabezpečených kanálů.

Konkrétní technická, organizační a personální opatření jsou uvedená v čl. 7. této směrnice Zpracovatel   pravidelně    monitoruje    a    kontroluje    dodržování    pravidel    zabezpečení  a požadovaných opatření a vede dokumentaci o jejich dodržování.

Zpracovatel bezodkladně informuje o jakémkoli porušení povinností dle této směrnice nebo právních předpisů EI, informuje správce.

V případě podezření na jakékoli porušení zabezpečení, které by mohl vést k náhodnému nebo protiprávnímu  zničení, ztrátě,  změně  nebo neoprávněnému  poskytnutí nebo  zpřístupnění

přenášených, uložených nebo jinak zpracovávaných osobních údajů (dále jen „porušení“), musí zpracovatel bez zbytečného odkladu EI informovat na:

info@expatcz.cz dále informuje správce.

Oznámení je povinen zpracovatel nahlásit nejpozději do 24 hod od věrohodného zjištění podezření na porušení (včetně dnů pracovního volna). V případě porušení ochrany osobních údajů subjektů údajů je správce oprávněn požadovat po zpracovateli součinnost při informování dotčených subjektů.

6.    Technická, organizační a personální opatření zpracovatele osobních údajů

Zpracovatel osobních údajů je při zabezpečení osobních údajů povinen:

• přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů; tato povinnost platí i po ukončení zpracování osobních údajů;
• zpracovat a dokumentovat přijatá a provedená technicko – organizační opatření k zajištění ochrany osobních údajů v souladu s Nařízením a jinými právními předpisy;
• posoudit rizika týkající se zpracování osobních údajů, a zabránit přístupu neoprávněných osob k osobním údajům a neoprávněné manipulaci s osobními údaji.

Technická bezpečnostní opatření:

• Řízení přístupových oprávnění – minimalizace oprávněných osob, které znají pravidla zpracování osobních údajů a jsou zavázány mlčenlivostí
• Oddělení od ostatních dat – separace osobních údajů od jiných informací, oddělení údajů zpracovávaných pro jiné účely,
• Pravidla pro nastavení hesel – zavedení a pravidelná (čtvrtletní) změna přístupových hesel do počítačového systému, v němž jsou údaje zpracovávány, při dodržení pravidel pro vytvoření dostatečně silných hesel, pokud je to možné (alespoň 6 znaků, kombinace malá a velká písmena, čísla, spec. znaky), nepoužívat gesto a nastavit automatické zablokování po 3 neúspěšných pokusech
• Logování aktivity uživatelů nebo jiných osob pracujících s osobními údaji
• Minimalizace zpracovávaných dat – zpracovávány jsou jen nezbytné údaje, je nastavená jen nezbytná doba pro jejich uchování, na pokyn správce jsou data po archivační lhůtě smazána
• Aktualizace softwaru
• Použití antivirového programu v kombinaci s anti-malware a anti-spyware ochranou

• Použití firewall, pokud veřejná IP adresa končí přímo u zpracovatele v PC
• Chránění přístupového hesla do WiFi
• Zabezpečení zařízení (PC, notebook, mobilní telefon, tablet apod.) – včetně odpovídajícího šifrování, striktně oddělit pracovní a soukromé využití — zařízení nelze použít pro soukromé účely
• Šifrování dat na všech úložištích vč. externích disků a flash disku
• Zákaz užití freemailových služeb
• Zabezpečení sítě a webových stránek – včetně odpovídajícího šifrování
• Zálohování – v případě, kdy zpracovatel bude provozovat systémy na svých zařízeních, musí být schopen zajistit v případě incidentu bez zbytečného odkladu obnovení systému z provozních záloh
• Testování, audity, hodnocení a zvyšování efektivity opatření
• Nenavštěvovat nedůvěryhodné, podezřelé a neznámé internetové stránky
• Nestahovat nedůvěryhodné, podezřelé a neznámé programy
• Neotevírat podezřelou emailovou komunikaci vč. příloh

Organizační a personální opatření:

• Řízení fyzického přístupu osob do prostor zpracovatele
• Řízení fyzického přístupu osob do klíčových IT prostorů
• Omezení přístupu k fyzickým dokumentům a archivům
• Bezpečnost údajů na pracovišti (zásada čistého stolu a prázdné obrazovky)
• Školení zaměstnanců a spolupracovníků
• Nastavení pravidel pro likvidaci pevných disků, přenosných disků, výpočetní techniky
• Nastavení pravidel pro archivaci a skartaci dokumentů

Tato technická, organizační a personální opatření dodržuje EI  při zpracování osobních údajů i v pozici Správce.

7.    Závěrečná ustanovení

7.1       Účinnost směrnice

Tato směrnice nabývá účinnosti dne 30.05.2018

7.2       Přílohy směrnice

Příloha č. 1 – seznam smluv o zpracování osobních údajů EI zpracovatel

Příloha č. 2 – obsah sankčních ujednání smluv o zpracování osobních údajů EI zpracovatel

V Praze dne 30.05.2019