1. Přehled základních zkratek

Zkratka	Popis
z.o.o.ú.	Zákon ze dne 29. srpna 1997 o ochraně osobních údajů (zák. z roku 2015, pol. 2135).
nař. MVaS	Nařízení Ministerstva vnitra a správy ze dne 29. dubna 2004 o dokumentaci zpracování osobních údajů a technických a organizačních podmínkách, které musí splňovat zařízení a informační systémy sloužící ke zpracování osobních údajů
GIOOÚ	Generální inspektor ochrany osobních údajů
SOÚ	Správce osobních údajů
SBI	Správce bezpečnosti informací
SIS	Správce informačních systémů
IS	Informační systém
SSBOÚ	Systém správy bezpečnosti osobních údajů
PBOÚ	Politika bezpečnosti osobních údajů
PSIS	Pokyny pro správu informačních systémů

2. Přehled základních definic

Hovoří-li se ve stávající Politice bezpečnosti o:

1. Správci osobních údajů – rozumí se tím orgán, organizační jednotka, subjekt nebo osoba, rozhodující o účelu a prostředcích zpracování osobních údajů;
2. Správci bezpečnosti informací – rozumí se tím osoba určená Správcem osobních údajů, která dohlíží na dodržování pravidel, o kterých se hovoří v čl. 36 odst. 2 z.o.o.ú.;
3. Správci informačních systémů – rozumí se tím osoba nebo vnější subjekt, určený Správcem osobních údajů, odpovědný za funkci systémů a telekomunikačních sítí a za dodržování pravidel a požadavků bezpečnosti systémů a telekomunikačních sítí;
4. Oprávněné osobě – rozumí se tím osoba oprávněná Správcem osobních údajů ke zpracování osobních údajů. Uživatelem může být pracovník firmy, osoba pracující na základě smlouvy o dílo nebo jiné občanskoprávní smlouvy a také osoba pracující bezplatně, absolvující praxi nebo stáž.
5. Osobních údajích – rozumí se tím veškeré informace týkající se identifikované nebo identifikovatelné fyzické osoby. Identifikovatelná osoba je osoba, jejíž totožnost lze určit přímo nebo nepřímo, především prostřednictvím identifikačního čísla nebo jednoho či několika faktorů definujících její fyzickou, duševní, ekonomickou, kulturní nebo společenskou totožnost;
6. Souboru osobních údajů – rozumí se tím každý vlastněný soubor údajů osobního charakteru, dostupný podle stanovených kritérií, nezávisle na tom, zda je tento soubor rozptýlen nebo funkčně rozdělen;
7. Zpracování osobních údajů – rozumí se tím jakékoliv operace s osobními údaji, jako: shromažďování, zaznamenání, uchovávání, zpracování, změna, zpřístupnění a odstranění, především ty, které jsou prováděny v informačních systémech;
8. Informačním systému – rozumí se tím soubor vzájemně spolupracujících zařízení, programů, procedur zpracování informací a programových nástrojů použitých za účelem zpracování údajů;
9. Ochraně dat v informačním systému – rozumí se tím implementace a provoz příslušných technických a organizačních prostředků, jež zajišťují ochranu osobních údajů proti jejich neoprávněnému zpracování;
10. Bezpečnosti informací – rozumí se tím soubor pravidel, kterými je nutné se řídit při projektování a využívání systémů a aplikací sloužících ke zpracování informací, aby byl za každých okolností přístup k nim shodný s předpoklady;
11. Odstranění údajů – rozumí se tím zničení osobních údajů nebo taková jejich úprava, která znemožní zjištění totožnosti osoby, které se údaje týkají;
12. Souhlasu osoby, které se údaje týkají – rozumí se tím vyjádření vůle, jehož obsahem je souhlas se zpracováním osobních údajů toho, kdo vyjadřuje vůli. Souhlas nesmí být domnělý nebo předpokládaný z vyjádření vůle s jiným obsahem. Souhlas lze kdykoliv odvolat.
13. Příjemci údajů – rozumí se tím každý, komu jsou zpřístupněny osobní údaje, s výjimkou:
    1. osoby, které se údaje týkají,
    2. osoby oprávněné ke zpracování osobních údajů,
    3. zástupce, o kterém se hovoří v čl. 31a z.o.o.ú.,
    4. subjektu, o kterém se hovoří v čl. 31 z.o.o.ú.,
    5. státních orgánů nebo orgánů územní samosprávy, kterým jsou údaje zpřístupněny v souvislosti s vedeným řízením;;

