GDPR

VNITŘNÍ SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

Zpracovaná ve smyslu NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen „GDPR“ nebo jen „nařízení“).

Směrnice upravuje pravidla pro zachování zákonnosti, korektnosti, transparentnosti, účelové omezení, minimalizace údajů, přesnost, omezené uložení, důvěrnosti, integrity, dostupnosti a odolnosti systémů zpracovávajících osobní data/údaje v rámci organizace.

osobní údaj – jím je jakákoliv informace o identifikované či identifikovatelné fyzické osobě – „subjektu údajů“, jakýkoli údaj týkající se této osoby. Na základě tohoto údaje je subjekt přímo či nepřímo ztotožněn, identifikován,

 

identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, Jde o jakoukoliv informaci, která se tyká určité nebo určitelné fyzické osoby,

 

subjekt údajů – jím je identifikovaná či identifikovatelná fyzická osoba, ke které se osobní údaje vztahují,

 

informovaný souhlas – souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle formou prohlášení či jiným zjevným potvrzením svého svolení ke zpracování osobních údajů,

právo být zapomenut (právo na výmaz) – subjekt údajů má právo vymáhat na správci výmaz svých údajů,

zpracování osobních údajů – jím je jakákoli operace s osobními údaji, zejména shromažďování, zaznamenání, uspořádání, strukturování, ukládání na nosiče dat, přizpůsobení, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, či jiné zpřístupnění, seřazení či zkombinování, výmaz nebo zničení. Zpracování musí být vždy účelové,

 

správce – právnická osoba, která určuje účely a prostředky zpracování osobních údajů,

 

zpracovatel osobních údajů – fyzická nebo právnická osoba, i či jiný subjekt, který zpracovává osobní údaje pro správce na základě smlouvy,

pověřenec pro ochranu osobních údajů – jeho úkolem je nezávislé a nestranné plnění úkolů při ochraně osobních údajů v organizaci na základě uzavřené smlouv

dozorový úřad – nezávislý orgán veřejné moci zřízený členským státem

Úřad pro ochranu osobních údajů – www.uoou.cz

 

Článek 1

Předmět a cíle

Účelem vydání této směrnice je aplikace ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a o volném pohybu těchto údajů, tak, aby bylo dosaženo požadované ochrany údajů při jejich zpracování u:

– fyzických osob – zaměstnanců, osob ucházejících se o zaměstnání

– fyzických osob – současných či budoucích obchodních partnerů, klientů; resp. právnických osob, za něž při jednání vystupuje zaměstnanec této právnické osoby a naše organizace pak má k dispozici (v zájmu navázání řádného obchodního styku) potřebné osobní údaje této fyzické osoby – zaměstnance našeho obchodního partnera

Tato směrnice stanoví pravidla týkající se požadované úrovně ochrany fyzických osob v souvislosti se zpracováním osobních údajů a pravidla týkající se volného pohybu osobních údajů v rámci organizace i při předávání ke zpracování třetím subjektům. Vztahuje se na ochranu osobních údajů fyzických osob, včetně OSVČ.

Osobní údaje jsou zpracovávány na základě zákona, na základě právního důvodu nebo se souhlasem subjektu, jehož údaje se zpracovávají. Organizace zajišťuje kontrolu, aby nedocházelo ke zpracování nad rámec zákona, zda údaje, které organizace získává, jsou pro její činnost nezbytné.

Osoby a jejich zákonní zástupci jsou prokazatelným způsobem informovány o rozsahu a účelu zpracovávaných údajů, zda jde o zpracování na základě právní povinnosti organizace, nebo o zpracování na základě poskytnutého souhlasu. Dále jsou informováni o důvodech a lhůtách uložení informací, možnostech subjektu souhlas odvolat, obracet se na zpracovatele dat, na možnost námitek, na právo požadovat omezení zpracování dat jejich opravu či výmaz.

