POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ
ve společnosti XXL s.c. Iwona Dudziak Wiesław Dudziak, dále jen SPRÁVCE
1. Tento dokument s názvem „Politika ochrany osobních údajů“ (dále jen Politika) slouží jako mapa požadavků, zásad a pravidel ochrany osobních údajů u Správce.
2. Tato Politika je politikou ochrany osobních údajů v souladu s GDPR – nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.04.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně údajů) (Úř. věst. EU L 119, s. 1).
3. Politika obsahuje:
a) popis zásad ochrany údajů platných u Správce;
b) odkazy na přílohy upřesňující (vzorové postupy nebo návody týkající se jednotlivých oblastí ochrany osobních údajů vyžadujících upřesnění v samostatných dokumentech);
4. Za zavedení a udržování této Politiky je odpovědný pověřenec pro ochranu osobních údajů a všichni členové personálu Správce.
5. Správce by měl zajistit, aby jednání jeho smluvních partnerů bylo v souladu s touto Politikou v příslušném rozsahu, pokud dochází k předávání osobních údajů těmto osobám.
6. Zkratky a definice:
- Politika znamená tuto Politiku ochrany osobních údajů, pokud z kontextu výslovně nevyplývá něco jiného.
- GDPR znamená nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27.04.2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně údajů) (Úř. věst. EU L 119, s. 1).
- Údaje znamenají osobní údaje, pokud z kontextu výslovně nevyplývá něco jiného.
- Citlivé údaje znamenají zvláštní kategorie údajů a údaje o trestní minulosti.
- Zvláštní kategorie údajů znamenají údaje uvedené v čl. 9 odst. 1 GDPR, tj. osobní údaje odhalující rasový nebo etnický původ, politické názory, náboženské či filosofické přesvědčení, členství v odborových organizacích, genetická data, biometrická data za účelem jednoznačné identifikace fyzické osoby nebo údaje týkající se zdraví, sexuality nebo sexuální orientace.
- Údaje o trestní minulosti znamenají údaje uvedené v čl. 10 GDPR, tj. údaje týkající se odsuzujících rozsudků a porušení práva.
- Údaje o dítěti znamenají údaje osob mladších 16 let.
- Osoba znamená osobu, jíž se údaje týkají, pokud z kontextu výslovně nevyplývá něco jiného.
- Zpracovatel znamená organizaci nebo osobu, které Správce svěřil zpracování osobních údajů (např. poskytovatel IT služeb, externí účetnictví).
- Profilování znamená jakoukoliv formu automatizovaného zpracování osobních údajů spočívající ve využití osobních údajů k hodnocení určitých osobních aspektů fyzické osoby, zejména k analýze nebo předpovědi ohledně pracovního výkonu této fyzické osoby, její ekonomické situace, zdraví, osobních preferencí, zájmů, důvěryhodnosti, chování, polohy nebo pohybu.
- Export údajů znamená předání údajů do třetí země nebo mezinárodní organizace.
- PO nebo Pověřenec znamená pověřence pro ochranu osobních údajů.
- RCPD nebo Registr znamená Registr činností zpracování osobních údajů.7. Ochrana osobních údajů u Správce – obecné zásady
5.1. Pilíře ochrany osobních údajů u Správce:
(1) Zákonnost – Správce dbá na ochranu soukromí a zpracovává údaje v souladu se zákonem.
(2) Bezpečnost – Správce zajišťuje odpovídající úroveň bezpečnosti údajů a neustále v této oblasti jedná.
(3) Práva subjektů údajů – Správce umožňuje subjektům, jejichž údaje zpracovává, uplatňovat svá práva a tato práva realizuje.
(4) Zodpovědnost – Správce dokumentuje, jak plní své povinnosti, aby mohl kdykoliv prokázat soulad.
5.2. Zásady ochrany údajů. Správce zpracovává osobní údaje s respektem k následujícím zásadám:
(1) na základě zákonné a právní legitimity (legalita);
(2) poctivě a spravedlivě (poctivost);
(3) transparentně vůči subjektu údajů (transparentnost);
(4) za konkrétním účelem, nikoliv „pro každý případ“ (minimalizace);
(5) v rozsahu nezbytném pro daný účel (adekvátnost);
(6) s péčí o správnost údajů (správnost);
(7) ne déle než je nezbytné (časová omezenost);
(8) s přiměřenou úrovní bezpečnosti údajů (bezpečnost).
