VP o Ochraně a zpracování osobních údajů

Zaměstnavatel NMS Market Research s.r.o.

se sídlem U Nikolajky 1070/13, 150 00 Praha 5 (dále jen NMS“)

vydává v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“) tento:

VNITŘNÍ PŘEDPIS O OCHRANĚ A ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Slovníček pojmů

• Správce = jedná se o subjekt, který určuje, jak, proč a v jakém rozsahu se budou osobní údaje zpracovávat. V případě výzkumných projektů to může být zadavatel výzkumu, tedy klient, který má zároveň povinnost reagovat na uplatňování práv respondentů (v případě výzkumů na klientských dtb). V ostatních případech (zpracování osobních údajů z kontaktního formuláře na webu, zpracování osobních údajů za účelem uzavření smluvního vztahu, rekrutace z vlastní zdrojů, zpracování osobních údajů zaměstnanců apod.) je správcem NMS. 

• Zpracovatel = jedná se o subjekt, který zpracovává osobní údaje na pokyn Správce. V případě výzkumných projektů na klientských dtb je to ve většině případů NMS.

• Subjekt údajů = fyzické osoby, jejichž osobní údaje jsou zpracovávány. V případě výzkumných projektů jsou to respondenti, v dalších případech pak naši klienti, zájemci o spolupráci, uchazeči o zaměstnání a zaměstnanci.

• Osobní údaj = veškeré informace, na jejichž základě je možné identifikovat fyzickou osobu, tedy na jejichž základě lze konkrétně určit, o koho se jedná. Může to být například jméno, telefon, e-mail apod. Může se stát, že z jednoho údaje osobu identifikovat nelze, ale v kombinaci s jiným již ano.

  • Zvláštní kategorie osobních údajů (dříve citlivé údaje) = takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považování i genetické a biometrické údaje, pokud jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

• Zpracování = různé činnosti, které se provádějí s osobním údaji, například jejich shromažďování, zaznamenávání, ukládání, šíření, použití, výmaz atd. V případě výzkumných projektů to může být například využívání databáze kontaktů k telefonickému/online dotazování,
  v ostatních případech například využití osobních údajů pro přípravu pracovní smlouvy, pro odpověď na poptávku, realizaci výzkumného projektu apod.

• Pseudonymizace = zpracování osobních údajů tak, že už nemohou být přiřazeny konkrétní fyzické osobě bez použití dodatečných informací, které jsou uchovávány odděleně a vztahují se na ně příslušná technická a organizační opatření. V případě výzkumných projektů jde například o situaci, kdy při zpracování dochází k nahrazení osobních údajů respondenta číselným kódem na základě určitého klíče. A bez znalosti tohoto klíče není nikdo schopen identifikovat, že se pod číselným kódem skrývá ta která konkrétní fyzická osoba.

• Technicko-organizační opatření = opatření, která zavede Správce, respektive Zpracovatel, aby zajistil přiměřené zabezpečení zpracovávaných osobních údajů. Může to být například zmiňovaná pseudonymizace, zajištění bezpečnosti zařízení (počítačů a serverů), na kterých zpracovávání probíhá, ale i pravidelné proškolování zaměstnanců, kteří osobní údaje zpracovávají.

• Porušení zabezpečení osobních údajů (Data Breach) = porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů a které může mít za následek riziko pro práva a svobody fyzických osob.

Článek I. OBECNÁ OPATŘENÍ K ZAJIŠTĚNÍ SOULADU S GDPR

1. Pro zajištění souladu s GDPR se NMS při zpracování, uchovávání a zabezpečení osobních údajů, se kterými přijde do kontaktu při své činnosti - výzkumu trhu, řídí následujícími dokumenty:

• Nařízením Evropského Parlamentu a RADY (EU) 2016/679 ze dne 27. dubna 2016, které nabylo účinnosti 25. 5. 2018;

• ustanoveními zákona č. 110/2019 Sb., o zpracování osobních údajů; 

• ustanoveními § 504 zákona č. 89/2012 Sb., Občanský zákoník, ve znění pozdějších předpisů, o ochraně obchodního tajemství; 

• ustanoveními zákona č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti, ve znění pozdějších předpisů;

• ustanoveními zákona č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon);

• dalšími zákony týkající se bezpečnosti informací a informačních systémů;

• Mezinárodním oborovým kodexem ICC/ESOMAR;

• Kodexem a standardy SIMAR;

• Vnitřním předpisem o ochraně a zpracování osobních údajů;

• Interními technicko-organizačními opatřeními.

2. V souvislosti se zpracováním, uchováváním a zabezpečením osobních údajů určuje NMS tyto zodpovědné osoby:

• Ochrana osobních údajů, procesy, postupy, vnitřní předpisy - jednatelé, dále osoba v NMS odpovědná za ochranu osobních údajů a HR.

• IT bezpečnost - vedoucí IT oddělení (CTO).

• Dodržování vnitřních předpisů, ochrana dat - vedoucí jednotlivých oddělení.

• Správa souhlasů, jejich odvolávání a výmazy/anonymizace údajů - vedouci terénního oddělení, vedoucí oddělení kvantitativních analýz, HR a vedoucí IT (v souvislosti s automatizovanými anonymizačními procesy v NMS aplikacích).

• Aktualizace vnitřních předpisů a dokumentů - HR a  osoba v NMS odpovědná za ochranu osobních údajů.

3. Interní dokumenty jsou publikovány na internetovém portálu NMS „WIKI NMS“ a jsou přístupné všem zaměstnancům NMS. Informace o zpracování osobních údajů dle GDPR jsou publikovány veřejně na webových stránkách NMS na adrese https://nms.global/cz/gdpr-cz/ (na webových stránkách také v jednotlivých jazykových mutacích - EN, SK, HU).

4. Důležité dokumenty a materiály jsou dále přístupné všem zaměstnancům NMS ve složce N:\01_NMS\12_GDPR.

5. Každý zaměstnanec, spolupracovník, dodavatel, klient je obeznámen s pravidly ochrany osobních údajů v NMS a jsou uvedeny v zaměstnaneckých smlouvách, smlouvách s dodavateli nebo třetí stranou.

6. Každý zaměstnanec, spolupracovník, dodavatel je s pravidly seznámen při podpisu smlouvy, dále pak proškolen k projektům, které vyžadují dodržování pravidel ochrany osobních údajů a bezpečné nakládání s nimi.

Článek II. PRAVIDLA PRO NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI

1. Pravidla pro nakládání s osobními údaji zaměstnanců

   1. NMS se zavazuje nakládat s osobními údaji zaměstnanců v souladu s GDPR a zpracovává údaje pouze za účelem: plnění povinností zaměstnavatele vyplývajících z platných právních předpisů; plnění smluvních povinností vyplývajících zaměstnavateli z pracovní smlouvy nebo dohod konaných mimo pracovní poměr; ochrany jeho majetku a vymahatelnosti jeho nároků; a to po dobu a v rozsahu nezbytném k dosažení těchto účelů.

