Všeobecné nariadenie EÚ o ochrane osobných údajov (GDPR) nadobudlo účinnosť v celej Európskej únii 25. 5. 2018. Na základe zabezpečenia ochrany súkromia bol už od prvých fáz prípravy zvolený prístup založený na požiadavkách, aby toto nariadenie GDPR spĺňalo požiadavky digitálneho veku.
21. storočie so sebou prináša široké využitie technológií, nové definície toho, čo predstavujú osobné údaje, a obrovský nárast cezhraničného spracovania týchto údajov. Cieľom nariadenia je štandardizovať právne predpisy o ochrane údajov a ich spracovanie v celej EÚ, poskytnúť jednotlivcom silnejšie a konzistentnejšie práva na prístup k ich osobným údajom a ich kontrolu.
Náš záväzok
DOPRAVOPROJEKT, a.s. mal aj pred GDPR k dispozícii spoľahlivý a efektívny program ochrany údajov, ktorý bol v súlade s platnými právnymi predpismi a dlhodobo dodržiava zásady ochrany osobných údajov. Akceptujeme a neustále realizujeme povinnosti GDPR vrátane požiadavky aktualizovať a rozširovať tento program tak, aby spĺňal požiadavky nariadenia GDPR a legislatívy Slovenskej republiky o ochrane osobných údajov a bezpečnosti informácií ako takých.
DOPRAVOPROJEKT, a.s. sa zaväzuje zaisťovať bezpečnosť a ochranu osobných údajov, ktoré spracovávame a zároveň podporovať konzistentný prístup k týmto údajom. Zameriavame sa na ochranu osobných údajov v rámci našej pôsobnosti a na rozvoj uplatňovania ochrany osobných údajov, ktorý je efektívny, vhodný na daný účel a prezentuje uplatňovanie súladu s GDPR. Naša implementácia a ciele týkajúce sa súladu s GDPR sú zhrnuté v tomto vyhlásení a zahŕňajú tvorbu a implementáciu nových rolí, politík, postupov, kontrolných opatrení a opatrení na ochranu osobných údajov ako aj zabezpečenie maximálneho a trvalého súladu s legislatívou.
Ako uplatňujeme na nariadenie GDPR
DOPRAVOPROJEKT, a.s. uplatňoval už v minulosti konzistentnú úroveň ochrany a bezpečnosti osobných údajov v celej našej organizácii. Naším cieľom je však uplatňovať princípy ochrany osobných údajov a informácii vždy podľa aktuálnej platnej legislatívy a bezpečnostnej situácie.
Naše uplatňovanie požiadaviek a princípov GDPR zahŕňa:
- Informačný audit – audit informácií v rámci celej spoločnosti s cieľom zistiť a posúdiť, aké osobné údaje spracúvame a uchovávame, odkiaľ ich získavame, ako a prečo sa spracúvajú, na akom právnom základe ich získavame a spracúvame a či a komu sa poskytujú.
- Politiky, smernice a postupy – politiky, smernice a postupy ochrany osobných údajov na splnenie požiadaviek, štandardov a noriem GDPR a všetkých príslušných zákonov o ochrane osobných údajov a informácií vrátane dokumentov:
- Politika ochrany osobných údajov – náš hlavný dokument o politike a postupe v oblasti ochrany údajov je spracovaný tak, aby spĺňal normy a požiadavky nariadenia GDPR. Sú zavedené opatrenia v oblasti zodpovednosti a riadenia tak, aby sme zabezpečili uplatňovanie princípov primeranej ochrany osobných údajov. Zároveň v nej deklarujeme naše povinnosti a princípy ochrany osobných údajov, s osobitným zameraním na ochranu súkromia a práv jednotlivcov pri spracovaní osobných údajov.
- Smernice o uchovávaní a likvidácii osobných údajov – aktualizujeme naše zásady uchovávania údajov a ich likvidáciu, vrátane príslušných harmonogramov a plánov v zmysle platnej legislatívy tak, aby sme zabezpečili požiadavky GDPR uplatňovaním zásady minimalizácie údajov a časového obmedzenia ich uchovávania. Osobné údaje sa uchovávajú, archivujú a likvidujú v súlade s platnou legislatívou. Máme zavedené špecializované postupy vymazania (likvidácie) tak, aby sme splnili povinnosť „práva na vymazanie“. Sme si vedomí toho, kedy sa uplatňujú práva dotknutých osôb a to v súlade s výnimkami z vymazania, časovými lehotami na odpoveď a zodpovednosťami za oznamovanie úkonov dotknutým osobám.
