Zásady ochrany osobních údajů
POLITIKA BEZPEČNOSTI OSOBNÍCH ÚDAJŮ
ECOMPORATE Maksymilian Polkowski
Szlak 77/222, 31-153 Kraków
NIP: 6821812937 | REGON: 543921159
e-mail: alkogames.contact@gmail.com
www: alkogames.cz
Datum vypracování:
17.02.2026
Datum zavedení:
17.02.2026
Dokument schválil a zavedl:
Maksymilian Polkowski
Účel, rozsah použití a definice použité v dokumentu
Účel Politiky
Účelem vypracování a zavedení této politiky bezpečnosti je popsat technická a organizační opatření uplatňovaná v rámci ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków (dále jen „Správce“), která zajišťují ochranu zpracovávaných osobních údajů přiměřenou riziku porušení práv a svobod v souvislosti se zpracováním osobních údajů.
Politika bezpečnosti má umožnit řádné plnění povinností Správce – ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków. Politika bezpečnosti osobních údajů byla vypracována v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (GDPR).
Tento dokument bude zaveden jeho zveřejněním v rámci organizace a seznámením s ním osob pověřených ke zpracování osobních údajů, jakož i dalších osob majících přístup k osobním údajům zpracovávaným Správcem.
Rozsah použití a vyloučení z použití
Politika se vztahuje na všechny osobní údaje zpracovávané Správcem.
Ustanovení a požadavky této Politiky mohou být vyloučeny pouze tehdy, pokud platné právní předpisy takové vyloučení umožňují.
Definice
|
Č. |
Pojem |
Definice |
|
1. |
Správce |
ECOMPORATE Maksymilian Polkowski, Szlak 77/222, 31-153 Kraków ve vztahu k údajům, o nichž rozhoduje o účelech a způsobech zpracování. |
|
2. |
Osobní údaje |
jakékoli informace o identifikované nebo identifikovatelné fyzické osobě („subjektu údajů“); identifikovatelnou fyzickou osobou je osoba, kterou lze přímo či nepřímo identifikovat zejména odkazem na identifikátor, jako je jméno a příjmení, identifikační číslo, lokalizační údaje, online identifikátor nebo jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; |
|
3. |
Zvláštní kategorie osobních údajů |
údaje odhalující rasový nebo etnický původ, politické názory, náboženské či filozofické přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace osoby nebo údajů o zdravotním stavu, sexuálním životě či sexuální orientaci této osoby, jakož i údaje o odsouzeních a trestných činech nebo souvisejících bezpečnostních opatřeních; |
|
4. |
Předseda úřadu |
Předseda Úřadu pro ochranu osobních údajů; |
|
5. |
Integrita údajů |
vlastnost zajišťující, že osobní údaje nebyly neautorizovaně změněny nebo zničeny; |
|
6. |
Porušení ochrany osobních údajů |
porušení bezpečnosti vedoucí k náhodnému nebo protiprávnímu zničení, ztrátě, změně, neoprávněnému zpřístupnění nebo neoprávněnému přístupu k osobním údajům předávaným, uchovávaným nebo jinak zpracovávaným; |
|
7. |
Pověřená osoba |
osoba, která má pověření ke zpracování osobních údajů jménem Správce; |
|
8. |
Subjekt údajů (nebo vlastník údajů) |
každá fyzická osoba, jejíž osobní údaje jsou zpracovávány Správcem nebo na jeho pokyn v souvislosti s vykonávanou činností; |
|
9. |
Důvěrnost údajů |
vlastnost zajišťující, že údaje nejsou zpřístupněny neoprávněným subjektům; |
|
10. |
Zaměstnanec |
osoba s přístupem k osobním údajům, vykonávající práci pro Správce na základě pracovněprávního vztahu; |
|
11. |
Třetí strana |
fyzická nebo právnická osoba, orgán veřejné moci, jednotka nebo subjekt jiný než subjekt údajů, správce, zpracovatel či osoby, které – z pověření správce nebo zpracovatele – mohou osobní údaje zpracovávat; |
|
12. |
Zpracovatel |