14. Třetí zemi – rozumí se tím státy spadající do Evropského hospodářského prostoru;
15. Hesle – rozumí se tím řada znaků (písmena, číslice, jiné), kterou zná pouze uživatel oprávněný k práci v informačním systému;
16. Identifikátoru uživatele – rozumí se tím řada znaků (písmena, číslice, jiné), jednoznačně identifikující osobu oprávněnou ke zpracování údajů ve vyznačených oblastech informačního systému firmy;
17. Důvěrnosti údajů – rozumí se tím vlastnost, která zajistí, že údaje nejsou zpřístupněny neoprávněným osobám nebo subjektům;
18. Integritě údajů – rozumí se tím vlastnost, která zajistí, že osobní údaje nebyly změněny nebo zničeny neautorizovaným způsobem;
19. Sledovatelnosti údajů – rozumí se tím vlastnost, která zajistí, že jednání osoby nebo subjektu lze jednoznačně přiřadit pouze k této osobě nebo subjektu;
20. Uživateli informačního systému – rozumí se tím osoba oprávněná ke zpracování osobních údajů v informačních systémech, které byl přidělen unikátní identifikátor a heslo;
21. Ověření – rozumí se tím proces správné identifikace uživatele informačního systému v míře umožňující přidělení příslušných oprávnění nebo privilegií v informačním systému;
22. Incidentu – rozumí se tím porušení bezpečnosti osobních údajů s ohledem na důvěrnost, dostupnost a integritu;
23. Ohrožení - rozumí se tím potenciální možnost vzniku incidentu;
24. Nápravě – rozumí se tím činnost provedená za účelem eliminace příčiny incidentu nebo jiné nežádoucí situace;
25. Preventivním opatření – rozumí se tím opatření, které lze učinit za účelem eliminace příčiny ohrožení nebo jiné potenciální nežádoucí situace.

3. Úvod

Politika bezpečnosti osobních údajů upravuje pravidla zpracování osobních údajů a způsobů jejich ochrany, jako přehled práv, pravidel a doporučení upravujících způsob jejich správy, ochrany a distribuce ve firmě KOTT Sp. z o.o.
Politika obsahuje informace týkající se procesů zpracování osobních údajů a implementovaného technického a organizačního zabezpečení, zajišťujícího ochranu osobních údajů.
Stávající dokument je shodný s platnými právními předpisy, především se zákonem ze dne 29. srpna 1997 o ochraně osobních údajů s pozdějšími změnami a prováděcími předpisy, vydanými na jeho základě.


4. Účel Politiky bezpečnosti osobních údajů

Účelem Politiky bezpečnosti osobních údajů je stanovení a zavedení pravidel bezpečnosti a ochrany osobních údajů, které zpracovává firma KOTT Sp. z o.o., především:

1. zajištění splnění právních požadavků;
2. zajištění důvěrnosti, integrity a sledovatelnosti osobních údajů zpracovávaných ve firmě;
3. zvyšování povědomí osob, které zpracovávají osobní údaje;
4. angažování osob, které zpracovávají osobní údaje, do jejich ochrany.

5. Správce bezpečnosti informací

1. Správce osobních údajů jmenuje Správce bezpečnosti informací. Jmenování nastává písemně (vzor jmenování je přílohou Z1 - PBOÚ stávající PBOÚ).
2. Správce osobních údajů může jmenovat zástupce Správce bezpečnosti informací.
3. Správce osobních údajů poskytuje Správci bezpečnosti informací zmocnění k poskytování oprávnění ke zpracování osobních údajů.
4. Úkolem Správce bezpečnosti informací je dohled nad dodržováním pravidel a používaných technických a organizačních prostředků zajišťujících ochranu zpracovávaných osobních údajů ve firmě KOTT Sp. z o.o.
5. Správce bezpečnosti informací má následující práva související s úpravou pravidel bezpečnosti osobních údajů:
   1. Zpracování a schválení interních instrukcí,
   2. Autorizace smluv.

6. Správce bezpečnosti informací má následující kompetence související s plněním funkce dozoru::
   1. Právo poskytnout a dohlížet na přístupová práva k softwaru.
   2. Právo stanovit pravidla v oblasti antivirové ochrany a ochrany proti kybernetickým útokům

7. Správce osobních údajů může svěřit Správci bezpečnosti informací plnění jiných úkolů, které nenarušují řádné plnění úkolů uvedených v bodech 5-6.