- Postupy pri porušení ochrany osobných údajov – naše smernice pri porušení bezpečnosti a predpisov zabezpečujú, že máme zavedené postupy a opatrenia na identifikáciu, posúdenie, vyšetrovanie a nahlásenie akéhokoľvek porušenia ochrany osobných údajov v čo najskoršom možnom čase. Tieto smernice sú aktualizované a všetci zamestnanci a pracovníci sú s nimi oboznámení. V smerniciach sú uvedené jednotlivé kroky pre zamestnancov, ako postupovať pri porušení bezpečnosti a ochrany osobných údajov a čo je potrebné dodržať a vykonať.
- Medzinárodné prenosy a spracovanie osobných údajov mimo EÚ tretími stranami – Prenos osobných údajov do tretích krajín mimo EÚ naša spoločnosť neuskutočňuje.
- Žiadosť o informáciu o spracúvaných osobných údajov – máme zavedené postupy o poskytnutie informácií tak, aby vyhovovali 30-dňovej lehote na poskytnutie požadovaných informácií a na bezplatné poskytnutie týchto informácií oprávnenej osobe. Naše nové postupy podrobne opisujú, ako overiť oprávnenosť požiadavky tejto osoby, aké kroky je potrebné podniknúť na spracovanie žiadosti o prístup k informácii, aké výnimky sa uplatňujú, a súbor vzorov odpovedí, aby sa zabezpečilo, že komunikácia s dotknutými osobami je v súlade s GDPR a je zároveň konzistentná a primeraná.
- Právny základ pre spracovanie – prehodnocujú sa všetky spracovateľské činnosti s cieľom určiť právny základ pre spracovanie a zabezpečiť, aby každý právny základ bol vhodný pre účel, na ktorý sa vzťahuje. Zároveň vedieme aj záznamy o našich spracovateľských činnostiach, čím zabezpečujeme, aby boli splnené naše povinnosti podľa GDPR a platnej legislatívy.
- Oznámenie a zásady ochrany osobných údajov –oznámenia a zásady spracúvania osobných údajov sú v súlade s GDPR, pričom sme zabezpečili, aby všetky dotknuté osoby, o ktorých osobné údaje spracúvame boli informované o tom, prečo tieto údaje o nich potrebujeme, ako sa používajú a spracúvajú, aké sú ich práva, komu sa údaje poskytujú a aké ochranné opatrenia sú zavedené na ochranu týchto osobných údajov.
- Súhlasy so spracúvaním – naše postupy na získanie súhlasu na spracovanie osobných údajov zabezpečujú, že dotknuté osoby pochopia, aké údaje o sebe poskytujú, prečo a ako ich používame a spracúvame, a komu ich poskytujeme na jasné a definované účely a ako vyjadriť jednoznačný súhlas so spracovaním ich osobných údajov. Postupy na zaznamenávanie súhlasu určujú ako spracúvať záznamy o súhlase aj o spôsobe ako kedykoľvek tento súhlas odvolať.
- Priamy marketing – procesy priameho marketingu naša spoločnosť nevykonáva.
- Posúdenia vplyvu na ochranu osobných údajov (DPIA) – ak spracúvame osobné údaje, ktoré sa považujú za vysoko rizikové, zahŕňajú rozsiahle spracovanie alebo obsahujú údaje osobitnej kategórie (napr. odsúdenia za trestné činy), vypracovali sme postupy a vzory posúdení na vykonávanie posúdení vplyvu, ktoré sú v plnom súlade s požiadavkami nariadenia GDPR. Zaviedli sme dokumentačné procesy, ktoré zaznamenávajú každé posúdenie, umožňujú nám hodnotiť riziko, ktoré predstavuje spracovateľská činnosť, a zaviesť zmierňujúce opatrenia na zníženie rizika, ktoré predstavuje pre dotknutú osobu.
- Zmluvy so sprostredkovateľom – ak používame akúkoľvek tretiu stranu na spracovanie osobných údajov v našom mene (t.z. SBS, mzdy, nábor, hosting atď.), na tento účel sme vypracovali vzorové zmluvy a postupy podľa legislatívnych požiadaviek tak, aby sme zabezpečili, že aj sprostredkovatelia (tak, ako naša spoločnosť ) spĺňajú a uplatňujú povinnosti vyplývajúce z GDPR a zabezpečujú ochranu osobných údajov. Tieto opatrenia zahŕňajú počiatočné a priebežné preskúmanie poskytovanej služby, spracovateľskej činnosti s ohľadom na zavedené technické a organizačné opatrenia v súlade s GDPR.