právnická nebo fyzická osoba, organizační jednotka bez právní osobnosti nebo jiný subjekt, který nerozhoduje o účelech a prostředcích zpracování osobních údajů, jemuž Správce svěřil osobní údaje ke zpracování a uzavřel smlouvu o zpracování osobních údajů ve smyslu čl. 28 GDPR; |
|
13. |
Zpracování osobních údajů |
operace nebo soubor operací prováděných s osobními údaji nebo soubory osobních údajů automatizovaně nebo neautomatizovaně, jako je shromažďování, zaznamenávání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlížení, použití, zpřístupnění přenosem, šíření nebo jiné zpřístupnění, seřazení či kombinování, omezení, výmaz nebo zničení; |
|
14. |
Politika |
tento dokument, tj. Politika bezpečnosti osobních údajů; |
|
15. |
Odpovědnost (rozliczalność) |
vlastnost umožňující prokázat soulad Správce s GDPR; |
|
16. |
GDPR / Nařízení |
Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 (GDPR); |
|
17. |
Pseudonymizace |
zpracování osobních údajů takovým způsobem, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, za předpokladu, že tyto dodatečné informace jsou uchovávány odděleně a podléhají technickým a organizačním opatřením bránícím přiřazení identifikované nebo identifikovatelné fyzické osobě; |
|
18. |
Registr činností zpracování |
registr vedený Správcem, obsahující minimálně: a) identifikační a kontaktní údaje správce a případných společných správců, popř. zástupce správce a pověřence pro ochranu osobních údajů; b) účely zpracování; c) popis kategorií subjektů údajů a kategorií osobních údajů; d) kategorie příjemců, včetně příjemců ve třetích zemích či mezinárodních organizacích; e) případná předání do třetí země/mezinárodní organizace a dokumentaci vhodných záruk; f) pokud možno plánované lhůty výmazu; g) pokud možno obecný popis technických a organizačních bezpečnostních opatření dle čl. 32 odst. 1; |
|
19. |
Stížnost |
jakékoli podání (v listinné nebo elektronické podobě) předané subjektem údajů (vlastníkem údajů) nebo Předsedou úřadu, z jehož obsahu vyplývá nespokojenost nebo žádost o vysvětlení/informace týkající se zpracování osobních údajů Správcem; |
|
20. |
Informační systém (IT) |
soubor spolupracujících zařízení, programů, postupů zpracování informací a softwarových nástrojů používaných ke zpracování údajů; |
|
21. |
Zákon |
Zákon ze dne 10. května 2018 o ochraně osobních údajů; |
|
22. |
Pověření |
jedno z následujících: písemné pověření dle čl. 29 GDPR k zpracování osobních údajů udělené zaměstnanci/spolupracovníkovi nebo zaměstnanci zpracovatele, nebo písemná smlouva o zpracování osobních údajů dle čl. 28 GDPR; |
|
23. |
Spolupracovník |
osoba s přístupem k osobním údajům, vykonávající osobně a přímo úkoly/služby pro Správce na jiném právním základě než pracovním poměru bez ohledu na název či typ smlouvy; |
|
24. |
Zabezpečení údajů |
zavedení a provoz odpovídajících technických a organizačních opatření zajišťujících ochranu údajů před neoprávněným zpracováním; |
|
25. |
Souhlas subjektu údajů |
dobrovolný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů formou prohlášení nebo jednoznačného potvrzujícího úkonu dává souhlas se zpracováním osobních údajů, které se ho týkají; |
Povinnosti ECOMPORATE Maksymilian Polkowski jako Správce
Povinnost zajistit právní základy pro zpracování osobních údajů
Každý zaměstnanec i spolupracovník je před rozhodnutím o vytvoření účelu zpracování nebo rozšíření rozsahu shromažďovaných osobních údajů pro stávající účel uvedený v Registru činností zpracování (RČZ) povinen určit a používat právní základ (podle GDPR), který legalizuje zpracování.