Informovaný souhlas – tam kde je nezbytný – musí být písemný a konkrétní a uchovává se po celou dobu zpracovávání údajů

Osobní údaje zpracovávané na základě školského zákona a dalších prováděcích předpisů:

  • školní matrika
  • statistické výkaznictví
  • dokumenty související s podpůrnými opatřeními
  • dokumenty související se sociálně právní ochranou dětí

Osobní údaje zpracovávané na základě informovaného souhlasu:

  • seznamy účastníků školních a mimoškolních akcí pro dodavatele služeb
  • údaje zveřejňované školou v médiích – web školy, tisk, propagační materiály
  • kamerový systém
  • kontaktní údaje na zákonné zástupce
  • citlivé osobní údaje, které byly poskytnuty dobrovolně zákonnými zástupci dětí v zájmu zajištění jejich specifických potřeb (zvláštní nároky na stravu, režim, zdraví, rodinná anamnéza, kulturní zvyklosti…).

Základní škola Ostrava-Zábřeh, Chrjukinova 12, příspěvková organizace je povinna použít standardizované formuláře souhlasu, které tvoří soubor příloh k této směrnici nebo získat individuální souhlas subjektu údajů ke zpracování údajů tak, aby byl vyjádřen za podmínek stanovených v čl. 7 GDPR tedy: konkrétní, jednoznačný, svobodný, informovaný, oddělitelný, aktivní).

Účelové omezení

Osobní údaje může organizace shromažďovat pouze v rozsahu nezbytném pro určité, výslovně vyjádřené a legitimní účely. Údaje shromážděné pro různé účely nelze spojovat, musí být evidovány a zpracovány odděleně. Získané osobní údaje leze používat pouze pro stanovený účel. Je-li údaj vyžadován na základě zákona nebo jiných právních předpisů, pak se souhlas se zpracováním údajů od subjektu nevyžaduje. Z právních předpisů vyplývá oprávněný zájem.

Rozsah osobních údajů zpracovávaných o žácích je dán:

– právními předpisy, zejména školským zákonem a prováděcími předpisy

Jedná se zejména o údaje pro školní matriku a pro poskytování podpůrných opatření žákům vedeným v § 16 odst. 9 školského zákona. Tyto údaje jsou získávány od zákonných zástupců žáků jednotnými dotazníky a formuláři, které zajišťují, aby nebyly získávány údaje, které škola ve své činnosti nepotřebuje. Pokud právní předpisy upraví (změní) rozsah osobních údajů zpracovávaných školou, škola zajistí informování subjektů, jejichž osobní údaje zpracovává.

– zvláštními účely, které vyplynou z provozu školy například při zajišťování mimoškolních akcí (požadavky ubytovatele na seznamy účastníků školy v přírodě, řešení pojistných událostí). Při těchto účelech jsou informace od subjektů zpracovávány výhradně na základě poskytnutého souhlasu.

Rozsah osobních údajů zpracovávaných o zaměstnancích organizace

Údaje o zaměstnancích jsou zpracovávány na základě zákona, tedy splnění povinností vůči třetím osobám (např. zdravotní pojišťovny, Česká správa sociálního zabezpečení, finanční úřad) a předpisů o archivaci. Rozsah je dán požadavky právních předpisů, zejména zákoníku práce, zákona o pedagogických pracovnících, školského zákona a prováděcích předpisů. Například aby zpracovávané údaje spolehlivě a věrohodně prokazovaly vznik, průběh a ukončení pracovně právního vztahu zaměstnance, včetně poskytování platu. Takto zpracovávané údaje jsou poskytovány zpracovateli mezd. Ochrana osobních údajů je se zpracovatelem mezd řešena smlouvou.

Rozsah osobních údajů zpracovávaných o uchazečích o zaměstnání v organizaci

Po uchazečích jsou vyžadovány pouze údaje nezbytné pro posouzení vhodnosti uchazečů v rámci výběrového řízení (kvalifikace, zdravotní způsobilost, apod.). Další rozšiřující informace jsou požadovány až po případném rozhodnutí o uzavření pracovně právního vztahu. Neúspěšným uchazečům jsou vráceny jimi zaslané dokumenty a jejich osobní údaje jsou vymazány.