   2. Zaměstnanec podpisem pracovní smlouvy či dohody konané mimo pracovní poměr prohlašuje, že byl zaměstnavatelem informován o svém právu vznést námitku proti zpracování údajů pro účely oprávněných zájmů zaměstnavatele, tj. ochranu majetku a vymahatelnosti nároků zaměstnavatele a dále prohlašuje, že byl zaměstnavatelem informován o svých právech souvisejících se zpracováním jeho údajů, jejichž platnost stvrdil svým podpisem.

   3. Zaměstnanec bere na vědomí, že pokud při plnění svých pracovních úkolů přichází do styku s osobními údaji ve smyslu právních předpisů upravujících ochranu osobních údajů, je povinen dodržovat vnitřní předpisy a pokyny zaměstnavatele týkající se ochrany osobních údajů a zákonnou povinnost mlčenlivosti o osobních údajích a opatřeních zajišťujících zabezpečení osobních údajů zpracovávaných zaměstnavatelem. Zaměstnanec není oprávněn při plnění svých pracovních úkolů dle této dohody postupovat v rozporu s interními předpisy a pokyny zaměstnavatele. Osobní údaje, k nimž získá přístup při plnění svých pracovních úkolů, není oprávněn jakkoliv využít (tj. kopírovat je, měnit, mazat, zpřístupnit neoprávněné osobě apod.) pro jakékoliv jiné účely než plnění pracovních úkolů uložených mu zaměstnavatelem.

2. Pravidla pro nakládání s osobními údaji dodavatelů

   1. NMS se zavazuje nakládat s osobními údaji dodavatelů v souladu s GDPR a zpracovávat údaje pouze za účelem: plnění povinností vyplývajících z platných právních předpisů; plnění smluvních povinností vyplývající z rámcové nebo příkazní smlouvy nebo jiné smlouvy; ochrany jeho majetku a vymahatelnosti jeho nároků; a to po dobu a v rozsahu nezbytném k dosažení těchto účelů.

   2. Dodavatel podpisem rámcové nebo příkazní smlouvy nebo jiné smlouvy prohlašuje, že byl NMS informován o svém právu vznést námitku proti zpracování údajů pro účely oprávněných zájmů NMS, tj. ochranu majetku a vymahatelnosti nároků NMS a dále prohlašuje, že byl NMS informován o svých právech souvisejících se zpracováním jeho údajů, jejichž platnost stvrdil svým podpisem.

   3. Dodavatel je oprávněn obrátit se při uplatňování uvedených práv přímo na objednatele.

3. Pravidla pro nakládání s osobními údaji osob zastupujících zadavatele výzkumu

   1. NMS se zavazuje nakládat s osobními údaji osob zastupujících zadavatele výzkumu v souladu s GDPR a pouze za účelem: komunikace ohledně výzkumných projektů, domlouvání pracovních schůzek a pro marketingové účely (informace o nových produktech, pozvánky na klientské akce atd.), a to po dobu a v rozsahu nezbytném k dosažení těchto účelů. 

   2. Osoby zastupující zadavatele výzkumu jsou oprávněny se při uplatňování svých práv obrátit přímo na NMS.

4. Pravidla pro nakládání s osobními údaji respondentů výzkumu

   1. Předmětem výzkumných projektů NMS není sběr osobních údajů a detailů za jednotlivce, sebraná data se zpracovávají hromadně. Přesto je v některých případech potřeba zpracovávat osobní údaje (zejména kontaktní údaje, údaje pro účetnictví atd.). Ve všech případech platí, že ke zpracovávání osobních údajů dochází v co nejnižší možné míře, NMS se řídí principem minimalizace zpracovávaných osobních údajů a zpracovává osobní údaje pouze po dobu nezbytně nutnou k naplnění účelu výzkumného projektu tak, aby nedošlo k poškození respondenta, a pro účely oprávněných zájmů chránit své právní nároky.

   2. Při zpracování osobních údajů jsou dodržována pravidla v souladu s GDPR - zpracování osobních údajů respondentů probíhá na základě jejich souhlasu, nebo oprávněného zájmu správce (typicky výzkumy zákaznické spokojenosti a všechny kontroly kvality sběru dat), o této skutečnosti je respondent informován dle požadavků GDPR a doporučení vypracovaných sdružením SIMAR. Všichni zaměstnanci a externí pracovníci, kteří tvoří první linii kontaktu s respondentem, jsou povinni dodržovat postup získání souhlasu, nebo poskytnutí informace o zpracování osobních údajů, který pro každý projekt stanoví jeho vedoucí, respektive osoba v NMS odpovědná za ochranu osobních údajů. Tento postup je komunikován prostřednictvím písemných pokynů - pokyny komunikují nadřízení jednotlivých týmů, HR a osoba v NMS odpovědná za ochranu osobních údajů.

   3. Souhlas se zpracováním osobních údajů respondentů obsahuje následující informace:

• Potvrzení dobrovolné účasti na výzkumu.

• Zpracování osobních údajů a uchování po stanovenou dobu (zpravidla 2-3 roky).

• Závazek agentury nepředávat tyto informace dalším osobám kromě osob spolupracujícím na výzkumu.

• Možnost agentury pořizovat audio, video nahrávku z výzkumu.

• Informaci o tom, že se řídíme pravidly SIMAR (https://simar.cz/standardy) a

ESOMAR (https://esomar.org/uploads/attachments/ckqtgcyjq01l9mhtrz0qee5u1-iccesomar-code-czech.pdf).

• Možnosti  vysvětlení, omezení zpracování, doplnění, opravení a likvidaci  osobních údajů, právo na výmaz z dtb agentury.

• Kontakt na agenturu, konkrétní místo, kde je uloženo Prohlášení agentury ohledně zpracování osobních údajů.

• Závazek nesdílet informace z výzkumu dalším osobám.

4. Souhlasy se zpracováním osobních údajů respondentů jsou uloženy v databázi agentury převážně ve formě elektronické (účastníci výzkumu vyplňují online dotazník a to buď samostatně nebo s asistencí zaměstnance NMS Market Research), ve velmi omezeném množství se souhlas uděluje písemně, dokumenty jsou pak založeny v zabezpečeném archivu NMS Market Research s.r.o., do kterého mají přístup pouze pověřené osoby.

5. Povinnosti zaměstnanců NMS při zpracování a ochraně osobních údajů

   1. Každý zaměstnanec, dodavatel i třetí strany jsou před udělením přístupu k osobním údajům, případně k zvláštním kategoriím osobních údajů řádně vyškoleni. Udělení přístupu je možné nejdříve po absolvování tohoto školení, které je stvrzené podpisem zaměstnanecké smlouvy, dodatku k pracovní smlouvě nebo jiným právně platným dokumentem, či smlouvy upravující vztah s dodavatelem či třetí stranou. 