5.3. Systém ochrany údajů
Systém ochrany osobních údajů u Správce sestává z těchto prvků:
1) Inventarizace údajů. Správce identifikuje zdroje osobních údajů u Správce, třídy údajů, vzájemné vztahy mezi zdroji údajů, způsoby využití údajů (inventarizace), včetně:
a) případů zpracování zvláštních kategorií údajů a údajů „trestních“ (citlivé údaje);
b) případů zpracování údajů osob, které Správce neidentifikuje (neidentifikované údaje/UFO);
c) případů zpracování údajů dětí;
d) profilování;
e) spolupráce na správě údajů.
2) Registr. Správce vypracovává, vede a udržuje Registr činností zpracování osobních údajů. Registr představuje nástroj pro dokazování souladu s ochranou údajů u Správce.
3) Právní základ. Správce zajišťuje, identifikuje a ověřuje právní základy zpracování údajů a zaznamenává je v Registru, včetně:
a) správy systému souhlasů se zpracováním údajů a komunikací na dálku,
b) inventarizace a zpřesnění odůvodnění případů, kdy Správce zpracovává údaje na základě oprávněného zájmu Správce.
4) Obsluha práv subjektu údajů. Správce plní informační povinnosti vůči osobám, jejichž údaje zpracovává, a zajišťuje obsluhu jejich práv, realizuje obdržené žádosti, včetně:
a) informační povinnosti. Správce předává osobám zákonem požadované informace při shromažďování údajů a v dalších situacích a organizuje a zabezpečuje zdokumentování plnění těchto povinností.
b) možností provedení žádostí. Správce ověřuje a zajišťuje možnost efektivního splnění každého typu žádosti správcem a jeho zpracovateli.
c) obsluhy žádostí. Správce zajišťuje odpovídající zdroje a postupy, aby žádosti osob byly plněny v termínech a způsobem požadovaným GDPR a byly také dokumentovány.
d) hlášení porušení. Správce uplatňuje postupy umožňující zjistit nutnost oznámení osobám postiženým zjištěným porušením ochrany údajů.
5) Minimalizace. Správce má zásady a metody řízení minimalizace (privacy by default), včetně:
a) zásad řízení adekvátnosti údajů;
b) zásad omezení a řízení přístupu k údajům;
c) zásad řízení doby uchovávání údajů a ověřování další použitelnosti;
6) Bezpečnost. Správce zajišťuje odpovídající úroveň bezpečnosti údajů, včetně:
a) provádí analýzy rizik pro činnosti zpracování údajů nebo jejich kategorie;
b) provádí hodnocení dopadů na ochranu údajů tam, kde je riziko porušení práv a svobod osob vysoké;
c) přizpůsobuje opatření na ochranu údajů stanovenému riziku;
d) má systém řízení bezpečnosti informací;
e) používá postupy umožňující identifikaci, hodnocení a oznámení zjištěného porušení ochrany údajů Úřadu pro ochranu osobních údajů – řídí incidenty.
7) Zpracovatelé. Správce má zásady výběru zpracovatelů na svou žádost, požadavky na podmínky zpracování (smlouva o zpracování), zásady ověřování plnění smluv o zpracování.
8) Export údajů. Správce má zásady ověřování, zda nezaměřuje údaje do třetích zemí (mimo EU, Norsko, Lichtenštejnsko, Island) nebo do mezinárodních organizací a zajišťuje zákonné podmínky takového předání, pokud k němu dochází.
9) Privacy by design. Správce řídí změny ovlivňující soukromí. K tomu postupy zahájení nových projektů a investic u Správce zohledňují nutnost posouzení dopadu změn na ochranu údajů, zajištění soukromí (včetně souladu účelů zpracování, bezpečnosti údajů a minimalizace) již ve fázi návrhu změny, investice nebo na počátku nového projektu.
8. Inventarizace
6.1. Citlivé údaje
Správce identifikuje případy, kdy zpracovává nebo může zpracovávat citlivé údaje (zvláštní kategorie údajů a údaje o trestní minulosti) a udržuje vyhrazené mechanismy zajišťující zákonnost zpracování citlivých údajů. V případě zjištění zpracování citlivých údajů Správce postupuje v souladu s přijatými zásadami v této oblasti.
6.2. Neidentifikované údaje
Správce identifikuje případy, kdy zpracovává nebo může zpracovávat neidentifikované údaje a udržuje mechanismy usnadňující uplatnění práv osob, kterých se neidentifikované údaje týkají.