Článek 2

Vztah k jiným vnitřním předpisům

Rozsah úpravy obsažený v této směrnici má vztah k jiným vnitřním předpisům. Předpisy dotčené úpravou této směrnice jsou pracovní řád, konkurzní řád, archivace spisový a skartační řád, příkazy ředitele o používání elektronické pošty, internetu, kamerovém systému, k uzavírání a realizaci smluv. V případě rozporu mezi touto směrnicí a jinými vnitřními předpisy v oblasti ochrany osobních údajů má přednost tato směrnice.

Článek 3

Principy ochrany osobních údajů

Zásady zpracování osobních údajů

Zásady zpracovávání osobních údajů vychází především ze zákonnosti, transparentnosti, korektnosti, účelnosti, určitosti, legitimnosti, přiměřenosti, relevance, minimalizace, přesnosti, aktualizace, časové omezenosti a úplnosti zabezpečení osobních údajů.

  1. Osobní údaje musí být:
  2. a) ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem;
  3. b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely;
  4. c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou

zpracovávány (“minimalizace údajů”);

  1. d) přesné a v případě potřeby aktualizované; musí být přijata veškerá v čase rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny (“přesnost”);
  2. e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány (“omezení uložení”);
  3. f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením (“integrita a důvěrnost”);

 

Základní povinností správce je před zahájením zpracování osobních údajů určit účel, pro který bude osobní údaje zpracovávat. Následně může osobní údaje zpracovávat pouze za tímto účelem.

Podstatné je, že účel musí být určen před zahájením zpracování a musí být vyjádřen jednoznačně, srozumitelně, za použití jasných a jednoduchých jazykových prostředků.

Informování subjektu údajů o tom, že jsou zpracovávány jeho osobní údaje, by mělo proběhnout v okamžiku jejich shromáždění od subjektu údajů.

Jestliže mohou být osobní údaje oprávněně sděleny jinému příjemci, měl by být subjekt údajů informován o jejich prvním sdělení tomuto příjemci.

Zpracovávat lze pouze údaje, které souvisejí s účelem zpracování a v minimálním nezbytném rozsahu.

Údaje musí být přesné, nepřesné či chybné údaje je třeba opravit nebo vymazat.

 

Právo na opravu, právo na výmaz, právo přístupu k osobním údajům.

Údaje nelze zpracovávat po neomezenou dobu, pouze po dobu nezbytnou pro naplnění účelu – nikoliv tedy po neomezenou dobu.

 

Ochranu osobních údajů je nezbytné zabezpečit po technické o organizační stránce činnosti.

 

Zpracování musí být v prvé řadě zákonné – musí být prováděno na základě právního titulu, uvedeného v nařízení nebo v jiném právním předpisu (unijním či národním).

Bez právního titulu je zpracování od počátku nelegální.

Oproti obecně rozšířené představě není základem výlučně souhlas subjektu údajů – ten lze odvolat a měl by být vyžadován pouze pro takové zpracování, pro které není dán jiný právní titul pro zpracování. Souhlas především nesmí být vyžadován v případech, kdy zpracování probíhá na základě zákona pro plnění právních povinností správce. Správce by tedy měl vždy hledat jiný právní titul a teprve není-li ho, je namístě zpracovávat na základě souhlasu. Současně lze pro stejné osobní údaje využívat i více titulů najednou, které jsou odlišené účely daných zpracování (plnění smlouvy, plnění zákonné povinnosti, vymáhání nároků).

 

U dále uvedených titulů není potřeba souhlas subjektu údajů:

 

Plnění smlouvy

Údaje nezbytné k uzavření a splnění smlouvy (jméno a adresa zákazníka), nikoliv ale k vymáhání závazku – zde jde o titul oprávněného zájmu.

 

Plnění právní povinnosti jde o povinnosti zaměstnavatelů – vůči zdravotním pojišťovnám, OSSZ, dle zákoníku práce aj.