6. Osoby oprávněné ke zpracování osobních údajů

K povinnostem osob oprávněných ke zpracování osobních údajů patří:

1. seznámit se s právními předpisy v oblasti ochrany osobních údajů a ustanoveními Politiky bezpečnosti osobních údajů a Pokyny pro správu informačních systémů;
2. dodržovat pokyny Správce bezpečnosti informací;
3. zpracovávat osobní údaje výhradně v rozsahu, který individuálně určí Správce osobních údajů v písemném oprávnění, a pouze za účelem plnění uložených služebních povinností;
4. neprodleně informovat Správce bezpečnosti informací o veškerých odchylkách týkajících se bezpečnosti osobních údajů zpracovávaných ve firmě;
5. chránit osobní údaje a prostředky používaných ke zpracování osobních údajů proti neoprávněnému přístupu, zveřejnění, úpravě, zničení nebo deformaci;
6. používat informační systémy firmy v souladu s pokyny obsaženými v návodech k obsluze zařízení, která jsou součástí informačních systémů;
7. udržet v tajnosti osobní údaje a způsoby jejich obrany (bez lhůty);
8. vynaložit mimořádné úsilí během zpracování osobních údajů za účelem ochrany zájmů osob, kterých se údaje týkají.

7. Základní pravidla ochrany osobních údajů

1. Všechny osobní údaje je nutné ve firmě zpracovávat v souladu s platnými právními předpisy.
2. Ve vztahu k osobám, jejichž osobní údaje jsou zpracovávány, je nutné splnit informační povinnost vyplývající z předpisů z.o.o.ú.
3. Shromážděné osobní údaje je nutné zpracovávat pro stanovené a právně podložené účely a nepodrobovat je dalšímu zpracování v rozporu s těmito účely.
4. Je nutné zajistit, aby zpracování osobních údajů probíhalo v souladu s pravidly věcné správnosti a adekvátně k účelům, pro které byly shromážděny.
5. Osobní údaje lze ve firmě zpracovávat nejdéle do doby, dokud je to nezbytné pro dosažení účelu jejich zpracování.
6. Je nutné zajistit důvěrnost, integritu a sledovatelnost osobních údajů zpracovávaných ve firmě.
7. Zpracovávané osobní údaje nesmí být zpřístupněny bez souhlasu osob, kterých se týkají, ledaže jsou tyto údaje zpřístupněny osobám, kterých se týkají, osobám oprávněným ke zpracování osobních údajů, subjektům, kterým byly údaje předány na základě svěřenecké smlouvy, a státním orgánům nebo orgánům územní samosprávy v souvislosti s vedeným řízením.
8. Zpracování osobních údajů ve firmě může probíhat jak v informačních systémech, tak v tradiční formě: kartotékách, seznamech, knihách, přehledech a jiných evidenčních prostředcích.
9. V rozsahu osobních údajů, jež jsou zpracovávány v jiných než informačních systémech, platí stále dosavadní předpisy o služebním tajemství, oběhu a ochraně služebních dokumentů.
10. Všechny osoby, jejichž údaje jsou zpracovávány, mají právo na ochranu údajů, které se jich týkají, na kontrolu zpracování těchto údajů a jejich aktualizaci, odstranění a také získání všech informací o svých právech.

8. Oprávnění ke zpracování osobních údajů

1. Ke zpracování osobních údajů a obsluze informačních souborů, které obsahují tyto údaje, mohou být připuštěny výhradně osoby mající oprávnění ke zpracování osobních údajů (vzor oprávnění je přílohou Z2-PBOÚ), vydané Správcem osobních údajů, a učinily příslušné prohlášení ohledně řádného plnění předpisů 1. z.o.o.ú. (vzor prohlášení je přílohou Z3-PBOÚ).
2. Správce osobních údajů vede evidenci osob oprávněných ke zpracování osobních údajů (vzor evidence je přílohou Z4-PBOÚ).

9. Pověření zpracováním osobních údajů

1. Správce osobních údajů může svěřit zpracování osobních údajů jinému subjektu za účelem realizace určitého cíle.
2. V situaci, kdy bude zpracováním osobních údajů pověřen jiný vnější subjekt, je nutné ve smlouvě o pověření zpracováním osobních údajů sjednat především účel a rozsah zpracování osobních údajů.

10. Zpřístupnění osobních údajů

Zpřístupnění osobních údajů ve firmě je přípustné na základě jednoho z právních základů v z.o.o.ú. (čl. 23.1 a čl. 27.2) nebo na základě předpisů jiných zákonů.

Správce bezpečnosti informací vede evidenci zpřístupňovaných osobních údajů institucím a osobám mimo firmu (vzor evidence je přílohou Z5-PBOÚ).


