GDPR та захист персональних даних

Зміст

Контакти та скарги

1Вступні положення та ролі

Цей інформаційний меморандум (далі — „Меморандум") виконує інформаційний обов’язок компанії Elvian Technologies s.r.o. (далі — „Elvian") згідно зі ст. 13 та 14 Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 про захист фізичних осіб у зв’язку з обробкою персональних даних (далі — „GDPR"), та згідно з законом Чеської Республіки № 110/2019 Зб., про обробку персональних даних (далі — „ZZOÚ").

Elvian обробляє персональні дані у двох різних ролях, і цей Меморандум стосується обох:

Контролер (ст. 4 ч. 7 GDPR) — щодо власних співробітників, кандидатів на роботу, постачальників, договірних партнерів, відвідувачів вебсайту та контактних осіб клієнтів.
Обробник (ст. 4 ч. 8 та ст. 28 GDPR) — щодо персональних даних співробітників клієнтів (контролерів), які Elvian обробляє в межах послуг з розрахунку заробітної плати та кадрового адміністрування за вказівками клієнта. У цій ролі контролером є клієнт (роботодавець), а суб’єкти даних (співробітники) реалізують свої права насамперед у нього. Правила обробки в цій ролі регулюються окремим Договором про обробку персональних даних (DPA), див. ст. 11.

2Ідентифікація контролера та уповноваженого

Найменування	Elvian Technologies s.r.o.
Адреса	Na Folimance 2155/15, 120 00 Praha 2, Чеська Республіка
IČO	06641288
DIČ	CZ06641288
Реєстрація	Торговий реєстр, що ведеться Міським судом у Празі
Контактний e-mail	info@elvian.cz
E-mail для GDPR-питань	gdpr@elvian.cz
Уповноважений із захисту персональних даних (DPO)	Jana Šmidílková · jana.smidilkova@elvian.cz · +420 731 462 048

Уповноваженого було призначено відповідно до ст. 37 GDPR з огляду на обсяг та характер обробки у межах зарплатного та кадрового аутсорсингу (зокрема масштабна систематична обробка особливих категорій даних згідно зі ст. 9 GDPR).

3Категорії оброблюваних персональних даних

У межах виконання обох ролей (контролер / обробник) ми обробляємо такі категорії персональних даних. Конкретний обсяг завжди визначається метою та принципом мінімізації згідно зі ст. 5 ч. 1 п. c) GDPR:

Ідентифікаційні дані — ім’я, прізвище, академічний титул, дата та місце народження, родинне число (rodné číslo), громадянство, номер і тип документа, що посвідчує особу.
Контактні дані — адреса постійного місця проживання, поштова адреса, телефон, e-mail, ID електронної скриньки (datová schránka).
Дані про трудові відносини — дата прийняття та припинення, посада, вид трудово-правових відносин, розмір та компоненти заробітної плати, тривалість робочого часу, місце виконання роботи.
Зарплатні дані — виплата, податкові відрахування, утримання із заробітної плати, виконавчі провадження, виплати з соціального страхування, відпустки, облік робочого часу.
Освіта та кваліфікація — здобута освіта, сертифікати, курси, медичні огляди та обов’язкове навчання (охорона праці).
Дані про членів сім’ї — лише якщо необхідно для податкових пільг, медичного страхування чи виплат за правом (чоловік/дружина, утриманці-діти).
Банківські дані — номер рахунку для виплати заробітної плати.
Особливі категорії даних (ст. 9 GDPR):
- Дані про стан здоров’я — в обсязі, необхідному для медичних оглядів за місцем роботи, виплат із соціального страхування, інвалідної пенсії, ZTP/P (особа з інвалідністю та потребою супроводу) для податкових пільг.
- Членство у профспілковій організації — лише, якщо співробітник просить про утримання членського внеску із заробітної плати.

