SMĚRNICE Č. 1 , O OCHRANĚ OSOBNÍCH ÚDAJŮ SPOLEČNOSTI ELENI ZRNEČKOVÁ VANÍČKOVÁ- ELENIREALITY

1. ÚČEL
1.1. Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů ve Společnosti. Tato směrnice je jedním z organizačních opatření ochrany osobních údajů ve smyslu článku 32 GDPR.
1.2. Tato směrnice dále upravuje procesy realizace práva subjektu údajů na přístup k osobním údajům ve smyslu článku 15 GDPR a ohlašování případů porušení zabezpečení osobních údajů ve smyslu článku 33 a 34 GDPR.

2. PŮSOBNOST
2.1. Tato směrnice se vztahuje na každého Pracovníka Společnosti, když zpracovává osobní údaje nebo plní jinou činnost, která je upravena v GDPR.
2.2. Každý Pracovník, jehož se tato směrnice dotýká bude proškolen na ochranu osobních údajů dle této směrnice a proškolení své osoby stvrdí podpisem.

3. TERMÍNY, DEFINICE A ZKRATKY
3.1. V této směrnici mají níže uvedené pojmy následující význam:
3.1.1. Dozorový úřad – Úřad pro ochranu osobních údajů
3.1.2. GDPR – Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů);
3.1.3. Osobní údaj – jakákoliv informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
3.1.4. Pracovník – je každá osoba, včetně právnických osob, která pro společnost vykonává jakoukoliv činnost, zejména zaměstnanec, externí spolupracovník, dodavatel apod.;
3.1.5. Společnost – je obchodní společnost Eleni Zrnečková Vaníčková - Elenireality;
3.1.6. Subjekt údajů – každá fyzická osoba, včetně osob samostatně výdělečně činných;
3.1.7. Zpracování osobních údajů – je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

4. ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ
4.1. Statutární orgán nebo jím výslovně pověřená osoba určuje účel/y a prostředky zpracování osobních údajů pro každou evidenci ve společnosti. Tyto osoby dále určí dobu, po kterou bude každý osobní údaj zpracováván, nebo kritéria, pomocí kterých půjde tato doba určit. Osobní údaje jsou zpracovávány po dobu určenou právními předpisy nebo po dobu trvání licence ke zpracovávání osobních údajů správcem. Účel jakožto i retenční doba zpracovávání osobních údajů jsou evidovány v záznamech o činnostech zpracování vedených dle čl. 30 GDPR.
4.2. Pracovníci jsou povinni zpracovávat osobní údaje ve vztahu k subjektu údajů korektně a zákonným způsobem.
4.3. Každý pracovník smí zpracovávat osobní údaje pouze za společností určeným účelem, a to pouze společností určenými prostředky.
4.4. Pracovníci jsou oprávněni zpracovávat osobní údaje pouze v souladu s pokyny společnosti. Pracovníci smí zpracovávat pouze osobní údaje nezbytné pro plnění svých povinností vůči společnosti. Společnost za tímto účelem zřizuje pracovníkům přístup pouze k nezbytně nutným evidencím osobních údajů.
4.5. Má-li pracovník podezření, nebo dozví-li se, že jsou osobní údaje jakéhokoliv subjektu údajů nepřesné, neúplné či zastaralé, ohlásí to nadřízenému zaměstnanci společnosti nebo zaměstnanci společnosti, který s pracovníkem za společnost jedná.
4.6. Má-li pracovník podezření, nebo dozví-li se, že jsou osobní údaje zpracovávány déle, než je nezbytné pro účely, pro které jsou zpracovávány, ohlásí to nadřízenému zaměstnanci společnosti nebo zaměstnanci společnosti, který s pracovníkem za společnost jedná.

5. DALŠÍ POVĚŘENÉ OSOBY
5.1. Další osoby pověřené společností některými činnostmi souvisejícími se zpracováním osobních údajů, zejména prevencí incidentů, zabezpečením zpracování osobních údajů, řešením stížností a žádostí, správou systémů a dalšími činnostmi jsou uvedeny v příloze č. 1 této směrnice.
5.2. Příloha č. 1 této směrnice obsahuje seznam pověřených osob s uvedením jejich rolí, aby jednotliví pracovníci vždy měli jasný přehled, na jakou osobu se obrátit v případě řešení problémů.