   2. V případech udělení oprávnění dodavatelů/externistů a třetích stran je oprávnění uděleno vždy individuálně v závislosti na konkrétních potřebách, které jsou vždy schváleny vedoucím pracovníkem příslušného oddělení, ke kterému dodavatel/externista, či třetí strana náleží. 

   3. V případě ukončení pracovního poměru se zaměstnancem jsou přístupová práva s okamžitou platností deaktivována a je tak okamžitě zakázán přístup do veškerých systémů a datových úložišť NMS.

   4. Všichni zaměstnanci, kteří se podílejí na zpracování osobních údajů, jsou seznámeni se zásadami zpracování a ochrany osobních údajů ve smyslu právní úpravy uvedené výše. 

   5. Zaměstnanci jsou povinni osobní údaje zpracovávat výhradně v rámci svých pracovních náplní. 

   6. Příslušní zaměstnanci se vyvarují jakéhokoliv jednání, které by vedlo k neoprávněnému zveřejnění osobních údajů. 

 Článek III. SPRÁVA A ŘÍZENÍ VÝZKUMNÝCH PROJEKTŮ Z POHLEDU OSOBNÍCH ÚDAJŮ

1. Obecné pokyny pro správu a řízení projektů 

   1. Pro každý nový projekt v NMS musí být provedeny mimo jiné následující kroky/úkony:

• založení projektu v Intranetu,

• založení adresáře na projektovém disku,

• vyplnění Rodného listu projektu,

• brief se zaměstnanci, případně dodavateli a třetími stranami, kteří budou na projektu pracovat,

• další úkony, specifické pro každý daný projekt.

2. Rodný list projektu

   1. Rodný list projektu je soubor, který je automaticky uložen v adresářové struktuře projektu na projektovém disku ve složce 09_GDPR. V případě kvantitativních projektů odpovídá za vyplnění Rodného listu projektu vedoucí oddělení kvantitativních analýz (produkce), případně osoba jím pověřená, v případě kvalitativních projektů a mystery shoppingů odpovídá za Rodný list vedoucí terénního oddělení, případně osoba jím pověřená. V případě projektů jiného typu je vyplnění Rodného listu konzultováno vedoucím projektu  s osobou v NMS odpovědnou za ochranu osobních údajů.

   2. Pro každý projekt se vždy vyplňuje následující část Rodného listu:

• Základní údaje o projektu - základní informace o projektu; zpracovávané osobní údaje; definice správce, zpracovatele a případně příjemce. 

3. Následující části Rodného listu se vyplňují dle informací v části Základní údaje v projektu:

• Osobní údaje - definice subjektů údajů, kategorie osobních údajů;

• Osoby zapojené do projektu - evidence osob zapojených do projektu, které nejsou evidované v Intranetu (tedy např. externí moderátoři, analytici atd.);

• Záznamy o zpracování - zápis událostí typu uplatnění práv, pokyny správce/klienta, únik dat, kontrola, ostatní;

• Analýza rizik a přínosů.

3. Trezorový adresář (“Hlavní trezor”)

   1. Hlavní trezor je adresář, ve kterém jsou nastavena omezená přístupová práva a slouží k uložení osobních údajů, které se používají pro výzkumné a další účely v rámci výzkumných projektů, a především jejich uchovávání po dobu nezbytně nutnou po ukončení výzkumného projektu.

   2. Hlavní trezor je přístupný na síťovém disku: N:\18_HLAVNI-TREZOR

   3. Do adresáře mohou zaměstnanci zapisovat soubory, vytvářet adresáře a celé adresářové struktury. 

   4. Každý den ve 23:00 se automaticky celému obsahu adresáře, včetně podadresářů nastaví speciální práva:

• uživatel s běžnými právy může adresář a v něm existující soubory procházet, ale nemůže je vykopírovat mimo Hlavní trezor a ani je číst;

• uživatel se speciálními právy (vedoucí kvantitativního oddělení, vedoucí terénního oddělení a vedoucí IT oddělení a osoba odpovědná za ochranu osobních údajů) má plná přístupová práva.

5. Za správu souborů (včetně jejich smazání po uplynutí nastavené lhůty - zpravidla 6 nebo 12 měsíců) uložených v tomto adresáři, respektive v jednotlivých podadresářů odpovídají osoby na pozicích uvedených v předchozím bodě.

4. CATI projekty (telefonické dotazování)

   1. Za správu a průběh CATI projektů odpovídá CATI manager, případně pověřený pracovník oddělení field.

   2. Pro realizaci CATI projektů se využívá interní NMS CATI aplikace, kterou spravuje CATI manager.

   3. Přístup do jednotlivých projektů je řízen CATI managerem, který uděluje příslušná přístupová práva dle uživatelských rolí: Admin, Supervize, Analytik, Account, Operátor. Konkrétní přístupová práva pro jednotlivé uživatelské role poskytne na vyžádání CATI manager.

   4. Zdrojem telefonních čísel pro CATI projekty jsou především:

• Databáze (především zákazníků či zaměstnanců) poskytnuté zadavatelem výzkumu - v těchto případech je vždy uzavřena smlouva o zpracování osobních údajů, v níž je zadavatel (klient) v roli správce a NMS v roli zpracovatele. 

• Databáze narekrutovaných respondentů (z Českého národního panelu, od externích spolupracovníků atd.).

• Interní databáze respondentů (uchovávané a zpracovávané v souladu s platnou legislativou).

• Další typy databází (např. B2B databáze s obecnými kontakty; uchované a zpracovávané s souladu s platnou legislativou) - v těchto případech respondent po kontaktování vždy musí vyjádřit souhlas s dalším dotazováním a zpracováním osobních údajů.

• Náhodně generovaná čísla - v těchto případech respondent po kontaktování vždy musí vyjádřit souhlas s dalším dotazováním a zpracováním osobních údajů. V případě výzkumu z náhodně generovaných čísel se respondenta ptáme, zda bychom ho mohli v budoucnu kontaktovat s dalším výzkumem, a pro ten účel si uchovat jeho kontaktní údaje spolu se sociodemografickými údaji (zejména pohlaví, věk, velikost místa bydliště, vzdělání, region). Pokud respondent souhlasí, jsou jeho kontaktní údaje a poskytnuté sociodemografické údaje přesunuty do interní CATI databáze. K této databázi má přístup pouze CATI manager.

5. V úvodu rozhovoru je respondent vždy informován o původu kontaktu, monitorování rozhovoru a svých právech, respektive uděluje souhlas s dotazováním.