 

Životně důležitý zájem subjektu údajů při havarijních či jiných život a zdraví ohrožujících situacích.

Úkon ve veřejném zájmu – Profesní komora je oprávněna vést kárné řízení vůči členovi může shromažďovat osobní údaje za tímto účelem.

 

Oprávněný zájem – Provoz kamerových systémů k ochraně majetku, vymáhání nároků.

 

Zpracování zvláštních kategorií osobních údajů – citlivé údaje

  1. Zakazuje se zpracování osobních údajů o zdravotním stavu fyzické osoby mimo níže uvedené případy:
  2. a) subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů,
  3. b) zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posouzení pracovní schopnosti zaměstnance, lékařské diagnostiky, poskytování zdravotní nebo sociální péče či léčby nebo řízení systémů a služeb zdravotní nebo sociální péče na základě práva Unie nebo členského státu nebo podle smlouvy se zdravotnickým pracovníkem a při splnění podmínek a zákonných záruk;

Osobní údaje uvedené v odstavci 1 mohou být zpracovávány pouze, pokud tyto údaje jsou zpracovávány osobou, na niž se rovněž vztahuje povinnost mlčenlivosti podle práva Unie nebo členského státu nebo pravidel stanovených příslušnými vnitrostátními orgány – i při zpracování citlivých údajů je třeba mít jeden z právních titulů.

V rámci činnosti Základní školy Ostrava-Zábřeh, Chrjukinova 12, příspěvkové organizace se údaje o zdravotní, stavu zpracovávají výlučně na základě některého z níže uvedených důvodů:

  • pro účely preventivního nebo pracovního lékařství,
  • pro posouzení pracovní schopnosti zaměstnance,
  • pro účely lékařské diagnostiky,
  • pro účely poskytování zdravotní nebo sociální péče či léčby

 

Článek 4

Správce osobních údajů, Zpracovatel osobních údajů,

Pověřenec na ochranu osobních údajů a jiné kontaktní a odpovědné osoby

Správcem osobních údajů je

Základní škola Ostrava-Zábřeh, Chrjukinova 12, příspěvková organizace;

se sídlem: Chrjukinova 1801/12, 700 30 Ostrava-Zábřeh, IČ: 70978387

  1. Pověřenec pro ochranu osobních údajů

Kontaktní údaje pověřence pro ochranu osobních údajů jsou Mgr. Tomáš Zacha, advokát Konečná & Zacha, s.r.o., advokátní kanceláře, se sídlem Lazarská 1718/3, Praha 1, PSČ: 110 00, IČO: 271 12 331, ev. č. ČAK: 10038, e-mailová adresa dpoostrava@konecna-zacha.com, telefonní číslo: 221 990 455. Zaměstnanci mohou pověřence kontaktovat za podmínek upravených touto směrnicí.

  1. Osoba odpovědná v rámci organizace za ochranu osobních údajů a její zástupce

Odpovědná osoba v rámci Základní školy Ostrava-Zábřeh, Chrjukinova 12, příspěvkové organizace za zpracování a ochranu osobních údajů:

Jméno Mgr. Jana Mikošková pozice ředitelka školy, kontakty reditelka@zschrjukinova.cz

– odpovědná za seznámení ostatních zaměstnanců se zásadami ochrany osobních údajů a s tím souvisejícími povinnostmi;

– odpovědná za interní monitoring souladu zpracování s právními i vnitřními předpisy na ochranu osobních údajů na základě pokynů a pod vedením pověřence na ochranu osobních údajů;

– odpovědná za styk s kontaktními osobami, kterým budou ostatní zaměstnanci organizace, povinní reportovat případná porušení předpisů o ochraně osobních údajů či porušení zabezpečení při jejich zpracování,

– odpovědná za reportování podezření na výše uvedená porušení pověřenci na ochranu osobních údajů a vedení organizace

(dále jen „Odpovědná osoba“).

