HR & Ekonomické · Směrnice · návrh k připomínkování

Interní směrnice o ochraně osobních údajů zaměstnanců (GDPR)

Jaká data o zaměstnancích zpracováváme, proč, jak dlouho a jaká máš jako zaměstnanec práva.

Účinnost od

Bude doplněno po schválení jednateli.

Závaznost

Všichni zaměstnanci a externisté pracující s personálními daty.

Správce / Pověřenec

Správce: DigiDay s.r.o.
Kontakt: dominika.minarik@digiday.cz

Schvalovat budou

Martin Klimánek, Ing. David Stružka — jednatelé.

Sekce 1

Úvod a právní rámec

Tato směrnice upravuje, jak DigiDay s.r.o. (správce) nakládá s osobními údaji svých zaměstnanců, dohodářů a externistů v souladu s nařízením EU 2016/679 (GDPR) a zákonem č. 110/2019 Sb. o zpracování osobních údajů. Vztahuje se na všechny, kdo s personálními daty pracují (HR, vedoucí, IT, účetní).

Sekce 2

Co a proč zpracováváme

Kategorie údajů Účel Právní titul
Identifikační (jméno, RČ, adresa, č. OP)Pracovní smlouva, mzda, evidenceSmlouva + zákonná povinnost
Mzdové a daňové (bankovní účet, srážky, daně, pojištění)Výpočet a výplata mzdy, odvodyZákonná povinnost
Pracovní (pozice, hodnocení, docházka, dovolená)Plnění PP, rozvoj, řízení výkonuSmlouva + oprávněný zájem
Zdravotní (vstupní prohlídka, OZZ, omezení)BOZP, vhodnost k práci, OZZ benefityZákonná povinnost (zvláštní kategorie — § 9 GDPR)
Kontaktní (e-mail, telefon, kontakt v nouzi)Komunikace v práci, krizové situaceSmlouva
Fotografie (nástěnka, web, LinkedIn)Reprezentace firmySouhlas (lze odvolat)

Sbíráme minimum nutné pro daný účel. Žádné „pro jistotu" data navíc.

Sekce 3

Tvá práva (subjektu údajů)

  • ·Přístup — víš, co o tobě máme. Žádost na HR, odpověď do 30 dní zdarma.
  • ·Oprava — když je něco nepřesné, opravíme bez průtahů.
  • ·Výmaz („být zapomenut") — po skončení PP smažeme, co nepodléhá zákonné archivaci.
  • ·Omezení zpracování — pozastavíme, dokud sporné údaje nevyřešíme.
  • ·Přenositelnost — strojově čitelný export tvých dat.
  • ·Námitkaodvolání souhlasu (např. fotografie) — kdykoli, bez sankce.
  • ·Stížnost na ÚOOÚ — Úřad pro ochranu osobních údajů, uoou.cz.

Sekce 4

Bezpečnost a přístup

  • ·Přístup pouze pověřeným — HR, účetní, přímý nadřízený (jen k datům svého týmu), jednatelé. Princip „need-to-know".
  • ·Zabezpečení — uzamčené složky, šifrované disky, hesla + MFA, VPN pro vzdálený přístup.
  • ·Tištěné dokumenty — uzamčená skříň. Skartace u dokumentů po skončení skartační lhůty.
  • ·Mlčenlivost — všichni s přístupem podepisují prohlášení o mlčenlivosti, platí i po skončení PP.

Sekce 5

Doby uchovávání a předávání

Data uchováváme jen po dobu nutnou — typicky:

  • ·Mzdové a daňové — 30 let (§ 35a zákona o důchodovém pojištění),
  • ·Mzdové listy a evidenční listy — 45 let,
  • ·Personální spisy — 10 let po skončení PP,
  • ·CV neúspěšných uchazečů — max 6 měsíců (jen se souhlasem; jinak smazat hned).

Předáváme jen tyto subjekty (zpracovatele / příjemce):

  • ·ČSSZ, zdravotní pojišťovny, finanční úřad, ÚP — zákonem povinné výkazy,
  • ·Banka — výplaty mezd,
  • ·Smluvní pracovní lékař, BOZP/PO technik — vstupní/periodické prohlídky a školení,
  • ·Účetní firma / poskytovatel mzdového software — zpracovatelská smlouva.

Mimo EU/EHP žádná data nepředáváme.

Sekce 6

Bezpečnostní incident

Při podezření na únik, ztrátu nebo neoprávněný přístup k OÚ (ztráta notebooku, krádež telefonu, omylem rozeslaný e-mail s daty, phishing):

  • ·Okamžitě nahlas HR a IT — i mimo pracovní dobu.
  • ·HR a IT vyhodnotí závažnost a rozhodnou o okamžitých opatřeních (vzdálené smazání, změna hesel, blokace přístupů).
  • ·Při riziku pro subjekty: oznámení ÚOOÚ do 72 hodin a informování dotčených.
  • ·Záznam do evidence incidentů (vede HR), ohlédnutí analýza příčin a opatření.

Sekce 7

Závěrečná ustanovení

  • ·Účinnost dnem schválení jednateli.
  • ·Opírá se o nařízení EU 2016/679 (GDPR), zákon č. 110/2019 Sb. o zpracování OÚ, zákoník práce a zákon č. 582/1991 Sb. (důchodové pojištění — archivace mzdových dokumentů).
  • ·Souvisí: Nábor a nástup · Ukončení pracovního poměru · BOZP a bezpečnost.

Historie verzí