6. Fáze CATI projektu s ohledem na zpracování osobních údajů:

• Příprava projektu: založení projektu v CATI aplikaci a jeho nastavení, definice přístupových práv na základě uživatelských rolí.

• Příprava databáze: úprava databáze pro CATI dotazování, nahrání databáze do aplikace - pouze nezbytně nutné údaje pro dotazování. V této fázi je zapojen ve většině případů mimo CATI managera také vedoucí projektu.

• Realizace dotazování: CATI manager v případě potřeby spravuje zařazování kontaktů na blacklist (na základě žádosti respondentů), případně vyřizuje uplatnění práv respondentů (pokud se nejedná o respondenty z klientských dtb).

• Ukončení projektu: uzavření projektu v CATI aplikaci; předání kontaktů zařazených na blacklist vedoucímu projektu, který je domluveným a zabezpečeným způsobem předá zadavateli výzkumu (pokud jde o dotazování na jeho databázi).

• Anonymizace projektu: po uplynutí definované doby nebo na základě ruční úpravy CATI managera dojde k anonymizaci ukončených projektů - anonymizace osobních údajů, smazání nahrávek, smazání logů.

7. Pokud zadavatel výzkumu požaduje náslechy nahrávek z důvodu kontroly práce operátorů a průběhu rozhovoru, jsou mu poskytnuty anonymizované nahrávky.

8. Při realizaci CATI projektů se řídíme standardy, které jsou stanoveny asociací SIMAR.

5. CAWI projekty na databázi (on-line dotazování)

   1. Za správu a průběh CAWI projektů na databázi odpovídá vedoucí oddělení kvantitativních analýz.

   2. Pro realizaci CAWI projektů na databázi se využívá interní NMS CAWI aplikace, kterou spravuje vedoucí oddělení kvantitativních analýz, respektive jím pověření pracovníci.

   3. Přístup do jednotlivých projektů je řízen vedoucím oddělení kvantitativních analýz, respektive pověřenými pracovníky, kteří udělují příslušná přístupová práva dle uživatelských rolí: Admin, Analytik, AM/Field. Konkrétní přístupová práva pro jednotlivé uživatelské role poskytne na vyžádání vedoucí oddělení kvantitativních analýz.

   4. Zdrojem kontaktů pro CAWI projekty na databázi jsou především:

• Databáze (především zákazníků či zaměstnanců) poskytnuté zadavatelem výzkumu - v těchto případech je vždy uzavřena smlouva o zpracování osobních údajů, v níž je zadavatel (klient) v roli správce a NMS v roli zpracovatele. 

• Databáze narekrutovaných respondentů (z Českého národního panelu, od externích spolupracovníků atd.).

• Interní databáze respondentů (uchovávané a zpracovávané v souladu s platnou legislativou).

• Další typy databází (např. B2B databáze s obecnými kontakty; uchované a zpracovávané s souladu s platnou legislativou).

5. V pozvánce k výzkumu je respondent vždy informován o původu kontaktu a svých právech, zároveň má možnost se z rozesílání pozvánek do výzkumu odhlásit (buď přes standardizované NMS řešení nebo dle domluvy s klientem).

6. Fáze CAWI projektu na databázi s ohledem na zpracování osobních údajů:

• Příprava projektu: založení projektu v CAWI aplikaci a jeho nastavení, definice přístupových práv na základě uživatelských rolí.

• Příprava databáze: úprava databáze pro CAWI dotazování, nahrání databáze do aplikace - pouze nezbytně nutné údaje pro dotazování. V této fázi je zapojen ve většině případů mimo pověřeného pracovníka z analytického oddělení také vedoucí projektu.

• Realizace dotazování: vedoucí oddělení kvantitativních analýz v případě potřeby spravuje zařazování kontaktů na blacklist (na základě žádosti respondentů), případně vyřizuje uplatnění práv respondentů (pokud se nejedná o respondenty z klientských dtb).

• Ukončení projektu: uzavření projektu v CAWI aplikaci; předání kontaktů zařazených na blacklist vedoucímu projektu, který je domluveným a zabezpečeným způsobem předá zadavateli výzkumu (pokud jde o dotazování na jeho databázi).

• Anonymizace projektu: po uplynutí definované doby nebo na základě ruční úpravy vedoucího oddělení kvantitativních analýz dojde k anonymizaci ukončených projektů - anonymizace osobních údajů (anonymizují se nahrané dtb a osobní údaje v datech pocházející z nahrané dtb).

6. CAWI projekty na on-line panelech (on-line dotazování)

   1. Za správu a průběh CAWI projektů na online panelech odpovídá vedoucí oddělení kvantitativních analýz.

   2. Pro realizaci CAWI projektů na online panelech se využívá interní NMS CAWI aplikace, kterou spravuje vedoucí oddělení kvantitativních analýz, respektive jím pověření pracovníci.

   3. Přístup do jednotlivých projektů je řízen vedoucím oddělení kvantitativních analýz, respektive pověřenými pracovníky, kteří udělují příslušná přístupová práva dle uživatelských rolí: Admin, Analytik, AM/Field. Konkrétní přístupová práva pro jednotlivé uživatelské role poskytne na vyžádání vedoucí oddělení kvantitativních analýz.

   4. Správa online panelu, členství respondentů a vyřizování uplatnění jejich práv, rozesílání pozvánek a řízení sběru je vždy plně v kompetenci daného online panelu, který je pro sběr využíván, a který je ze své pozice zodpovědný za to, že všechny procesy jsou prováděny v souladu s platnou legislativou.

   5. Během sběru dat na online panelech není ve většině případů od respondentů vyžadováno uvádění osobních údajů, nedochází tedy ani k jejich zpracování. Výjimku tvoří rekrutace respondentů, případně zařazení do soutěží (tipovačky) jako bonus k odměně za zúčastnění se na výzkumu - v těchto případech uvádějí respondenti své osobní údaje. Respondenti jsou vždy informováni o účelu zpracování uváděných osobních údajů a svých právech. Zpracování poskytnutých osobních údajů probíhá v souladu s platnou legislativou a v souladu s obecnými pravidly uvedenými v tomto Vnitřním předpisu. 

   6. Fáze CAWI projektu na online panelech s ohledem na zpracování osobních údajů:

• Příprava projektu: založení projektu v CAWI aplikaci a jeho nastavení, definice přístupových práv na základě uživatelských rolí.

• Ukončení projektu: uzavření projektu v CAWI aplikaci.

• Anonymizace projektu: po uplynutí definované doby nebo na základě ruční úpravy vedoucí oddělení kvantitativních analýz dojde k anonymizaci ukončených projektů - anonymizace osobních údajů, pokud v projektu existují.

7. CAPI /CLT projekty (osobní dotazování)

   1. Za správu a průběh CAPI projektů odpovídá vedoucí terénního oddělení a jím pověřený koordinátor, který samotný CAPI výzkum realizuje.