Zástupce odpovědné osoby v rámci Základní školy Ostrava-Zábřeh, Chrjukinova 12, příspěvkové organizace za zpracování a ochranu osobních údajů:

Jméno Bc. Martina Rovenská, pozice ekonom a personalista školy, kontakty ekonomka@zschrjukinova.cz.

Zaměstnanci a zájmové osoby mohou odpovědnou osobu či v případě její nepřítomnosti zástupce odpovědné osoby kontaktovat osobně, prostřednictvím písemných podání adresovaných k jejich rukám, elektronicky prostřednictvím e-mailové adresy ekonomka@zschrjukinova.cz,či telefonicky na telefonní číslo 596 746 291.

Spolupracující správci a zpracovatelé a jejich zástupci

Spolupracujícím správcem a zpracovatelem osobních údajů, se kterým při zpracování osobních údajů Základní školy Ostrava-Zábřeh, Chrjukinova 12, příspěvkové organizace pravidelně spolupracuje

je Ing. Ondřej Halška, Heřmanická 1280, 735 32 Rychvald kdy kontaktní údaje na správce osobních údajů jsou: telefon +420 732 335 010, e-mail adresa ohalska@gmail.com

a Hana Kolásková,,Kostelní 178, 747 15 Šilheřovice, kdy kontaktní údaje na správce osobních údajů jsou: telefon +420 776 730 800, e-mail adresa hana.kolaskova@seznam.cz

S jinými správci a zpracovateli, příspěvková organizace, spolupracuje pouze nahodile a jednorázově, které nelze konkrétně aktuálně identifikovat a proto se v této směrnici uvádí.

 

Článek 5

Oblasti nakládání s osobními údaji v organizaci, způsob jejich zpracování

K zpracování osobních údajů dochází v organizaci našimi vlastními zaměstnanci v těchto útvarech: ekonomka školy, sekretariát. Organizace zpracovává pouze přesné a pravdivé osobní údaje, které za tím účelem průběžně (v případě změn) ověřuje. Právo (a zároveň povinnost) přijít do styku a nakládat s osobními údaji je zde uvedeným zaměstnancům vybraných útvarů, odborů stanoveno v pracovní náplni, v rámci jejich pracovních úkolů určených vedoucím útvaru, případně přímo ředitelem. Na základě podepsané „dohody o mlčenlivosti“ jsou zaměstnanci přicházející při plnění svých pracovních úkolů do styku s osobními údaji povinni se vyhýbat jakémukoliv jednání, které by mohlo být považováno za neoprávněné zveřejňování osobních údajů, a to jak na pracovišti, tak i mimo něj. Osobní údaje jsou předávány pouze tam, kde je to nezbytné pro plnění pracovních povinností (tzn. např. vůči nadřízenému, spolupracovníkovi, předání osobních údajů externímu smluvnímu zpracovateli, oprávněným externím uživatelům – zdravotní pojišťovna, OSSZ, FÚ, ČSÚ, Úřad práce …).

Organizace pro zajištění potřebného pracovního kontaktu na své zaměstnance uveřejňuje na svých webových stránkách a v dalších informačních materiálech na základě informovaného souhlasu zaměstnance tyto jejich údaje: příjmení, jméno, titul, funkční zařazení, pracovní emailová adresa. Jsou tedy zveřejňovány pouze takové osobní údaje zaměstnance týkající se výhradně jeho pracovních aktivit a nedotýkající se jeho soukromého života.

Údaje jsou získávány přímo od dotčených zaměstnanců a to písemně (občanské průkazy – kontrola a opis dat, potvrzení o zaměstnání od předchozího zaměstnavatele, pracovní posudky, dotazníky, životopisy, žádosti o přijetí, zdravotní prohlídky, doklady o dosaženém vzdělání a praxi, výpisy z rejstříku trestů (pouze u pedagogických zaměstnanců a zaměstnanců s hmotnou odpovědností), nebo ústně (nahlašování změn zaměstnancem, doplnění údajů při rozšíření požadavků plynoucích ze zvláštních zákonů). Ústní údaje jsou pověřeným zaměstnancem podchyceny a převedeny do písemné (elektronické) podoby.