Informační povinnost vůči subjektu údajů podle čl. 13 a čl. 14 GDPR
Každý zaměstnanec nebo spolupracovník, který shromažďuje (získává) osobní údaje, je v okamžiku získání údajů přímo od vlastníka údajů povinen informovat vlastníka údajů (např. předložením příslušné doložky) v souladu s připravenými informačními doložkami podle čl. 13 GDPR.
V případě získávání údajů od třetích osob, tedy nikoli přímo od vlastníka údajů, je třeba vlastníka údajů neprodleně po zaznamenání údajů informovat o okolnostech zpracování podle informačních doložek podle čl. 14 GDPR.
V případě používání informačních systémů, které osobní údaje shromažďují automaticky, je třeba zajistit, aby takový systém poskytoval informace uvedené výše.
V případě využití třetích stran (např. marketingové či náborové agentury) je třeba ve smlouvě zajistit, aby při shromažďování osobních údajů tato třetí strana plnila informační povinnost jménem Správce podle bodů výše.
Povinnost dodržovat zásady zpracování popsané v čl. 5 GDPR
Během procesů zpracování osobních údajů je třeba věnovat zvláštní péči ochraně zájmů subjektů údajů, zejména dodržování zásad uvedených v bodech 5–7 této Politiky. Tato povinnost se týká jak zaměstnanců a spolupracovníků, tak subjektů, které jménem Správce zpracovávají osobní údaje na základě smluv o zpracování (zpracovatelů).
Povinnost uzavřít smlouvu o zpracování osobních údajů (čl. 28)
Pokud se Správce rozhodne využívat služby třetí strany a v rámci poskytování těchto služeb bude tato strana zpracovávat osobní údaje na pokyn nebo jménem Správce, je třeba zajistit, aby před předáním údajů byla uzavřena „Smlouva o zpracování osobních údajů“ v souladu se zásadami uvedenými v této Politice.
Povinnost vyřizovat žádosti subjektu údajů
Pokud vlastník údajů podá ústní nebo písemnou žádost (v listinné nebo elektronické formě) o přístup/kopii údajů/přenositelnost/výmaz/opravu/omezení/aktualizaci, je třeba takovou žádost neprodleně, nejpozději do 30 dnů, vyřídit, pokud je oprávněná.
V každém případě žádost vyřizuje Správce, který může určit zaměstnance, spolupracovníka nebo jiný subjekt k podpoře při vyřízení.
Správce usnadňuje subjektu údajů výkon práv podle čl. 15–22 GDPR. Pokud Správce nemůže prokázat, že není schopen subjekt údajů identifikovat, pokud je to možné, informuje subjekt údajů a požádá o doplnění údajů pro ověření totožnosti.
Správce při vyřizování žádosti postupuje podle Postupu pro vyřizování žádostí subjektů údajů.
Povinnost zabezpečit údaje
Každý zaměstnanec a spolupracovník je povinen uplatňovat organizační zabezpečení (např. politiky, řády, postupy) platné v organizaci Správce a technická zabezpečení (např. přístupová hesla, šifrovaná přenosná média, šifrování počítačů a mobilních zařízení). Obcházení zabezpečení může představovat porušení ochrany osobních údajů.
Povinnost zabezpečit údaje se týká také zpracovatelů. Podrobné požadavky na zabezpečení osobních údajů zpracovatelem by měly být stanoveny ve Smlouvě o zpracování osobních údajů.
Povinnost oznámit nový účel zpracování osobních údajů
Pokud se zaměstnanec nebo spolupracovník rozhodne zahájit shromažďování osobních údajů pro nový účel, je povinen před zahájením shromažďování informovat o této skutečnosti Správce obvyklým komunikačním způsobem v organizaci.
Na základě informací Správce rozhodne, zda daný účel podléhá povinnosti zapsání do Registru činností zpracování.
Zaměstnanci a spolupracovníci jsou povinni hlásit Správci veškeré změny týkající se činností zpracování uvedených v Registru ještě před jejich zavedením.
Povinnosti při předávání do třetích zemí
Před rozhodnutím o volbě dodavatele mimo EHP nebo předáním údajů do třetí země by měl Správce provést dodatečnou analýzu nebo získat informace z externích zdrojů o bezpečnosti takového předávání.