6.3. Profilování
Správce identifikuje případy profilování zpracovávaných údajů a udržuje mechanismy zajišťující zákonnost tohoto procesu. V případě zjištění profilování a automatizovaného rozhodování Správce postupuje v souladu s přijatými zásadami.
6.4. Spoluspráva
Správce identifikuje případy spolusprávy údajů a postupuje v této oblasti v souladu s přijatými zásadami.
9. Registr činností zpracování údajů ve SPA
7.1. RCPD ve SPA je formou dokumentace činností zpracování údajů, slouží jako mapa zpracování údajů a je jedním z klíčových prvků umožňujících realizaci základního principu, na kterém stojí celý systém ochrany osobních údajů, tj. odpovědnosti.
7.2. Správce vede Registr činností zpracování údajů ve SPA, ve kterém inventarizuje a monitoruje způsoby využití osobních údajů.
7.3. Registr je jedním ze základních nástrojů, které Správci umožňují plnit většinu povinností ochrany údajů.
7.4. V Registru pro každou činnost zpracování údajů, kterou Správce považuje za samostatnou pro potřeby Registru, zaznamenává minimálně: (i) název činnosti, (ii) účel zpracování, (iii) popis kategorií osob, (iv) popis kategorií údajů, (v) právní základ zpracování spolu s vyjmenováním kategorií oprávněného zájmu Správce, pokud je základem oprávněný zájem, (vi) způsob sběru údajů, (vii) popis kategorií příjemců údajů (včetně zpracovatelů), (viii) informaci o předání mimo EU/EHP; (ix) obecný popis technických a organizačních opatření na ochranu údajů.
7.5. Vzor Registru tvoří Příloha č. 1 k Politice – „Vzor Registru činností zpracování údajů ve SPA“. Vzor Registru obsahuje i sloupce nepovinné. V nepovinných sloupcích Správce eviduje informace podle potřeby a možností, přičemž úplnější obsah Registru usnadňuje řízení souladu s ochranou údajů a vykazování.
10. Základy zpracování
8.1. Správce dokumentuje právní základy zpracování údajů.
8.2. Uvádí-li obecný právní základ (souhlas, smlouva, zákonná povinnost, životně důležité zájmy, veřejná úloha / veřejná moc, oprávněný zájem Správce), Správce tento základ specifikuje čitelným způsobem, jde-li o potřebu. Například u souhlasu uvádí rozsah, u právního základu odkazuje na konkrétní ustanovení a další dokumenty, např. smlouvu, administrativní dohodu, u životně důležitých zájmů uvádí kategorie událostí, kdy se realizují, u oprávněného zájmu uvádí konkrétní účel, např. vlastní marketing, vymáhání pohledávek, promlčení pohledávek.
8.3. Správce zavádí metody řízení souhlasů umožňující evidenci a ověřování souhlasu osoby se zpracováním konkrétních údajů pro konkrétní účel, souhlasu s komunikací na dálku (email, telefon, sms apod.) a evidenci odmítnutí souhlasu, odvolání souhlasu a obdobných úkonů (námitka, omezení apod.).
8.4. Vedoucí organizační jednotky Správce je povinen znát právní základy, na nichž jeho jednotka provádí konkrétní činnosti zpracování osobních údajů. Je-li základem oprávněný zájem Správce, vedoucí jednotky musí znát konkrétní zájem realizovaný zpracováním.
9. Způsob obsluhy práv subjektu údajů a informačních povinností
9.1. Správce dbá na srozumitelnost a styl předávaných informací a komunikace s osobami, jejichž údaje zpracovává.
9.2. Správce usnadňuje osobám uplatnění jejich práv různými způsoby, včetně zveřejnění na webových stránkách a na veřejně přístupném místě na sídle správce informací nebo odkazů (linky) na informace o právech osob, způsobu jejich uplatnění u Správce, včetně požadavků na identifikaci, kontaktních metod k Správci a případném ceníku „dodatečných“ žádostí.
9.3. Správce dbá na dodržování zákonných lhůt pro plnění povinností vůči osobám.
9.4. Správce zavádí vhodné metody identifikace a ověřování osob k realizaci práv subjektu údajů a informačních povinností.