4Цілі обробки

Виконання законних обов’язків у сфері заробітної плати та кадрового адміністрування — розрахунок та виплата заробітної плати, утримання податків, відрахування на соціальне та медичне страхування, виконання обов’язків щодо повідомлення.
Виконання обов’язків щодо повідомлення перед органами публічної влади — Чеське управління соціального забезпечення, медичні страхові каси, податкова інспекція, центр зайнятості, Чеське статистичне управління.
Ведення зарплатного та кадрового обліку в обсязі, що вимагається, зокрема законом ЧР № 262/2006 Зб., Кодексом законів про працю, законом ЧР № 586/1992 Зб., про податок на доходи, та законом ЧР № 582/1991 Зб., про організацію та здійснення соціального забезпечення.
Експлуатація корпоративного порталу співробітника — безпечний доступ співробітника до власних розрахункових повідомлень, відпусток, документів.
Архівування документів — в обсязі та на строк, встановлений нормативно-правовими актами (див. ст. 8).
Ведення записів про діяльність обробки згідно зі ст. 30 GDPR та виконання обов’язків перед Управлінням із захисту персональних даних ЧР.
Захист правомірних інтересів Elvian — стягнення заборгованостей, захист правових претензій, забезпечення безпеки ІТ-систем (логування доступів).

5Правові підстави обробки

Мета	Правова підстава
Обробка заробітної плати та кадрового обліку за вказівками клієнта (Elvian як обробник)	ст. 28 GDPR у поєднанні зі ст. 6 ч. 1 п. c) GDPR (законний обов’язок контролера – клієнта)
Виконання законних обов’язків (відрахування, звітність, архівування)	ст. 6 ч. 1 п. c) GDPR — виконання правового обов’язку
Обробка даних власних співробітників Elvian	ст. 6 ч. 1 п. b) GDPR (договір) + ст. 6 ч. 1 п. c) GDPR
Корпоративний портал співробітника та ІТ-безпека (логи)	ст. 6 ч. 1 п. f) GDPR — правомірний інтерес
Особливі категорії даних — стан здоров’я	ст. 9 ч. 2 п. b) GDPR (обов’язки у сфері трудового права та соціального забезпечення) + ст. 11 ZZOÚ
Особливі категорії даних — членство у профспілках	ст. 9 ч. 2 п. a) GDPR (прямо виражена згода співробітника)
Маркетингова комунікація з комерційними партнерами	ст. 6 ч. 1 п. a) GDPR (згода) або ст. 6 ч. 1 п. f) (правомірний інтерес)

6Одержувачі персональних даних та субобробники

Персональні дані передаємо лише наступним категоріям одержувачів і завжди в обсязі, безумовно необхідному для виконання конкретної мети:

Клієнт (роботодавець) — у режимі BPO клієнт є контролером даних своїх співробітників, і Elvian передає йому результати обробки.
Органи публічної влади — Чеське управління соціального забезпечення, медичні страхові каси, податкова інспекція, центр зайнятості, суди та органи, що здійснюють кримінальне переслідування (в обсязі законного обов’язку щодо повідомлення або на підставі запиту згідно з законом).
Банки та надавачі платіжних послуг — для цілей виплати заробітної плати та здійснення відрахувань.
Професійні консультанти — аудитори, податкові консультанти, адвокати (завжди під законним обов’язком конфіденційності).
Страхові компанії та виконавці — в обсязі, що вимагається законом (утримання із заробітної плати, виконання рішень).
Субобробники — надавачі ІТ та хмарних послуг — оператори зарплатного та кадрового програмного забезпечення, хостинг, e-mail, резервне копіювання, кібернетична безпека. Субобробники зобов’язані договором про обробку згідно зі ст. 28 ч. 4 GDPR. Оновлений перелік субобробників Elvian надає клієнту на запит.

Персональні дані ми не продаємо третім сторонам і не здійснюємо автоматизованого ухвалення рішень з правовими наслідками для суб’єкта даних у розумінні ст. 22 GDPR.

7Передача за межі ЄС/ЄЕП

Персональні дані ми обробляємо переважно на території Європейського Союзу та Європейського економічного простору. Передача до третіх країн відбувається лише у виняткових і чітко обґрунтованих випадках, і завжди на умовах, встановлених главою V GDPR (ст. 44 та наступні):

На підставі рішення Європейської Комісії про відповідний рівень захисту згідно зі ст. 45 GDPR, або
З використанням стандартних договірних застережень, ухвалених Європейською Комісією згідно зі ст. 46 ч. 2 п. c) GDPR, доповнених додатковими захисними заходами, якщо цього вимагають обставини, або
На підставі іншої гарантії, передбаченої ст. 46 і 47 GDPR (обов’язкові корпоративні правила, схвалені кодекси поведінки).