   2. Pro realizaci projektů se využívá interní NMS WD40 aplikace, přístup do jednotlivých projektů je řízen vedoucím terénního oddělení. 

   3. V průběhu osobního dotazování CAPI se nesbírají žádné osobní údaje respondentů. V rámci kontroly kvality práce tazatele se nicméně může pořizovat nahrávka úseků rozhovoru u vybraných otázek, mohou se pořizovat fotografie u vybraných otázek a zaznamenávají se GPS souřadnice. Nahrávky a fotografie jsou uloženy v interním systému WD40. Kontrolu nahrávek realizuje pověřený koordinátor nebo supervizor projektu. Nahrávky, fotografie a GPS souřadnice podléhají po ukončení projektu standardnímu anonymizačnímu procesu. Řídíme se standardy, které jsou stanoveny asociací SIMAR.

   4. Pokud je v projektu typu CLT vyplácena finanční odměna, postupuje se stejně jako v případě Kvalitativních projektů (viz následující odst. 8)

8. Kvalitativní (KVALI) projekty

   1. Za správu a průběh Kvalitativních projektů odpovídá vedoucí terénního oddělení a jím pověřený koordinátor, který konkrétní KVALI výzkum realizuje.

   2. Při rekrutaci do KVALI projektů se využívá interní NMS CAWI nebo CATI aplikace, případně externé rekrutátoři (respondenti jsou rekrutováni zpravidla z klientské databáze či vlastních zdrojů, včetně externích rekrutátorů).

   3. Za přidělení projektů koordinátorům a následnou realizaci projektů včetně dozoru nad průběhem projektů je odpovědný vedoucí terénního oddělení. 

   4. Zpravidla respondenti dostávají za účast v KVALI výzkumu finanční odměnu, z tohoto důvodu vyplňují před realizací výzkumu online dotazník/formulář (Kvaliform, Singleform nebo Cashform), ve kterém nám poskytují potřebné osobní a účetní údaje, včetně souhlasu se zpracováním osobních údajů, jehož obsah je popsán v Článku II, odst. 4, bodě 4.3. toho Vnitřního předpisu.

   5. Po realizaci výplat respondentům jsou osobní údaje účastníků výzkumu uvedené v exportovaných Excel dokumentech přesunuty do Hlavního trezoru, viz odst. 3, Článku III tohoto Vnitřního předpisu. 

   6. V případě, že se KVALI výzkum realizuje na respondentech z databáze klienta, se pak databáze klienta taktéž přesouvá do Hlavního trezoru.

   7. Pokud je nutno použít při KVALI projektu papírovou formu souhlasu a papírové potvrzení vydání hotovosti respondentům za účast ve výzkumu, tak se dokumenty uloží v zabezpečeném archivu NMS Market Research s.r.o., do kterého mají přístup pouze pověřené osoby.

   8. Pro zpětnou kontrolu respondentů je vedena databáze účastníků kvalitativních výzkumů. Databáze je uložena na sdíleném disku, přístup do ní je chráněn heslem, které znají pouze pověření pracovníci. Databáze obsahuje jméno a příjmení respondenta, číslo projektu, datum realizace výzkumu, výše vyplacené odměny, jméno rekrutátora, lokalita realizace projektu, jméno moderátora, forma účasti a e-mail respondenta. Údaje v databázi jsou uchovávány maximálně dva roky od posledného projektu daného respondenta.

   9. Při realizaci KVALI projektů se řídíme se standardy, které jsou stanoveny asociací SIMAR.

9. Mystery shoppingové projekty

   1. U tohoto typu projektu spravujeme pouze osobní údaje našich externích spolupracovníků, kteří s agenturou uzavírají pracovní smlouvu DPP nebo fakturují jako OSVČ. Výjimečně spolupracujeme s mystery shopperem na bázi tzv. Jednorázové spolupráce, v tomto případě postupujeme stejně jako u KVALI projektů, tato osoba nám vyplňuje tzv. Singleform, po ukončení projektu se elektronický dokument přesouvá do Hlavního trezoru. 

   2. Od kontrolovaných subjektů v průběhu mystery shoppingu (např. retail, banka, horecca) žádné osobní údaje nezískáváme.

   3. Při realizaci MS projektů se řídíme se standardy, které jsou stanoveny asociací SIMAR.

10. Ostatní projekty

    1. V případě realizace jiného typu projektů, než které jsou popsány výše, se v otázce zpracování osobních údajů postupuje obdobným způsobem. 

 Článek IV. POSTUPY PŘI NAPLŇOVÁNÍ PRÁV SUBJEKTŮ ÚDAJŮ

1. Subjekt údajů má v souvislosti s osobními údaji níže uvedená práva. NMS může vyřizovat toto uplatňování práv v případě, že ve výzkumném projektů vystupuje jako správce osobních údajů. V případě, že je NMS ve výzkumném projektu v pozici zpracovatele osobních údajů, musí žádosti o uplatnění práv předat správci osobních údajů a dále jednat podle jeho pokynů. Výjimku tvoří zařazení respondentů do interních blacklistů NMS, kam jsou respondenti zařazeni vždy, pokud o to požádali. Zároveň ale musí být předána informace správci osobních údajů, že daný subjekt údajů požádal o vyřazení z dtb.

2. Subjekt údajů má v souvislosti s osobními údaji následující práva:

   1. Právo na informace: Subjekt údajů má právo kdykoliv požadovat bezplatnou informaci o zpracování jeho osobních údajů (zejména identifikaci správce a zpracovatele, případně dalších zpracovatelů; informaci o účelech zpracování, kategorii dotčených osobních údajů, příjemcích či kategorii příjemců osobních údajů, době, po kterou budou osobní údaje zpracovávány a uloženy; veškeré dostupné informace o zdroji osobních údajů; zda zpracovávání probíhá na základě oprávněného zájmu správce nebo třetí strany; informaci o skutečnosti, zda dochází k automatizovanému rozhodování, včetně profilování). Pověřená osoba, viz Článek I, odst. 2 tohoto Vnitřního předpisu, vyhodnotí validitu požadavku subjektu údajů a v případě kladného posouzení poskytne informace subjektu údajů. Pokud bude žádost vyhodnocena jako zjevně nedůvodná nebo nepřiměřená, zejména pokud se bude opakovat, může NMS odmítnout žádosti vyhovět nebo uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů.

   2. Právo na opravu: Subjekt údajů má právo požádat o opravu zpracovávaných osobních údajů, pokud zjistí, že nejsou aktuální. Pověřená osoba následně provede opravu údajů a potvrdí tuto opravu subjektu údajů.