Veškeré osobní údaje zaměstnanců v listinné – papírové podobě jsou shromažďovány v osobním spisu zaměstnanců v personálním útvaru (uložení v uzamčené skříni s omezeným přístupem). Nikdy nejsou ponechávány bez dozoru a mají k nim omezený přístup – na vyžádání tito zaměstnanci: (ekonomka školy a ředitelka školy). Údaje v elektronické podobě se nacházejí na počítači u ekonomky školy. Oprávněnou osobou za údaje zaměstnanců je ekonomka školy.

Správce sítě/IT zodpovídá za komplexní IT ochranu veškerých elektronicky uložených osobních údajů.

Osobní údaje fyzických osob v rámci obchodních (dodavatelsko-odběratelských vztahů):

Účelem zpracování osobních údajů v této oblasti je výběr vhodných obchodních partnerů pro uzavření obchodních smluv k zajištění plnění úkolů organizace. Údaje jsou získávány formou odpovědí na inzeráty správce, prostřednictvím výběrových řízení na dodavatele, předkládáním nabídek odběratelům, jsou to rovněž údaje z veřejných databází, z tisku a dalších zdrojů. Samotnými doklady obsahujícími osobní údaje pak jsou živnostenské listy, nabídky, objednávky, faktury, návrhy smluv, obchodní smlouvy, výpisy z rejstříku a dalších evidencí, databáze dřívějších klientů.

Obdobně jako u zaměstnanců jsou osobní údaje chráněny v oblasti dodavatelskoodběratelských vztahů, kdy k údajům v elektronické podobě je přístup prostřednictvím hesla oprávněné osoby; osobní údaje obsažené ve spisové – papírové podobě (smlouvy s obchodními partnery – fyzickými osobami, či s právnickými osobami, kde zastupuje příslušného obchodního partnera daná konkrétní fyzická osoba a další doklady obsahující osobní údaje – viz výše) jsou v uzavřených skříních s omezeným přístupem (ředitelka, ekonomka, tajemnice).

Veškeré elektronické údaje jsou před napadením chráněny obdobným způsobem jako osobní údaje.

Ke styku s osobními údaji dochází rovněž v sekretariátu při rozdělování došlé pošty, u zaměstnanců kontrolního odboru při výkonu interní kontroly v jednotlivých odborech organizace, které nakládají s osobními údaji a rovněž při nakládání s osobními údaji v elektronické podobě správcem poč. sítě/IT. Všechny tyto osoby jsou rovněž vázány mlčenlivostí a jsou povinny při plnění svých povinností zabránit jakémukoli úniku/zneužití osobních údajů, s kterými přicházejí do styku.

 

Článek 6

Práva subjektu údajů

A.

Právo subjektu údajů na přístup k osobním údajům

  1. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
  2. a) účely zpracování;
  3. b) kategorie dotčených osobních údajů;
  4. c) příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
  5. d) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není – li ji možné určit, kritéria použitá ke stanovení této doby;
  6. e) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování, anebo vznést námitku proti tomuto zpracování;
  7. f) právo podat stížnost u dozorového úřadu;
  8. g) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
  9. h) skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.

 

Správce poskytne kopii zpracovávaných osobních údajů.

Je-li to možné, měl by mít správce možnost poskytnout dálkový přístup k bezpečnému systému, který by subjektu údajů umožnil přímý přístup k jeho osobním údajům.

 

B.