Інформація про передачу: Якщо в межах конкретної послуги відбувається передача персональних даних за межі ЄС/ЄЕП, Elvian заздалегідь повідомляє клієнта про це і на запит надає копію застосованих гарантій.

8Строки зберігання даних

Строки зберігання окремих категорій персональних даних відповідають законним архівним строкам, встановленим, зокрема, такими нормативно-правовими актами:

Категорія даних	Строк	Правова підстава
Розрахункові листи (mzdové listy)	30 років після року, якого вони стосуються	ст. 35a ч. 4 закону ЧР № 582/1991 Зб., про організацію та здійснення соціального забезпечення
Дублікати облікових листів пенсійного страхування	3 календарні роки після року, якого вони стосуються	ст. 38 ч. 4 закону ЧР № 582/1991 Зб.
Податкові документи та облік для цілей ПДВ	10 років від кінця податкового періоду	ст. 35 закону ЧР № 235/2004 Зб., про податок на додану вартість
Облікові записи та документи (включно з підтвердженням зарплатних витрат)	5 років, розрахункові листи та податкові документи 10 років	ст. 31 закону ЧР № 563/1991 Зб., про бухгалтерський облік
Зарплатні документи для податку на доходи (підтвердження, декларації)	10 років після завершення податкового періоду	ст. 38n закону ЧР № 586/1992 Зб., про податок на доходи, у поєднанні зі ст. 148 закону № 280/2009 Зб., Податкового кодексу ЧР
Облік робочого часу співробітника	Протягом строку трудових відносин	ст. 96 закону ЧР № 262/2006 Зб., Кодексу законів про працю
Трудово-правова документація (договори, угоди, повідомлення про звільнення)	10 років від припинення трудових відносин	Договірна практика та строки позовної давності згідно зі ст. 629 і ст. 636 ЦК
Дані про кандидатів на роботу, які не були прийняті	6 місяців від завершення конкурсного відбору (довше — лише за згодою)	Правомірний інтерес & ст. 6 ч. 1 п. a) GDPR

Після закінчення архівного строку персональні дані безпечно знищуються у паперовій формі та незворотно видаляються або анонімізуються в електронній формі.

9Права суб’єктів даних

Кожен суб’єкт даних (співробітник, кандидат, контактна особа) відповідно до глави III GDPR має такі права:

Право на доступ (ст. 15) — отримати підтвердження того, чи обробляються дані, та копію оброблюваних даних.
Право на виправлення (ст. 16) — виправити неточні дані або доповнити неповні.
Право на стирання (ст. 17, „право бути забутим") — у випадках, коли обробка не є необхідною для виконання законного обов’язку або іншої правової підстави.
Право на обмеження обробки (ст. 18) — призупинити обробку у випадках, передбачених законом.
Право на переносимість (ст. 20) — отримати дані у структурованому машиночитаному форматі, якщо обробка ґрунтується на згоді або договорі та здійснюється автоматизовано.
Право заперечення (ст. 21) — проти обробки, що ґрунтується на правомірному інтересі.
Право не бути об’єктом автоматизованого ухвалення рішень (ст. 22) — Elvian не здійснює такого ухвалення рішень.
Право відкликати згоду (ст. 7 ч. 3) — у будь-який час, якщо обробка ґрунтується на згоді (відкликання не має зворотної дії).
Право подати скаргу наглядовому органу — Управління із захисту персональних даних (Úřad pro ochranu osobních údajů), Pplk. Sochora 27, 170 00 Praha 7, posta@uoou.cz.

Куди подати запит: Якщо Elvian є контролером (власні співробітники, партнери, веб), запит надсилайте безпосередньо нам на gdpr@elvian.cz. Якщо Elvian обробляє дані як обробник (у межах BPO-послуг для роботодавця), реалізуйте запит у Вашого роботодавця як контролера; Elvian надасть йому необхідне сприяння.