9.5. K realizaci práv subjektu údajů Správce zajišťuje postupy a mechanismy umožňující identifikovat osobní údaje konkrétních osob zpracovávané Správcem, integrovat tyto údaje, zavádět jejich změny a odstraňovat je integračně.
9.6. Správce dokumentuje obsluhu informačních povinností, oznámení a žádostí osob.
10. Informační povinnosti
10.1. Správce stanovuje zákonné a efektivní způsoby plnění informačních povinností.
10.2. Správce informuje osobu o prodloužení lhůty na vyřízení její žádosti nad jeden měsíc.
10.3. Správce informuje osobu o zpracování jejích údajů při získávání údajů přímo od osoby.
10.4. Správce informuje osobu o zpracování jejích údajů při získávání údajů o osobě nepřímo.
10.5. Správce stanovuje způsob informování o zpracování neidentifikovaných údajů, pokud je to možné (např. tabulka oznamující monitoring kamerového systému).
10.6. Správce informuje osobu o plánované změně účelu zpracování údajů.
10.7. Správce informuje osobu před zrušením omezení zpracování.
10.8. Správce informuje příjemce údajů o opravě, odstranění nebo omezení zpracování údajů (pokud by to nevyžadovalo nepřiměřené úsilí nebo nebylo nemožné).
10.9. Správce informuje osobu o právu vznést námitku proti zpracování údajů nejpozději při prvním kontaktu.
10.10. Správce bez zbytečného odkladu informuje osobu o porušení ochrany osobních údajů, pokud může způsobit vysoké riziko porušení práv nebo svobod osoby.
11. Žádosti osob
11.1. Práva třetích osob. Při realizaci práv osob, jejichž údaje se týkají, Správce zavádí procesní záruky ochrany práv a svobod třetích osob. Zvláště v případě ověření důvěryhodné informace, že splnění žádosti o kopii údajů nebo přenos práv může nepříznivě ovlivnit práva a svobody jiných osob (např. práva na ochranu údajů, práva duševního vlastnictví, obchodní tajemství, osobnostní práva apod.), může Správce požádat osobu o vysvětlení nebo přistoupit k jiným zákonným opatřením včetně odmítnutí žádosti.
11.2. Nezpracování. Správce informuje osobu, že nezpracovává její údaje, pokud osoba uplatnila žádost týkající se jejích práv.
11.3. Odmítnutí. Správce informuje osobu do jednoho měsíce od obdržení žádosti o odmítnutí její žádosti a o právech s tím spojených.
11.4. Přístup k údajům. Na žádost osoby o přístup k jejím údajům Správce informuje osobu, zda její údaje zpracovává, a poskytuje podrobnosti o zpracování v souladu s čl. 15 GDPR (rozsah odpovídá informační povinnosti při sběru údajů) a poskytuje přístup k jejím osobním údajům. Přístup může být realizován vydáním kopie údajů, přičemž první kopie vydaná v rámci práva na přístup k údajům nebude považována za první bezplatnou kopii pro účely poplatků za kopie.
11.5. Kopie údajů. Na žádost Správce vydává osobě kopii jejích údajů a zaznamenává vydání první kopie. Správce zavádí a udržuje ceník kopií údajů, podle kterého účtuje poplatky za další kopie údajů. Cena kopie se odvozuje od odhadovaných jednotkových nákladů na vyřízení žádosti o vydání kopie.
11.6. Oprava údajů. Správce provádí opravu nesprávných údajů na žádost osoby. Správce může odmítnout opravu, pokud osoba rozumně neprokáže nesprávnost údajů, které požaduje opravit. Při opravě Správce informuje osobu o příjemcích údajů na její žádost.
11.7. Doplnění údajů. Správce doplňuje a aktualizuje údaje na žádost osoby. Může odmítnout doplnění, pokud by bylo v rozporu s účely zpracování (např. zpracování zbytečných údajů). Správce může vycházet z prohlášení osoby o doplňovaných údajích, pokud to však není v rozporu s přijatými postupy, zákonem nebo není důvod považovat takové prohlášení za nedůvěryhodné.
11.8. Odstranění údajů. Na žádost osoby Správce odstraní údaje, pokud:
(1) nejsou nezbytné pro účely, pro které byly shromážděny nebo jinak zpracovávány;
(2) byl odvolán souhlas se zpracováním a není jiný právní základ;
(3) osoba vznesla účinný námitku proti zpracování;
(4) údaje byly zpracovány nezákonně;
(5) odstranění vyplývá ze zákonné povinnosti;
(6) žádost se týká údajů dítěte získaných na základě souhlasu za účelem poskytování služeb informační společnosti přímo dítěti (např. profil dítěte na sociální síti, účast v soutěži na webu).