6. ZPRÁVA O POSOUZENÍ VLIVŮ
6.1. Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování bude mít za následek vysoké riziko pro práva a svobody subjektů údajů, provede společnost před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů, a to dle čl. 35 a násl. GDPR. Pro soubor podobných operací zpracování, které představují podobné riziko, může stačit jedno posouzení.
6.2. Posouzení vlivu se zpracuje vždy pro:
6.2.1. systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad;
6.2.2. rozsáhlé zpracování zvláštních kategorií údajů uvedených v čl. 9 odst. 1 nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů uvedených v čl. 10 GDPR; nebo
6.2.3. rozsáhlé systematické monitorování veřejně přístupných prostorů.
6.3. Posouzení obsahuje alespoň:
6.3.1. systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů společnosti;
6.3.2. posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů;
6.3.3. posouzení rizik pro práva a svobody subjektů údajů; a
6.3.4. plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu.
6.4. Pokud ze zprávy o posouzení vlivů vyplývá, že by předmětné zpracování osobních údajů mělo za následek vysoké riziko pro práva a svobody subjektů údajů v případě, že by správce nepřijal opatření ke zmírnění tohoto rizika, společnost konzultuje zprávu o posouzení vlivů s dozorovým úřadem. Podrobnosti určí statutární orgán společnosti.
6.5. Uchování zpráv o posouzení vlivů bude realizováno v souladu se směrnicí společnosti č. 1

7. KOMUNIKACE SE SUBJEKTY ÚDAJŮ
7.1. Pracovník, který obdržel v jakékoliv formě (písemně, telefonicky, osobně) jakoukoliv žádost či stížnost fyzické osoby, která se týká nebo by se mohla týkat ochrany osobních údajů, zejména žádosti ve smyslu čl. 15 - 22 GDPR, oznámí tuto skutečnost příslušné pověřené osobě.
7.2. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne pověřená osoba v okamžiku získání osobních údajů subjektu údajů informace dle čl. 13 GDPR, v případě, že osobní údaje nebyly získány od subjektu údajů, poskytne pověřená osoba tyto informace v souladu s čl. 14 odst. 3 GDPR. Povinnost poskytnout uvedené informace lze splnit odkazem na zásady ochrany osobních údajů Společnosti, které jsou dostupné na adrese www.elenireality.cz.
7.3. Příslušná pověřená osoba vyřizuje požadavky subjektů údajů v souladu s obecnými pokyny společnosti, vždy však tak, aby žádosti subjektu údajů bylo vyhověno bez zbytečného odkladu, a aby mu byly k vyřízení jeho žádosti poskytnuty veškeré informace a v případě, že žádosti nebylo vyhověno, aby byly sděleny důvody tohoto rozhodnutí.
7.4. Ověřování identity subjektu údajů bude prováděno vždy přiměřeným způsobem, který zaručí dostatečnou identifikaci subjektu údajů s ohledem na formu podání, využitý komunikační prostředek a obsah žádosti subjektu údajů.
7.5. Všechny požadavky subjektů údajů musí být vyřízeny bez zbytečného odkladu, nikdy ne později než do 1 měsíce ode dne jejich obdržení. Pokud není možné dodržet lhůtu, příslušná pověřená osoba tuto skutečnost okamžitě oznámí nadřízenému zaměstnanci včetně uvedení důvodu, proč není možné lhůtu dodržet, a vyžádá si konzultace, jak správně postupovat dále.
7.6. V případě žádosti subjektu údajů o přístup k osobním údajům poskytne příslušná pověřená osoba subjektu údajů nejméně informaci, zda osobní údaje, které se subjektu údajů týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, poskytne mu osobní údaje subjektu údajů a informace o:
7.6.1. účelu jejich zpracování;
7.6.2. kategoriích dotčených osobních údajů;
7.6.3. příjemcích nebo kategoriích příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemcích ve třetích zemích nebo v mezinárodních organizacích;
7.6.4. plánované době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritériích použitých ke stanovení této doby;
7.6.5. existenci práva požadovat od společnosti opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
7.6.6. právu podat stížnost u dozorového úřadu;
7.6.7. veškerých dostupných informacích o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
7.6.8. skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
7.7. Informace podle tohoto článku poskytuje společnost subjektu údajů ve stejné formě, v jaké o informace subjekt údajů požádal.
7.8. V případě opakovaných žádostí subjektu údajů je subjektu údajů účtováno 50 Kč za každou opakovanou žádost.
7.9. Uchování požadavků a odpovědí bude realizováno v souladu se směrnicí společnosti č. 1

8. OZNAMOVÁNÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ
8.1. Jakékoli porušení zabezpečení osobních údajů dle ustanovení čl. 4 odst. 12 GDPR společnost bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděla, ohlásí dozorovému úřadu, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob. Pokud není ohlášení dozorovému úřadu učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.
8.2. Ohlášení dozorovému úřadu se děje prostřednictvím aplikace datové schránky.
8.3. Ohlášení dozorovému úřadu podle tohoto článku musí přinejmenším obsahovat:
8.3.1. popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů;
8.3.2. jméno a kontaktní údaje DPO nebo jiného kontaktního místa, které může poskytnout bližší informace;
8.3.3. popis pravděpodobných důsledků porušení zabezpečení osobních údajů;
8.3.4. popis opatření, která společnost přijala nebo navrhla k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.
8.4. Pokud je pravděpodobné, že určitý případ porušení zabezpečení osobních údajů bude mít za následek vysoké riziko pro práva a svobody fyzických osob, oznámí společnost toto porušení bez zbytečného odkladu subjektu údajů.
8.5. Pracovníci hlásí případy porušení zabezpečení příslušným pověřeným osobám dle Přílohy. č. 1 této Směrnice.
8.6. Logování incidentů bude na základě informací příslušných pověřených osob zpracovávat sekretariát ředitele společnosti nebo jiná pověřená osoba ve formě seznamu incidentů s popisem události.

9. VZDĚLÁVÁNÍ
9.1. Společnost zajistí pravidelná školení pracovníků dle přílohy č. 1 na zásady dodržování ochrany osobních údajů ve smyslu GDPR.

10. PROVÁDĚNÍ OZNÁMENÍ PODLE TÉTO SMĚRNICE
10.1. Ukládá-li tato směrnice povinnost osobě oznámit jakoukoliv informaci druhé osobě, provede první osoba oznámení v písemné podobě. Za tuto písemnou podobu se považuje listinný dopis nebo e-mail.

11. KONTROLA DODRŽOVÁNÍ SMĚRNICE
11.1. Dohled nad dodržováním této směrnice a závazných právních předpisů vykonává statutární orgán společnosti.
11.2. Statutární orgán společnosti slouží jako kontaktní osoba zaměstnance společnosti v otázkách bezpečnosti a ochrany osobních údajů. V případě jakýchkoli pochybností o výkladu této směrnice či rozsahu a obsahu zákonných povinností poskytuje statutární orgán závazný výklad, kterým jsou povinni se řídit.
11.3. Statutární orgán odpovídá za aktualizaci této směrnice

12. PŘÍLOHY
12.1. Nedílnou součástí této směrnice je příloha: č.1

V Jeseníku dne 25.5.2018

Eleni Zrnečková Vaníčková - majitelka RK Elenireality

PŘÍLOHA Č. 1 KE SMĚRNICI Č.1 , O OCHRANĚ OSOBNÍCH ÚDAJŮ,
SPOLEČNOSTI ELENI ZRNEČKOVÁ VANÍČKOVÁ- ELENIREALITY
ÚČEL
Účelem Směrnice č. 1 ze dne 25.5.2018 je stanovit základní pravidla zpracování osobních údajů ve Společnosti. Směrnice je jedním z organizačních opatření ochrany osobních údajů ve smyslu článku 32 GDPR.
Tato příloha č. 1 upravuje další pověřené osoby dle čl. 5 Směrnice č.1
DALŠÍ POVĚŘENÉ OSOBY
Další osoby pověřené společností některými činnostmi souvisejícími se zpracováním osobních údajů, zejména prevencí incidentů, zabezpečením zpracování osobních údajů, řešením stížností a žádostí, správou systémů a dalšími činnostmi, jsou: JUDr. Patrik Nešpor, advokát, Mgr. Michal Havrila, advokát, Mgr. Ivan Stránský, advokát, Ing. Zdeńka Valentová, účetní

V Jeseníku dne 25.5.2018
Eleni Zrnečková Vaníčková - majitelka RK Elenireality

Informace o vnitřním oznamovacím systému

Jako povinná osoba podle zákona č. 253/2008 Sb. (AML zákon) máme povinnost řídit se vnitřním oznamovacím systémem. S účinností od 1.8.2023 informujeme:

Povinná osoba se řídí vnitřním oznamovacím systémem podle zákona č. 171/2023 Sb. Zákon o ochraně oznamovatelů (dále jen "ZOOO"). Oznamovací systém umožňuje podat oznámení zaměstnanci a fyzické osobě, která je pro povinnou osobu činná jinak než v základním pracovněprávním vztahu vyjma osob vykonávajících pro povinnou osobu činnost uvedenou v ZOOO § 2 odst. 3 písmena:

a) samostatná výdělečná činnost,

b) výkon práv spojených s účastí v právnické osobě,

c) výkon funkce člena orgánu právnické osoby,

d) plnění úkolů v rámci činnosti právnické osoby, v jejím zájmu, jejím jménem nebo na její účet,

e) správa svěřenského fondu,

f) výkon práv a povinností vyplývajících ze smlouvy, jejímž předmětem je poskytování dodávek, služeb, stavebních prací nebo jiného obdobného plnění.