11. Předávání osobních údajů mimo Polsko

1. Správce osobních údajů může předávat osobní údaje do:
   1. států Evropského hospodářského prostoru;
   2. ostatních států (třetích zemí).
2. Předávání osobních údajů v rámci EHP je považováno za jejich zpracování na území Polska.
3. V případě předávání osobních údajů do třetích zemí je nutné splnit jednu z podmínek:
   1. cílový stát garantuje na svém území nejméně takovou ochranu osobních údajů, jaká platí na území Polské republiky;
   2. pokud zasílání osobních údajů vyplývá z povinnosti uložené právními předpisy nebo ustanoveními ratifikované mezinárodní smlouvy;
   3. bude splněn nejméně jeden z předpokladů, o kterých se hovoří v čl. 47 odst. 3 z.o.o.ú.
   4. s předáním osobních údajů bude souhlasit Generální inspektor pro ochranu osobních údajů.

12. Přehled budov, místností nebo částí místností, jež tvoří oblast, ve které jsou zpracovávány osobní údaje

Správce bezpečnosti informací je odpovědný za vedení a uchovávání dokumentace obsahující přehled budov, místností nebo částí místností, jež tvoří oblast, ve které jsou zpracovávány osobní údaje jak v papírové, tak elektronické podobě. Aktuální přehled oblastí zpracování osobních údajů obsahuje příloha Z6-PBOÚ.


13. Přehled souborů osobních údajů, včetně seznamu programů používaných pro zpracování těchto údajů

Správce bezpečnosti informací je odpovědný za vedení a uchovávání dokumentace obsahující přehled všech souborů osobních údajů, včetně přehledu programů použitých ke zpracování těchto údajů. Aktuální přehled souborů osobních údajů obsahuje příloha Z7-PBOÚ.


14. Popis struktury souborů osobních údajů

Správce bezpečnosti informací je odpovědný za vedení a uchovávání dokumentace obsahující popis struktury souborů osobních údajů zpracovávaných ve firmě. Aktuální přehled struktury souborů osobních údajů obsahuje příloha Z8-PBOÚ.


15. Popis způsobu toku údajů mezi jednotlivými systémy

Správce bezpečnosti informací je odpovědný za vedení a uchovávání dokumentace obsahující popis způsobu toku údajů mezi jednotlivými systémy. Aktuální popis způsobu toku údajů obsahuje příloha Z9-PBOÚ.


16. Určení technických a organizačních prostředků nezbytných pro zajištění důvěrnosti, integrity a sledovatelnosti zpracovávaných údajů

Správce bezpečnosti informací je odpovědný za vedení a uchovávání dokumentace obsahující určené technické a organizační prostředky nezbytné pro zajištění důvěrnosti, integrity a sledovatelnosti zpracovávaných údajů. Aktuální popis používaných technických a organizačních prostředků obsahuje příloha Z10-PBOÚ.


17. Trestní a pořádkové předpisy

Trestní a pořádkové předpisy upravuje:

1. zákon ze dne 29. srpna 1997 o ochraně osobních údajů (zák. z roku 2015 pol. 2135) čl. 49-54;
2. zákon ze dne 6. června 1997 trestní zákoník (zák. č. 88/1997 Sb., pol. 553 se zm.) - čl. 266;
3. zákon ze dne 26. června 1974 zákoník práce (zák. č. 21/1998 Sb., pol. 94 se zm.) - čl. 52 a čl. 108.

18. Závěrečná ustanovení

U záležitostí, které neupravuje stávající Politika bezpečnosti osobních údajů, mají uplatnění předpisy zákona ze dne 29. srpna 1997 o ochraně osobních údajů (zák. z roku 2015, pol. 2135) a prováděcí předpisy k tomuto zákonu.


19. Přílohy

Z1-PBOÚ – Jmenování na pozici Správce bezpečnosti informací;
Z2-PBOÚ – Oprávnění ke zpracování osobních údajů;
Z3-PBOÚ – Prohlášení ohledně řádného plnění předpisů z.o.o.ú.;
Z4-PBOÚ – Evidence osob oprávněných ke zpracování osobních údajů;
Z5-PBOÚ – Evidence zpřístupnění osobních údajů;
Z6-PBOÚ – Přehled budov, místností nebo částí místností, jež tvoří oblast, ve které jsou zpracovávány osobní údaje;
Z7-PBOÚ – Přehled souborů osobních údajů, včetně seznamu programů používaných pro zpracování osobních údajů;
Z8-PBOÚ – Popis struktury souborů osobních údajů;
Z9-PBOÚ – Popis způsobu toku údajů mezi jednotlivými systémy;
Z10-PBOÚ – Popis používaných technických a organizačních prostředků;
Z11-PBOÚ – Rejstřík incidentů a událostí.