Správce stanovuje způsob, jak realizovat právo na odstranění údajů tak, aby zajistil efektivní splnění tohoto práva s respektem ke všem zásadám ochrany údajů včetně bezpečnosti a zároveň ověření, zda neplatí výjimky dle čl. 17 odst. 3 GDPR.
Pokud Správce zveřejnil údaje určené k odstranění, podnikne rozumná opatření, včetně technických, aby informoval další správce zpracovávající tyto údaje o potřebě jejich odstranění a přístupu k nim.
Při odstranění údajů Správce informuje osobu o příjemcích údajů na její žádost.
11.9. Omezení zpracování. Správce omezuje zpracování na žádost osoby, pokud:
a) osoba zpochybňuje správnost údajů – na dobu umožňující ověřit správnost;
b) zpracování je nezákonné a osoba požaduje místo odstranění omezení zpracování;
c) Správce již údaje nepotřebuje, ale jsou potřebné osobě k uplatnění, obraně nebo vymáhání práv;
d) osoba vznesla námitku z důvodu zvláštní situace až do ověření, zda existují závažné oprávněné důvody pro zpracování.
Během omezení zpracování Správce uchovává údaje, ale nezpracovává je (nevyužívá je, nepředává), bez souhlasu osoby, s výjimkou stanovených účelů (např. uplatnění práv).
Správce informuje osobu před zrušením omezení zpracování.
Při omezení zpracování informuje osobu o příjemcích údajů na její žádost.
11.10. Přenos údajů. Na žádost osoby Správce předává v běžném strojově čitelném formátu nebo jinému správci, pokud je to možné, údaje, které mu osoba poskytla a jsou zpracovávány na základě souhlasu nebo smlouvy, v informačních systémech Správce.
11.11. Námitka ve zvláštní situaci. Pokud osoba vznesla zvlášť odůvodněnou námitku proti zpracování jejích údajů, které Správce zpracovává na základě oprávněného zájmu nebo veřejného úkolu, Správce námitku zohlední, pokud neexistují závažné právně odůvodněné důvody upřednostňující zpracování nebo k uplatnění práv.
11.12. Námitka při vědeckém, historickém výzkumu nebo statistice. Pokud Správce provádí vědecký, historický výzkum nebo zpracovává údaje pro statistické účely, může osoba vznést zvlášť odůvodněnou námitku proti takovému zpracování. Správce ji zohlední, pokud není nezbytné k vykonání veřejného úkolu.
11.13. Námitka proti přímému marketingu. Pokud osoba vznesla námitku proti zpracování údajů pro účely přímého marketingu (včetně případného profilování), Správce námitku zohlední a zpracování ukončí.
11.14. Právo na lidský zásah při automatizovaném zpracování. Pokud Správce zpracovává údaje automatizovaně, zejména profiluje, a na základě toho činí vůči osobě rozhodnutí s právními nebo jinými významnými důsledky, zajistí možnost odvolání do zásahu a rozhodnutí člověka u Správce, pokud automatické rozhodnutí (i) není nezbytné pro plnění smlouvy, (ii) není výslovně povoleno zákonem nebo (iii) není založeno na výslovném souhlasu osoby.
12. MINIMALIZACE
Správce dbá na minimalizaci zpracování údajů z hlediska: (i) adekvátnosti údajů k účelu (objemu a rozsahu zpracování), (ii) přístupu k údajům, (iii) doby uchovávání údajů.
12.1. Minimalizace rozsahu
Správce přezkoumal rozsah získávaných údajů, rozsah jejich zpracování a množství zpracovávaných údajů z hlediska adekvátnosti pro účely zpracování při zavádění GDPR.
Správce provádí pravidelnou roční kontrolu množství a rozsahu zpracovávaných údajů.
Správce přezkoumává změny množství a rozsahu zpracování v rámci řízení změn (privacy by design).
12.2. Minimalizace přístupu
Správce uplatňuje omezení přístupu k osobním údajům: právní (povinnost mlčenlivosti, rozsah oprávnění), fyzické (bezpečnostní zóny, uzamykání prostor) a logické (omezení oprávnění v systémech zpracovávajících údaje a síťových zdrojích, kde údaje sídlí).