Povinnosti a odpovědnost
Každý zaměstnanec a spolupracovník bez ohledu na pozici je povinen a odpovídá za: zachování důvěrnosti osobních údajů a způsobů jejich zabezpečení; seznámení se a dodržování této Politiky a interních dokumentů vydaných na jejím základě; písemné potvrzení seznámení s předpisy o ochraně osobních údajů a touto Politikou; dodržování právních předpisů, zejména Zákona; nesdílení přístupových hesel; nezpřístupňování osobních údajů neoprávněným osobám; hlášení každého incidentu/podezření na porušení ochrany osobních údajů nebo této Politiky podle postupů.
Povinnosti a odpovědnost vedoucích pracovníků
Vedoucí pracovníci odpovídají zejména za: dohled nad dodržováním zásad podřízenými; identifikaci informačních/školících potřeb; schvalování změn účelů zpracování před jejich zavedením; dohled nad přidělenými účely zpracování a rozsahem zpracování podle Registru; ověřování nových IT řešení spojených s přenosem osobních údajů třetím stranám; zajištění uzavření smluv o zpracování s každým subjektem, jemuž Správce hodlá svěřit zpracování.
Povinnosti a odpovědnost poskytovatele IT (pokud existuje)
Každý zaměstnanec poskytovatele IT přidělený ke spolupráci se Správcem je povinen a odpovídá za: dohled nad tím, zda zavedená a udržovaná zabezpečení (fyzická, logická, systémová) jsou účinná; dohled nad účinností omezení přístupu do oblastí zpracování; zohlednění GDPR a Politiky při návrhu a zavádění nových bezpečnostních řešení; na žádost Správce vypracování stanovisek a informací o zabezpečeních používaných v organizaci.
Postupy v případě stížností na zpracování osobních údajů
Stížnosti/žádosti podané vlastníkem údajů
V případě písemné stížnosti/žádosti (bez ohledu na formu doručení či název) zaslané vlastníkem údajů Správci je třeba ji posoudit neprodleně, nejpozději do 30 dnů ode dne přijetí.
Odpověď na stížnost/žádost se poskytuje písemně (doporučenou zásilkou), pokud žadatel uvedl doručovací adresu; při jejím neuvedení stejným kanálem, jakým byla stížnost/žádost podána, pokud žadatel nepožádal o jinou formu. V případě odpovědi e-mailem se kopie odpovědi archivuje pro doložení odpovědnosti Správce.
Pokud vlastník údajů požádá o změnu nebo aktualizaci osobních údajů, je třeba provést ji neprodleně po obdržení žádosti.
Pokud vlastník údajů požádá o výmaz nebo zastavení zpracování a údaje byly shromážděny pouze na základě souhlasu, je třeba údaje neprodleně vymazat nebo zastavit zpracování pro účely, se kterými byl dříve udělen souhlas.
Osobní údaje zpracovávané na základě smlouvy mohou být po odvolání souhlasů nadále zpracovávány pro jiné účely (např. plnění smlouvy, daňové účely), pokud jsou uvedeny v Registru činností zpracování.
Pokud vlastník údajů požádá o přístup ke svým osobním údajům nebo o kopii, je třeba odpovědět neprodleně, nejpozději do 30 dnů.
Vlastník údajů může bezplatně získat kopii údajů zpracovávaných na základě smlouvy nebo souhlasu, které poskytl Správci. Za každou další kopii může Správce účtovat přiměřený administrativní poplatek spojený s jejím vyhotovením.
Stížnosti předané Předsedou úřadu
V případě stížnosti podané vlastníkem údajů k Předsedovi úřadu, kterou orgán postoupil Správci, je třeba ji neprodleně předat odpovědné osobě u Správce.
Lhůta pro odpověď na stížnost doručenou od Předsedy úřadu činí 7 dnů (pokud Předseda úřadu nestanoví jinou).
Odpověď připraví zaměstnanec nebo spolupracovník určený Správcem; konečnou verzi odpovědi k Předsedovi úřadu odesílá Správce.