   3. Právo vznést námitku: Pokud se subjekt údajů domnívá, že NMS zpracovává jeho osobní údaje v rozporu s platnou legislativou, může proti tomuto zpracovávání vznést námitku a požádat NMS o vysvětlení, požadovat, aby NMS odstranilo takto vzniklý stav, zejména může požadovat blokování, opravu, doplnění nebo vymazání osobních údajů. Právem subjektu údajů je také obrátit se se stížností proti zpracovávaným osobním údajům na příslušný dozorový orgán, kterým je Úřad pro ochranu osobních údajů, Pplk. Sochora 727/27, 170 00 Praha 7.

   4. Právo na výmaz a odvolání souhlasu: Subjekt údajů má právo kdykoliv odvolat svůj poskytnutý souhlas se zpracováním osobních údajů. V takovém případě budou jeho osobní údaje vymazány a data anonymizována. Právo na výmaz se netýká osobních údajů, které NMS potřebuje ke splnění zákonných povinností či k ochraně svých oprávněných zájmů. Osobní údaje subjektu údajů budou vymazány také tehdy, pokud již nebudou potřeba pro výzkumný projekt či další spolupráci nebo jestliže bude jejich uložení nepřípustné z jiných zákonem stanovených důvodů, případně pokud bude námitka subjektu údajů proti zpracovávání osobních údajů vyhodnocena jako oprávněná. Úkony s tímto právem spojené provede oprávněná osoba.

   5. Právo na omezení zpracování: Subjekt údajů má právo požádat, aby NMS omezila zpracování jeho osobních údajů v případě, že se bude domnívat, že osobní údaje, které o něm NMS má, jsou nepřesné, zpracování neprobíhá v souladu s platnou legislativou, osobní údaje již nejsou potřeba pro daný výzkumný projekt a v případě, že vznesl námitku a bude probíhat její vyhodnocování.

   6. Právo na přenositelnost údajů: V případě, že subjekt údajů poskytl NMS svůj souhlas se zpracováním osobních údajů nebo je zpracování nezbytné pro splnění smlouvy nebo pro provedení opatření přijatých před uzavřením smlouvy a zpracování probíhá automatizovaně, má právo NMS požádat o to, aby mu poskytla osobní údaje, které o něm uchovává ve strukturovaném, běžně používaném a strojově čitelném formátu.

   7. Právo nebýt součástí automatizovaného individuální rozhodování, včetně profilování: Subjekt údajů má právo nebýt předmětem žádného rozhodnutí založeném výhradně na automatizovaném zpracování, včetně profilování, které má pro něj právní účinky nebo se ho obdobným způsobem významně dotýká. Toto neplatí, pokud k automatizovanému rozhodování, včetně profilování dá svůj souhlas, je to nezbytné k uzavření smlouvy nebo je to povoleno právním řádem.

3. Subjektu údajů může uplatnit svá práva u společnosti NMS Market Research s.r.o. telefonicky na telefonním čísle 222 351 611, elektronickoou poštou na e-mailu gdpr@nms.cz, prostřednictvím webové stránky www.nms.cz, osobně na adrese sídla firmy U Nikolajky 1070/13, 150 00 Praha 5 - Smíchov, anebo jiným dostupným způsobem (např. zařazení na blacklist, viz níže). 

4. Uplatňování práv subjektů údajů je v NMS evidováno následovně:

   1. CATI projekty (telefonické dotazování): Evidováno v integrovaném blacklistu v NMS CATI aplikaci. Blacklist obsahuje vyřazené telefonní číslo, projekt, v jehož rámci respondent požádal o vyřazení, operátora, respondent ID, datum zařazení na blacklist a důvod zařazení. Na blacklist může telefonní číslo zařadit operátor, supervize nebo CATI manager, a to na přímou žádost respondenta. Do CATI blacklistu je omezený přístup a podléhá anonymizačnímu procesu.

   2. CAWI projekty na databázi (on-line dotazování): Evidováno v integrovaném blacklistu v NMS CAWI aplikaci. Blacklist obsahuje vyřazený e-mail, datum zařazení na blacklist, informaci, zda se vyřazení týká všech projektů nebo jen jednoho konkrétního projektu a projekt, v jehož rámci respondent požádal o vyřazení. Na blacklist se může respondent zařadit sám skrze volbu v e-mailové pozvánce, případně ho může na blacklist zařadit vedoucí oddělení kvantitativních analýz, respektive jím pověření pracovníci. Do CAWI blacklistu je omezený přístup a podléhá anonymizačnímu procesu.

   3. Kvalitativní projekty a ostatní projekty (pokud se v nich pracuje s osobními údaji): Evidováno v Evidenci uplatňování práv, která je uložena v Trezorovém adresáři - Hlavním trezoru (N:\18_HLAVNI-TREZOR). Eviduje se datum žádosti, způsob žádosti, kontaktní údaje žadatele, datum vyřízení, způsob vyřízení a informaci o tom, kdo žádost vyřídil. Evidenci vedou oprávněné osoby, především z oddělení Field.

   4. Externisté: V případě, že externista chce ukončit spolupráci, požádá o to pracovníka Field oddělení nebo recepce (telefonem, emailem, CAWI dotazníkem nebo dalšími komunikačními kanály). Pověřený pracovník ověří, zda lze externistu vyřadit (obsazení na projektu, nevyplacené odměny, držení HW apod.). Pokud je s externistou podepsána platná smlouva, je tato písemně ukončena. Ukončení smlouvy mu je zasláno emailem, po vyplacení všech odměn je vyřazen ze systému a informace takového externisty jsou anonymizovány. V systému zůstávají pouze informace potřebné k vyplacení odměn (pokud má externista nárok na odměnu) a tyto informace jsou viditelné pouze pro zaměstnance zodpovědné za vyplácení odměn. Pokud externista nemá smlouvu, pouze se vyřadí ze systému. U takového externisty se anonymizují veškeré údaje. K vyřazení může dojít i ze strany NMS. Je to z důvodu špatné kvality práce, neplnění úkolů, negativních výsledků kontroly jeho práce apod. Takto vyřazený externista má status “vyřazen NMS”. Před vyřazením je písemně informován, že bude vyřazen a z jakého důvodu. Postup při vyřazení je shodný s postupem uvedeným výše.

   5. Zaměstnanci/Potenciální zaměstnanci: HR oddělení eviduje datum žádosti a způsob jejího vyřízení, případně další doplňující informace.

   6. Ostatní: Zpravidla se postupuje dle bodu 4.5. tohoto odstavce, případně dle nejvíce podobného případu z výše uvedených.

ČLÁNEK V. TECHNICKO-ORGANIZAČNÍ OPATŘENÍ

1. Zabezpečení přístupu do míst, kde dochází ke zpracování osobních údajů

   1. Budova

• Vstup do budovy je umožněn pouze přes recepci u hlavního vchodu.