Správce uplatňuje kontrolu fyzického přístupu.
Správce aktualizuje přístupová oprávnění při změnách personálu a rolí osob i při změnách zpracovatelů.
Správce provádí roční revizi uživatelů systémů a aktualizuje je.
12.3. Minimalizace doby
Správce zavádí mechanismy kontroly životního cyklu osobních údajů včetně ověření další použitelnosti dle termínů a kontrolních bodů v Registru.
Údaje, u nichž se doba použitelnosti omezí časem, jsou odstraňovány z produkčních systémů i z ručních a hlavních archivů. Tyto údaje mohou být archivovány a obsaženy v zálohách systémů a informací zpracovávaných Správcem. Postupy archivace a využití archivů i záloh zohledňují požadavky kontroly životního cyklu údajů včetně požadavků na odstranění údajů.
13. BEZPEČNOST
Správce zajišťuje bezpečnost odpovídající riziku porušení práv a svobod fyzických osob v důsledku zpracování osobních údajů.
13.1. Analýzy rizik a přiměřenost bezpečnostních opatření
Správce provádí a dokumentuje analýzy adekvátnosti bezpečnostních opatření osobních údajů. K tomu:
(1) Správce zajišťuje odpovídající znalosti o bezpečnosti informací, kybernetické bezpečnosti a kontinuity činnosti – interně nebo s podporou specializovaných subjektů.
(2) Správce kategorizuje údaje a činnosti zpracování z hlediska rizika.
(3) Správce analyzuje rizika porušení práv nebo svobod fyzických osob pro činnosti zpracování nebo jejich kategorie. Zohledňuje charakter, rozsah, kontext a účely zpracování, riziko porušení práv nebo svobod osob s různou pravděpodobností a závažností.
(4) Správce stanovuje možné organizační a technické bezpečnostní opatření a hodnotí náklady na jejich zavedení. Používá opatření jako:
(i) pseudonymizace,
(ii) šifrování osobních údajů,
(iii) další opatření kybernetické bezpečnosti zajišťující důvěrnost, celistvost, dostupnost a odolnost systémů a služeb zpracování,
(iv) opatření k zachování kontinuity provozu a prevenci následků katastrof, tj. schopnost rychle obnovit dostupnost a přístup k údajům při fyzickém nebo technickém incidentu.
13.2. Hodnocení dopadů na ochranu údajů
Správce provádí hodnocení dopadů plánovaných operací zpracování na ochranu údajů tam, kde podle analýzy rizika hrozí vysoké riziko porušení práv a svobod osob.
Správce používá metodiku hodnocení dopadů přijatou v organizaci.
13.3. Bezpečnostní opatření
Správce uplatňuje bezpečnostní opatření stanovena v analýzách rizik a adekvátnosti a hodnocení dopadů na ochranu údajů.
Bezpečnostní opatření osobních údajů jsou součástí opatření informační bezpečnosti a kybernetické bezpečnosti a jsou podrobně popsána v postupech přijatých Správcem pro tyto oblasti.
13.4. Hlášení porušení
Správce uplatňuje postupy umožňující identifikaci, hodnocení a oznámení zjištěného porušení ochrany údajů Úřadu pro ochranu osobních údajů do 72 hodin od zjištění porušení.14. ZPRACOVATELÉ
Správce má zásady výběru a ověřování zpracovatelů na svou žádost s cílem zajistit, že zpracovatelé poskytují dostatečné záruky o zavedení vhodných organizačních a technických opatření k zajištění bezpečnosti, realizace práv subjektu údajů a plnění dalších povinností ochrany údajů uložených Správci.
Správce přijal minimální požadavky na smlouvu o zpracování údajů uvedené v Příloze č. 2 Politiky – „Vzor smlouvy o zpracování údajů“.
Správce kontroluje zpracovatele z hlediska využívání podzpracovatelů a dalších požadavků vyplývajících z pravidel zadávání osobních údajů.
15. NÁVRH PRYVATNOSTI
Správce řídí změny ovlivňující soukromí tak, aby umožnil zajištění odpovídající bezpečnosti osobních údajů a minimalizace zpracování.
K tomu zásady vedení projektů a investic Správce odkazují na zásady bezpečnosti osobních údajů a minimalizace, požadují posouzení dopadu na soukromí a ochranu údajů a navržení bezpečnosti a minimalizace zpracování již ve fázi návrhu projektu nebo investice.