Zásady zpracování osobních údajů Správcem
Zásada zákonnosti, korektnosti a transparentnosti
Osobní údaje musí být zpracovávány zákonně, korektně a transparentně vůči subjektu údajů. Osobní údaje nesmí být zpracovávány bez právního základu. Před zahájením zpracování nové kategorie údajů nebo pro nový účel je třeba určit právní základ.
Zásada účelového omezení
Osobní údaje musí být zpracovávány pouze pro konkrétní a jasně vymezený účel a vlastník údajů musí být o tomto účelu informován. Údaje musí být shromažďovány pro konkrétní, výslovné a legitimní účely a dále nezpracovávány způsobem, který je s těmito účely neslučitelný.
Zásada minimalizace údajů
Lze shromažďovat pouze takové údaje, které jsou přiměřené k dosažení účelu. Nelze sbírat údaje „do zásoby“. Údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah.
Zásada přesnosti
Všechny pověřené osoby a zpracovatelé odpovídají za věcnou správnost údajů. Údaje musí být přesné a v případě potřeby aktualizované; je třeba přijmout rozumná opatření, aby nepřesné údaje byly bezodkladně vymazány nebo opraveny.
Zásada omezení uložení
Osobní údaje lze zpracovávat pouze po dobu existence účelu zpracování nebo po dobu stanovenou právními předpisy. Údaje musí být uchovávány ve formě umožňující identifikaci subjektu údajů po dobu ne delší, než je nezbytné.
Zásada důvěrnosti a integrity
Osobní údaje musí být zpracovávány způsobem zajišťujícím odpovídající bezpečnost, včetně ochrany proti nedovolenému nebo protiprávnímu zpracování a proti náhodné ztrátě, zničení nebo poškození, a to pomocí vhodných technických nebo organizačních opatření.
Zásada seznamování pověřených osob s interními a externími předpisy
Každá pověřená osoba je povinna průběžně se seznamovat s interními i externími předpisy v oblasti ochrany osobních údajů. Při nedostatku znalostí se lze obrátit na odpovědnou osobu. Po seznámení s pravidly pověřená osoba tento fakt potvrdí písemným prohlášením.
Zásada omezeného přístupu
Přístup k osobním údajům musí být vždy omezen pouze na pověřené osoby. Omezení přístupu může být organizační, fyzické nebo IT (např. přihlašovací údaje a hesla).
Zásada dvojího omezení přístupu
Přístup k osobním údajům musí být omezen použitím minimálně dvou libovolných omezení přístupu.
Zásada čistého stolu
Po skončení práce nesmí na stole zaměstnance/spolupracovníka zůstat dokumenty nebo volně dostupná média obsahující osobní údaje. Vše musí být uzamčeno ve skříních/úložištích.
Zásada bezpečné likvidace dokumentů a nosičů
Odstraňování údajů zničením dokumentů v listinné nebo elektronické podobě probíhá podle „Postupu bezpečného mazání údajů“.
Zásada odpovědnosti (rozliczalność)
Činnosti pověřených osob a zpracovatelů s osobními údaji musí být jednoznačně přiřaditelné jedné osobě. Jeden login v IT systému může být přiřazen pouze jedné osobě. Sdílení loginů je zakázáno. Každá pověřená osoba je povinna prokázat, že dodržuje GDPR a tuto Politiku.
Zásada tajemství a kvality přístupových hesel
Za žádných okolností nesmí být sděleno přístupové heslo (ani nadřízenému ani jiné osobě). Heslo po obdržení od správce systému musí být změněno tentýž den. Heslo musí mít minimálně 8 znaků včetně velkého písmene, malého písmene, číslice a speciálního znaku.
Zásady svěřování zpracování osobních údajů třetím stranám
Používání smluv o zpracování
Při uzavírání smlouvy o poskytování služeb spojené se svěřením zpracování osobních údajů poskytovateli služby je třeba uzavřít písemnou smlouvu o zpracování v souladu s čl. 28 GDPR.