Elvian реагує на запит без зайвої затримки, не пізніше ніж протягом 1 місяця від його отримання. У складних випадках строк може бути продовжений ще на 2 місяці, про що ми заздалегідь повідомимо суб’єкта даних.

10Безпека та порядок дій при безпековому інциденті

Elvian, з огляду на характер, обсяг, контекст і цілі обробки та на ймовірність і тяжкість ризиків для прав суб’єктів даних, вживає відповідних технічних та організаційних заходів згідно зі ст. 32 GDPR, зокрема:

Шифроване сховище (data at rest) та шифрована передача (TLS 1.2+/HTTPS для корпоративного порталу співробітника та всіх вебзастосунків).
Управління доступами за принципом „need-to-know" та „least privilege", багатофакторна автентифікація (MFA) для адміністративних облікових записів.
Регулярне резервне копіювання з тестованим відновленням і географічною надлишковістю.
Логування доступів та виявлення несанкціонованих або незвичних операцій.
Конфіденційність працівників та субпідрядників — за договором, на рівні внутрішніх положень та періодичних навчань.
Регулярні навчання працівників із захисту персональних даних та кібернетичної безпеки.
Ведення записів про діяльність обробки згідно зі ст. 30 GDPR.
Оцінка впливу на захист персональних даних (DPIA) згідно зі ст. 35 GDPR для обробки з високим ризиком для прав суб’єктів даних.

Порядок дій при безпековому інциденті: Якщо стане порушення безпеки персональних даних у розумінні ст. 4 ч. 12 GDPR, Elvian діє відповідно до внутрішнього плану реакції на інцидент:

Якщо Elvian є контролером, повідомляє про порушення Управлінню із захисту персональних даних без зайвої затримки, не пізніше ніж протягом 72 годин від моменту, коли про нього дізнався, згідно зі ст. 33 GDPR. Суб’єктів даних інформує згідно зі ст. 34 GDPR, якщо ризик для їх прав є високим.
Якщо Elvian є обробником, повідомляє про порушення контролеру (клієнту) без зайвої затримки після того, як про нього дізнався, зазвичай протягом 24 годин, згідно зі ст. 33 ч. 2 GDPR, та надає йому необхідне сприяння для виконання його обов’язків щодо повідомлення.

11Роль обробника та Договір про обробку (DPA)

При наданні послуг із розрахунку заробітної плати та кадрового адміністрування Elvian зазвичай виступає у ролі обробника у розумінні ст. 28 GDPR. Контролером залишається клієнт (роботодавець), який визначає цілі та засоби обробки і надає Elvian інструкції.

Правила обробки врегульовані окремим Договором про обробку персональних даних (Data Processing Agreement, DPA), який є додатком до основного Договору з клієнтом і відповідає вимогам ст. 28 ч. 3 GDPR. DPA, зокрема, регулює:

Предмет, строк дії, характер і мету обробки, категорії суб’єктів даних і типи персональних даних.
Задокументовані інструкції контролера та обов’язки обробника.
Дозвіл на залучення наступних субобробників (загальний дозвіл із обов’язком попередньої інформації про зміни).
Технічні та організаційні заходи безпеки.
Порядок повідомлення про порушення безпеки контролеру.
Сприяння при реалізації прав суб’єктів даних, DPIA та при аудитах.
Обов’язки при припиненні договору — повернення або стирання персональних даних (за вибором контролера).

12Контакти з питань GDPR та скарг

E-mail для GDPR: gdpr@elvian.cz
Загальний контакт: info@elvian.cz
Адреса: Elvian Technologies s.r.o., Na Folimance 2155/15, 120 00 Praha 2, Чеська Республіка
Уповноважений із захисту персональних даних (DPO): Jana Šmidílková · jana.smidilkova@elvian.cz · +420 731 462 048

Реагуємо не пізніше ніж протягом 1 місяця від отримання запиту. У складних випадках строк може бути продовжений ще на 2 місяці, про що ми Вас повідомимо.

Наглядовий орган: Управління із захисту персональних даних (Úřad pro ochranu osobních údajů), Pplk. Sochora 27, 170 00 Praha 7, www.uoou.cz, posta@uoou.cz.