• Klienti, potenciální zaměstnanci, freelanceři, dodavatelé a další osoby bez vstupních klíčů musí pro vstup do budovy využit zvonku u hlavních dveří. Vstupní prostor/recepce jsou monitorovány bezpečnostními kamerami. 

• Návštěvníkům není dovoleno se volně pohybovat v budově, ale jsou po celou dobu návštěvy doprovázeni zaměstnancem NMS.

• Všechny vstupní body do budovy jsou monitorovány bezpečnostními kamerami.

• Zaměstnanci musí pří vstupu projít přes recepci.

• Pro přístup do kanceláří musí mít zaměstnanci přístupové klíče.

• Neoprávněné návštěvy nejsou v kancelářích povoleny.

• Serverovny mají vlastní systém uzamčení. Jediné osoby, které mají přístup k tomuto systému, jsou CTO a systémoví administrátoři.

2. Interní IT systémy

• Všechny interní IT systémy jsou chráněny heslem v kombinaci s ověřováním uživatele za pomoci Active Directory nebo SSO. Externí přístup, pokud je udělen, je poskytován skrze VPN s firewallem.

• Všechny hlavní události týkající se manipulace s účty jsou protokolovány a auditovány (přihlášení uživatele, uzamčení uživatelského účtu, špatné heslo, deaktivace uživatelského účtu, změna hesla).

• Je zaveden proces pro správu uživatelských/přístupových práv včetně pravidelných kontrol.

• Je aplikován princip nejnižších privilegií (POLA).

• Stážisté a freelanceři mají značně omezená přístupová a uživatelská práva. Přístup mají pouze k těm datům, která nutně potřebují pro výkon zadané práce.

• Pro přístupová hesla platí následující pravidla: 

  • 1) heslo musí mít nejméně 10 znaků; 

  • 2) složitost - musí být použita kombinace čísel, speciálních znaků a velkých a malých písmen (alespoň tři z těchto čtyř kritérií musí být splněna); 

  • 3) každé tři měsíce musí být vytvořeno nové heslo; 

  • 4) historie - při vytváření nového hesla nesmí být použita tři předchozí hesla.

• Uživatelský účet se automaticky uzamkne, pokud bylo třikrát za sebou zadáno nesprávné heslo.

• Hesla se ukládají v zahashované formě (AES 128).

• Všichni uživatelé jsou povinni se při odchodu z pracoviště odhlásit nebo uzamknout pracovní stanici.

• Je využíváno trojité ověření (systém, firewall, Windows).

• Všichni zaměstnanci jsou smluvně zavázáni k dodržování mlčenlivosti.

• Je zavedena řízená likvidace datových nosičů.

• Přístupové právo ke správě interních IT systémů a infrastruktury má pouze interní tým IT profesionálů se smluvním závazkem zachovávat mlčenlivost.

3. Výzkumné nástroje na serverech v data centrech

• Přístup mají pouze klienti, respondenti a zaměstnanci NMS.

• Je aplikována přísná stratifikace přístupových práv.

• Je zaveden proces pro správu uživatelských/přístupových práv včetně pravidelných kontrol.

• Je zaveden proces revize stávajících uživatelských účtů na čtvrtletní bázi.

• Všechny hlavní události týkající se manipulace s účty jsou protokolovány a auditovány (přihlášení uživatele, uzamčení uživatelského účtu, špatné heslo, deaktivace uživatelského účtu, změna hesla).

• Hesla se ukládají v zahashované formě (hashovací funkce BCRYPT se solí [salt]).

• Přístupové právo ke správě NMS serverů a aplikacím v data centrech má pouze interní tým IT profesionálů se smluvním závazkem zachovávat mlčenlivost. Software, který běží v těchto centrech, je ze 100 % naprogramován a spravován interními NMS IT profesionály, žádným externím subjektům není povolen přístup.

• Transportní kanál pro autentizaci uživatele (přihlašovací údaje) musí být vždy šifrován (HTTPS, SSL).

2. Technické nastavení infrastruktury týkající se zabezpečení dat

   1. Vnitřní infrastruktura kanceláře

• Všechna zařízení pro ukládání dat, včetně osobních údajů, mají šifrované systémy souborů (Bitlocker, LUKS, Synology AES 256).

• Zálohování dat probíhá pravidelně na lokálních zálohovacích úložištích a cloudové službě – zálohování Azure, v obou scénářích jsou zálohovaná data šifrována. Stáří zálohovaných dat nesmí přesáhnout 6 měsíců.

• Všechny interní servery mají aktivní firewally a jsou zabezpečeny antivirovým softwarem (AVG).

• Hlavní datové přenosy, ve kterých mohou být zahrnuty osobní údaje, vždy probíhají na šifrovaných datových kanálech (HTTPS, VPN, SMB3).

• Kancelářské sítě LAN jsou neustále kontrolovány a sledovány na podezřelou aktivitu.

2. Pracovní stanice zaměstnanců

• Všechna zařízení zaměstnanců (stolní počítače, notebooky) mají šifrované oddíly pro ukládání dat (Bitlocker).

• Všechna zařízení zaměstnanců jsou zabezpečena antivirovým softwarem (Eset).

• Přihlašování do zařízení jsou kontrolována autentizací hesla (Active Directory) a protokolována. 

• Zaměstnanci absolvují školení o správné manipulaci se zařízením.

• Zaměstnanci nemají práva k instalaci softwaru nebo úpravě systémů na svých zařízeních.

• Aktualizace operačních systémů zařízení jsou řízeny službami WSUS, pravidelně aplikovány a vyhodnocovány.

3. Servery v data centrech

• Všechna zařízení pro ukládání dat, včetně osobních údajů, mají šifrované systémy souborů (LUKS).

• Je implementován silný firewall.

• Zálohování dat probíhá pravidelně, zálohovaná data jsou šifrována. Stáří zálohovaných dat nesmí přesáhnout 3 měsíce.

• Kromě přímo definovaných veřejných služeb, které jsou poskytovány do veřejného internetu, je veškerá ostatní interakce mezi servery nebo mezi servery a administrátory provozována v režimu šifrovaného VPN tunelu na privátních IP adresách.  

• Hlavní datové přenosy, ve kterých mohou být zahrnuty osobní údaje, vždy probíhají na šifrovaných datových kanálech (HTTPS, VPN, SMB3, SFTP).

• Je zaveden proces pro manipulaci s projektovými daty, včetně povinnosti mazat/anonymizovat data v přesně daném čase, pokud jsou zahrnuty osobní údaje.

• Probíhá pravidelné auditování logu událostí i aplikačního logu.