Transparentní informace, sdělení a postupy pro výkon práv subjektu údajů

  1. Správce je povinen sám nebo prostřednictvím zpracovatele osobních údajů poskytnout subjektu údajů veškeré informace uvedené v článku 10 této směrnice.
  2. Informační povinnost vůči subjektu údajů musí Základní škola Ostrava-Zábřeh, Chrjukinova 12, příspěvková organizace plnit při získání informací dle čl. 13 a 14 GDPR, nicméně tuto povinnost plní/realizuje na žádost subjektu údajů včetně informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Pro výkon kontrolní činnosti je subjekt údajů povinen uplatnit své právo na informace písemně u správce osobních údajů nebo přímo u pověřence.
  3. Pokud správce nepřijme opatření, o něž subjekt údajů požádal, informuje bezodkladně a nejpozději do jednoho měsíce od přijetí žádosti subjekt údajů o důvodech nepřijetí opatření a o možnosti podat stížnost u dozorového úřadu a žádat o soudní ochranu.
  4. Informace podle článků 10 a veškerá sdělení a veškeré úkony se poskytují a činí bezplatně.

Jsou – li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď:

  1. a) uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím

požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo

  1. b) odmítnout žádosti vyhovět.

Zjevnou nedůvodnost nebo nepřiměřenost žádosti dokládá správce.

 

C.

Právo na opravu

Subjekt údajů má právo na to, aby správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.

 

D.

Právo na výmaz (“právo být zapomenut”)

  1. Subjekt údajů má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
  2. a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány;
  3. b) subjekt údajů odvolá souhlas, a neexistuje žádný další právní důvod pro zpracování;
  4. c) subjekt údajů vznese námitky proti zpracování;
  5. d) osobní údaje byly zpracovány protiprávně;
  6. e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
  7. f) osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.
  8. Odstavec 1 se neuplatní, pokud je zpracování nezbytné:
  9. a) pro výkon práva na svobodu projevu a informace;
  10. b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
  11. c) z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3;
  12. e) pro určení, výkon nebo obhajobu právních nároků.

 

E.

Právo na omezení zpracování

  1. Subjekt údajů má právo na to, aby správce omezil zpracování, v kterémkoli z těchto případů:
  2. a) subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
  3. b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
  4. c) správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
  5. d) subjekt údajů vznesl námitku proti zpracování, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
  6. Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
  7. Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno.

 

F.

Právo na přenositelnost údajů

  1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve

strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že:

  1. a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
  2. b) zpracování se provádí automatizovaně.
  3. Při výkonu svého práva na přenositelnost údajů podle odstavce 1 má subjekt údajů právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné.

 

 

Článek 7

Postup v případě odvolání souhlasu ze strany subjektu údajů

V případě že odpovědné osobě, zpracovateli/správci či pověřenci sdělí subjekt údajů, že jím udělený souhlas ke zpracování osobních údajů odvolává, musí kterýkoliv zaměstnanec správce, který tuto informaci přijal bezodkladně oznámit tuto skutečnost osobám pověřeným v rámci organizace likvidací údajů, popř. pokud má údaje zlikvidovat sám zaměstnanec, a v případě, že odvolání souhlasu nebrání zákonné důvody, zajistí provedení této likvidace ve lhůtě bez zbytečného odkladu.

Současně správce prostřednictvím svých zaměstnanců poučí subjekt údajů o následcích odvolání souhlasu, lhůtách, ve kterých bude zpracování ukončeno, právu obdržet před výmazem kopii údajů aj., pokud je takové poučení případné.

Dále zpracovatel v případech, kdy zpracování probíhá pro jiný subjekt (správce) nebo za pomocí jiného subjektu (zpracovatele), je povinen informovat o odvolání souhlasu Odpovědnou osobu v rámci organizace a/nebo příslušného správce/zpracovatele o odvolání souhlasu tak, aby bylo odvolání souhlasu předáno i těmto osobám, aby mohly zpracování ukončit.

 

Článek 8

Postupy pro zajištění realizace jednotlivých práv subjektů údajů

Zajištění jednotlivých práv subjektů údajů, při vyřizování žádostí/stížností/námitek subjektů údajů je v organizaci realizováno pouze prostřednictvím odpovědné osoby či jejího zástupce. Všichni zaměstnanci jsou v pracovním pořádku povinni spoluprací/součinností tak, aby bylo možno zajistit efektivní vyřízení věci.