- Osobitné kategórie osobných údajov – ak získavame a spracovávame osobné údaje osobitnej kategórie, robíme tak v úplnom súlade s požiadavkami GDPR na zvýšenú ochranu takýchto údajov. Osobné údaje osobitnej kategórie sa spracúvajú len v prípade nevyhnutnej potreby a spracúvajú sa len vtedy, ak sme najprv určili príslušný právny základ.
Práva dotknutej osoby
Okrem vyššie uvedených zásad a postupov, ktoré zabezpečujú, že jednotlivci môžu presadzovať svoje práva na ochranu údajov, poskytujeme ľahko prístupné informácie prostredníctvom žiadosti na uplatnenie práva jednotlivca na prístup k akýmkoľvek osobným informáciám, ktoré o nich DOPRAVOPROJEKT, a.s. spracúva.
Dotknuté osoby majú právo získať od prevádzkovateľa potvrdenie o tom, či sa o nich spracúvajú osobné údaje, ktoré sa ich týkajú:
- Aké osobné údaje sa o nich spracúvajú
- Účely spracúvania
- Kategórie dotknutých osobných údajov
- Príjemcovia, ktorým boli osobné údaje sprístupnené alebo poskytnuté
- Ako dlho sa uchovávajú osobné údaje dotknutých osôb
- Ak sa osobné údaje nezhromažďovali priamo od nich, informácie o zdroji
- Právo na opravu alebo doplnenie neúplných alebo nepresných údajov o nich a proces žiadosti o takúto opravu
- Právo požadovať vymazanie osobných údajov (ak osobitný zákon neurčuje inak) alebo obmedziť spracúvanie v súlade so zákonmi o ochrane údajov, ako aj namietať proti akémukoľvek priamemu marketingu a byť informovaný o akomkoľvek automatizovanom rozhodovaní, ktoré by sa používalo
- Právo podať sťažnosť alebo požiadať o súdny prostriedok nápravy a na koho sa v takýchto prípadoch obrátiť
Informačná bezpečnosť a technické a organizačné opatrenia
DOPRAVOPROJEKT, a.s. sa zaväzuje zaistiť bezpečnosť osobných údajov, tak aby sme zabránili neoprávnenému prístupu, zneužitiu či prezradeniu, udržali presnosť a aktuálnosť údajov a tiež zaistili efektívne využitie údajov. Zaviedli sme zodpovedajúce technické, personálne, organizačné, elektronické a riadiace postupy, ktoré chránia a zabezpečujú ochranu získaných a spracúvaných osobných údajov. Pri získavaní, alebo prenose osobných údajov používame bezpečnostné opatrenia podľa bezpečnostných štandardov. Máme zavedené rozsiahle zásady a postupy informačnej bezpečnosti na ochranu osobných údajov pred neoprávneným prístupom, zmenou, zverejnením alebo zničením. Bezpečnostné opatrenia sú uplatňované v zmysle vyhlášky 158/2018 Z. z. Úradu na ochranu osobných údajov.
DOPRAVOPROJEKT, a.s. berie súkromie a bezpečnosť jednotlivcov a ich osobných údajov veľmi vážne, preto prijíma a dokumentuje všetky primerané opatrenia a na ochranu a zabezpečenie osobných údajov, ktoré spracovávame.
Účasť zamestnancov pri uplatňovaní GDPR
DOPRAVOPROJEKT, a.s. má v rámci GDPR spracované role a zodpovednosti zamestnancov v rámci ich pracovných funkcií podľa organizačnej štruktúry a pracovného poriadku. Je vytvorený tím, ktorý zabezpečuje úlohy v rámci realizácie požiadaviek a prevádzky ochrany osobných údajov v zmysle GDPR. Naša spoločnosť má určenú externú Zodpovednú osobu na ochranu osobných údajov (DPO). Právne vedomie zamestnancov a pracovníkov našej spoločnosti je pravidelne zabezpečované na vzdelávacom programe a školeniach aj v oblasti ochrany osobných údajov a informačnej bezpečnosti.