Povinnosti a odpovědnosti zpracovatelů
Ve smlouvě o zpracování osobních údajů musí být bezpodmínečně uvedeno zejména: předmět a doba trvání zpracování, povaha a účel zpracování, druh osobních údajů a kategorie subjektů údajů, povinnosti a práva Správce a zpracovatele; zpracování pouze na doložený pokyn Správce; povinnost mlčenlivosti pověřených osob; opatření dle čl. 32 GDPR; pravidla pro další subdodavatele; pomoc Správci při vyřizování žádostí subjektů údajů; pomoc při povinnostech dle čl. 32–36 GDPR; výmaz/vrácení údajů po skončení služeb; poskytování informací a umožnění auditů podle čl. 28 GDPR.
Povinnosti a odpovědnosti osob dohlížejících na zpracovatele
Správce je povinen osobně nebo prostřednictvím určeného zaměstnance dohlížet na to, zda zpracovatel plní požadavky smlouvy o zpracování.
Kontrola zpracovatelů
V každé smlouvě o zpracování se povinně uplatňuje ustanovení o možnosti provést kontrolu (audit) souladu zpracování svěřených údajů se smlouvou a právními předpisy. Kontrolu může provést osoba písemně pověřená Správcem.
Ověření zpracovatele
Každý zpracovatel musí být před podpisem smlouvy ověřen podle Postupu ověření dodavatele.
Určení technických a organizačních opatření nezbytných pro zajištění důvěrnosti, integrity a odpovědnosti zpracovávaných údajů
Organizační opatření zabezpečení osobních údajů
Za účelem posílení dohledu nad procesy zpracování osobních údajů byla zavedena organizační opatření zabezpečení údajů popsaná v tomto bodě.
Interní školení
Každá pověřená osoba je povinna absolvovat minimálně jedno prezenční nebo e-learningové školení ročně v oblasti předpisů o ochraně osobních údajů.
Zavádění zásad a postupů
Politika bezpečnosti osobních údajů poskytuje základ pro vypracování a zavedení dalších postupů ochrany osobních údajů, jejichž návrhový seznam je uveden v bodě 9.
Plánování zálohování souborů osobních údajů
Osobní údaje zpracovávané v IT systémech jsou chráněny pomocí zálohovacích systémů pod dohledem vedení nebo IT dodavatele. Zálohy jsou vytvářeny podle harmonogramu určeného vedením nebo IT dodavatelem.
Minimální technická opatření zabezpečení osobních údajů
Technická opatření uvedená v tomto bodě se používají pro soubory osobních údajů, avšak ne všechna pro všechny soubory. V závislosti na kategorii, druhu, povaze a účelu zpracování jsou aplikována přiměřená bezpečnostní opatření zajišťující soulad s GDPR.
Opatření fyzické ochrany
Přístup do místností, ve kterých jsou zpracovávány soubory osobních údajů, je zajištěn systémem přístupu prostřednictvím dveří uzamykatelných na klíč.
Místnost, ve které jsou zpracovávány soubory osobních údajů, je chráněna proti požáru systémem požární ochrany a/nebo přenosným hasicím přístrojem.
Opatření zabezpečení IT a telekomunikační infrastruktury
Přístup k operačnímu systému počítače, na kterém jsou zpracovávány osobní údaje, je chráněn ověřením pomocí uživatelského identifikátoru a hesla.
Byly zavedeny systémové mechanismy vynucující pravidelnou změnu hesel.
Byla použita kryptografická ochrana pro osobní údaje předávané prostřednictvím přenosu dat.
Byla použita ochrana před škodlivým softwarem, jako jsou červi, viry, trojské koně, rootkity.
Pro ochranu přístupu k počítačové síti byl použit firewall.
Opatření ochrany v IT software používaném Správcem
Byla použita opatření umožňující určit přístupová práva k vymezenému rozsahu údajů;
Přístup k osobním údajům vyžaduje ověření pomocí uživatelského identifikátoru a hesla.
Byla použita kryptografická opatření ochrany osobních údajů.
Na pracovištích, kde se zpracovávají osobní údaje, byly nainstalovány spořiče obrazovky.
Byl použit mechanismus automatického zablokování přístupu k informačnímu systému sloužícímu ke zpracování osobních údajů při delší neaktivitě uživatele.