Dále vyjma osob, které se ucházejí o práci nebo jinou obdobnou činnost.

Povinná osoba přijímá oznámení pouze od osob, které vykonávají pro povinnou osobu činnost uvedenou v ZOOO § 2 odst. 3 písmena

a) závislá práce vykonávaná v základním pracovněprávním vztahu,

b) služba,

c) dobrovolnická činnost,

d) odborná praxe, stáž.

Za činnost pro povinnou osobu je považováno

a) závislá práce vykonávaná v základním pracovněprávním vztahu,

b) služba,

c) samostatná výdělečná činnost,

d) výkon práv spojených s účastí v právnické osobě,

e) výkon funkce člena orgánu právnické osoby,

f) plnění úkolů v rámci činnosti právnické osoby, v jejím zájmu, jejím jménem nebo na její účet,

g) správa svěřenského fondu,

h) dobrovolnická činnost,

i) odborná praxe, stáž,

j) výkon práv a povinností vyplývajících ze smlouvy, jejímž předmětem je poskytování dodávek, služeb, stavebních prací nebo jiného obdobného plnění,

k) ucházení se o práci nebo jinou obdobnou činnost.

Příslušná osoba

- přijímá a posuzuje důvodnost oznámení podaného prostřednictvím vnitřního oznamovacího systému,

- navrhuje povinnému subjektu opatření k nápravě nebo předejití protiprávnímu stavu v návaznosti na podané oznámení tak, aby nemohlo dojít k prozrazení totožnosti oznamovatele,

- plní pokyny povinného subjektu, ledaže ohrožují nebo maří výkon její činnosti podle zákona o ochraně oznamovatelů,

- postupuje při výkonu své činnosti nestranně,

- zachovává mlčenlivost o skutečnostech, o kterých se dozvěděla při výkonu své činnosti, a to i po ukončení výkonu této činnosti, pokud zákon o ochraně oznamovatelů nestanoví jinak.

Osoba určená k výkonu činnosti příslušné osoby : Eleni Zrnečková Vaníčková

jméno, příjmení: Eleni Zrnečková Vaníčková

pracovní zařazení: majitelka firmy

telefon: 725686816

email: elenireality@seznam.cz

korespondenční adresa pro doručení oznámení: Krátká 421, 790 01, Jeseník

Postup podání oznámení

- oznámení lze podat ústně nebo písemně (v listinné podobě nebo elektronicky)

Požádá-li o to oznamovatel, je příslušná osoba povinna oznámení přijmout osobně v přiměřené lhůtě, nejdéle však do 14 dnů ode dne, kdy o to oznamovatel požádal.

Při ústním oznámení může příslušná osoba pořídit zvukovou nahrávku nebo záznam, který věrně zachycuje podstatu ústního oznámení, pouze se souhlasem oznamovatele. Příslušná osoba umožní oznamovateli, aby se k záznamu nebo přepisu zvukové nahrávky, byl-li pořízen, vyjádřil. Vyjádření oznamovatele se k záznamu nebo přepisu přiloží.

- oznámení lze podat anonymně

Další možnosti podání oznámení

Oznámení je možné taktéž podat Ministerstvu spravedlnosti ČR. Pokud se oznámení týká porušení spadající pod AML zákon, nelze oznámení podat Ministerstvu spravedlnosti, ale k oznámení je nutné využít oznamovací systém Finančního analytického úřadu.

Protiprávní jednání

Oznámení vždy obsahuje informace o možném protiprávním jednání, k němuž došlo nebo má dojít u osoby, pro niž oznamovatel, byť zprostředkovaně, vykonával nebo vykonává práci nebo jinou obdobnou činnost, nebo u osoby, se kterou oznamovatel byl nebo je v kontaktu v souvislosti s výkonem práce nebo jiné obdobné činnosti, a které

a) má znaky trestného činu,

b) porušuje zákon o ochraně oznamovatelů

c) porušuje jiný právní předpis nebo předpis Evropské unie v oblasti:

1. finančních služeb, povinného auditu a jiných ověřovacích služeb, finančních produktů a finančních trhů,

2. daně z příjmů právnických osob,

3. předcházení legalizaci výnosů z trestné činnosti a financování terorismu,

4. ochrany spotřebitele,

5. souladu s požadavky na výrobky včetně jejich bezpečnosti,

6. bezpečnosti dopravy, přepravy a provozu na pozemních komunikacích,

7. ochrany životního prostředí,

8. bezpečnosti potravin a krmiv a ochrany zvířat a jejich zdraví,

9. radiační ochrany a jaderné bezpečnosti,