3. Likvidace osobních údajů

   1. Ve všech případech, kdy NMS přestane shromažďovat a zpracovávat osobní údaje subjektů údaje, provede jejich likvidaci některým z následujících způsobů:

• Skartace originálních papírových dokumentů - skartace probíhá v certifikované společnosti, službu zajišťuje společnost Iron Mountain. Menší adhoc skartace zajišťujeme vlastními skartovačkami kategorie P-2 a P-3 (DIN 66399)

• Vymazání elektronických záznamů subjektů údajů z databází - probíhá pravidelně po uplynutí doby, která byla stanovena pro daný údaj subjektu údajů standardem SIMAR, ICC/ESOMAR, klientem, právní úpravou, interním předpisem či jiným jednoznačným určením.

2. Za řádnou likvidaci osobních údajů, a to ve stanovených termínech, odpovídají pověřené osoby. 

ČLÁNEK VI. OHLAŠOVÁNÍ PŘÍPADŮ PORUŠENÍ ZABEZPEČENÍ OSOBNÍCH ÚDAJŮ

1. Každý zaměstnanec, dodavatel/externista, případně třetí strana má povinnost bez zbytečného odkladu po zjištění nahlásit nadřízenému v přímé linii, případně osobě v NMS odpovědné za ochranu osobních údajů podezření na zneužití nebo pokus o zneužití osobních údajů, u kterých je NMS správcem nebo zpracovatelem. 

2. NMS jako správce nebo zpracovatel osobních údajů má za povinnost neprodleně podniknout kroky, které zamezí možným škodám, způsobených zneužitím, nebo pokusem o zneužití osobních údajů.

3. V případě porušení zabezpečení osobních údajů je vždy vyplněn standardizovaný dokument Data Breach Protocol, který popisuje rozsah a povahu porušení zabezpečení osobních údajů, včetně následně přijatých opatření. Dokument vyplňuje osoba v NMS odpovědná za ochranu osobních údajů přičemž jí jsou plně nápomocni zainteresovaní zaměstnanci, dodavatelé/externisté nebo třetí strany.

• Data Breach Protocol je k dispozici zde: N:\01_NMS\12_GDPR\07_Dokumenty

4. V případě, že NMS vystupuje jako správce osobních údajů, postupuje se při ohlašování případů porušení zabezpečení osobních údajů následovně:

   1. NMS jako správce má povinnost nahlásit porušení zabezpečení osobních údajů dozorovém uřadu, kterým je Úřad pro ochranu osobních údajů, to bez zbytečného odkladu, pokud možno do 72 hodin (v případě pozdějšího ohlášení je nutné uvést důvody tohoto zpoždění). Ohlašovat není třeba pouze případy, u nichž je nepravděpodobné, že by porušení mělo za následek riziko pro dotčení osoby.

   2. Ohlášení dozorovému úřadu musí minimálně obsahovat

• a) popis povahy daného případu porušení zabezpečení osobních údajů včetně, pokud je to možné, kategorií a přibližného počtu dotčených subjektů údajů a přibližného množství dotčených záznamů osobních údajů;

• b) jméno a kontaktní údaje osoby zodpovědné za ochranu osobních údajů, respektive osoby, který může poskytnout bližší informace;

• c) popis pravděpodobných důsledků porušení zabezpečení osobních údajů;

• d) popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných nepříznivých dopadů.

3. Není-li možné poskytnout informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu.

4. Vzor ohlášení dozorovému úřadu je k dispozici zde: N:\01_NMS\12_GDPR\07_Dokumenty.

5. NMS jako správce má povinnosti bez zbytečného odkladu nahlásit porušení zabezpečení osobních údajů subjektům údajů (tedy lidem, u nichž došlo k porušení zabezpečení jejich osobních údajů) v případě, že je pravděpodobné, že případ bude mít za následek vysoké riziko pro práva a svobody dotčených osob (např. může dojít k majetkové či jiné újmě).

6. Ohlášení subjektům údajů je třeba učinit za použití jasných a jednoduchých jazykových prostředků a popsat v něm povahu porušení zabezpečení osobních údajů a uvést v něm přinejmenším informace a opatření jako při nahlášení dozorovému úřadu, a to v rozsahu písm. b) - d), jak je uvedeno výše.

7. Ohlášení subjektům údajů se nevyžaduje, je-li splněna kterákoli z následujících podmínek:

• správce zavedl náležitá technická a organizační ochranná opatření a tato opatření byla použita u osobních údajů dotčených porušením zabezpečení osobních údajů, zejména taková, která činí tyto údaje nesrozumitelnými pro kohokoli, kdo není oprávněn k nim mít přístup, jako je například šifrování;

• správce přijal následná opatření, která zajistí, že vysoké riziko pro práva a svobody subjektů údajů se již pravděpodobně neprojeví;

• vyžadovalo by to nepřiměřené úsilí. V takovém případě musí být subjekty údajů informovány stejně účinným způsobem pomocí veřejného oznámení nebo podobného opatření.

8. V případě, že NMS jako správce ohlášení subjektům údajů dosud neučinila, může dozorový úřad po posouzení pravděpodobnosti toho, že dané porušení bude mít za následek vysoké riziko, požadovat, aby tak bylo učiněno, nebo může rozhodnout, že je splněna některá z podmínek, kdy není oznámení vyžadováno.

9. Vzor ohlášení subjektům údajů je k dispozici zde: N:\01_NMS\12_GDPR\07_Dokumenty.

5. V případě, že NMS vystupuje jako zpracovatel osobních údajů má povinnosti bez zbytečného odkladu, nejdéle dle smluvně stanovených lhůt (dle Smlouvy o zpracování osobních údajů nebo obdobné) ohlásit skutečnost porušení zabezpečení osobních údajů správci osobních údajů (zpravidla klient), jehož je zpracovatelem. 

   1. Ohlášení by mělo obsahovat všechny důležité skutečnosti, minimálně v rozsahu obdobném jako by se ohlášení činilo dozorovému úřadu. Pro ohlášení lze využít Data Breach Protocol. 

   2. V případě, že NMS vystupuje jako zpracovatel osobních údajů, nikdy nekontaktuje dozorový úřad ani dotčené subjekty údajů bez předchozího pokynu správce.

   3. Po ohlášení správci postupuje NMS dle jeho pokynu a poskytuje mu potřebnou součinnost.

6. NMS eviduje veškeré případy porušení zabezpečení osobních údajů. V evidenci se uvádí minimálně skutečnosti, které se týkají daného porušení, jeho dopady a přijatá nápravná opatření. Evidenci vyplňuje osoba v NMS odpovědná za ochranu osobních údajů přičemž jí jsou plně nápomocni zainteresovaní zaměstnanci, dodavatelé/externisté nebo třetí strany.

• Tato evidence je uložena v Trezorovém adresáři - Hlavním trezoru (N:\18_HLAVNI-TREZOR).

Tento vnitřní předpis nabývá účinnosti dne 13. 3. 2023 a vstupuje v platnost ve stejné datum.

Poslední aktualizace tohoto vnitřního předpisu: 13. 3. 2023.