Odmítnutí spolupráce/součinnosti může být považováno za (zvlášť hrubé) hrubé porušení pracovně právních předpisů a předpisů souvisících s výkonem práce s následkem rozvázání pracovního poměru s nespolupracujícím zaměstnancem.

Odpovědná osoba zajistí vyřízení žádostí/stížností/námitek subjektů údajů ve spolupráci se správcem osobních údajů v pracovním pořádku ve lhůtě do 30-ti dnů. U případů zvláštního zřetele hodných – z důvodu složitosti nebo vysokého počtu žádostí – může být lhůta vyřízení prodloužena na trojnásobek.

Odpovědná osoba při zajišťování kontrolní pravomoci vyřízení žádostí/stížností/námitek subjektů údajů může požádat o spolupráci přímého nadřízeného pracovníka správce osobních údajů popřípadě přímo pověřence pro ochranu osobních údajů efektivní vyřízení věci.

O veškeré činnosti při vyřizování žádostí/stížností/námitek subjektů údajů vede odpovědná osoba/y písemné záznamy s vyznačením předmětu řízení, účastníků řízení a především datování jednotlivých úkonů ve věci naběhlých. O vyřízení věci se pořizuje protokol o vyřízení věci.

 

Článek 9

Předávání a zpřístupňování osobních údajů třetím osobám

  1. Předávání osobních údajů (správci a zpracovatelé)

Osobní údaje se v Základní škole Ostrava-Zábřeh, Chrjukinova 12, příspěvkové organizaci předávají pouze v pracovním pořádku mezi zpracovateli jednotlivých agend na základě právních titulů a) Plnění smlouvy, b) Plnění právní povinnosti, c) Životně důležitý zájem subjektu údajů, d) Úkon ve veřejném zájmu, e) Oprávněný zájem či vysloveného a písemně dokumentovaného souhlasu subjektu údajů.

Ze stejného titulu jsou osobní údaje předávány jiným správcům a zpracovatelům, kteří agenturně zpracovávají jednotlivé agendy.

Jedná se o tyto agendy:

– zpracování mezd

 

Článek 10

Další povinnosti v souvislosti se zpracováním osobních údajů

Oznamovací povinnost ohledně porušování povinností při práci s osobními údaji, při realizaci oprav nebo výmazu osobních údajů nebo omezení jejich zpracování má každý zaměstnanec či spolupracující osoba/y.

Veškerá oznámení jsou v organizaci shromažďována, evidována a vyřizována pouze prostřednictvím odpovědné osoby. Odpovědná osoba každé jednotlivé oznámení bez zbytečného odkladu zaeviduje, vyhodnotí jeho důvodnost a míru rizikovosti a jeho vyřízení realizuje za spolupráce ostatních zaměstnanců v pracovním pořádku. Lhůta k vyřízení důvodných oznámení se stanovuje do 30-ti dnů. U případů zvláštního zřetele hodných – z důvodu složitosti nebo vysokého počtu žádostí – může být lhůta vyřízení prodloužena na trojnásobek.

Aktualizace záznamů o činnostech zpracování

Vzhledem k tomu, že činnosti zpracování a způsoby zabezpečení osobních údajů se v čase mění, je nutné za účelem zajištění plného souladu s právní úpravou v každém okamžiku provádět pravidelné aktualizace záznamů o činnostech zpracování. V této souvislosti jsou všichni zaměstnanci podílející se na zpracování osobních údajů povinni pravidelně oznamovat Odpovědné osobě případně zaznamenané faktické změny v činnostech zpracování tak, aby mohly být záznamy Odpovědnou osobou v pravidelných přiměřených časových intervalech aktualizovány.

Článek 11

Záznamy o činnostech zpracování

Každý správce, jeho případný zástupce či zpracovatel osobních údajů vede záznamy o činnostech zpracování, za něž odpovídá.

Tyto záznamy obsahují všechny tyto informace:

  1. a) jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
  2. b) účely zpracování;
  3. c) popis kategorií subjektů údajů a kategorií osobních údajů;
  4. d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
  5. e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;
  6. f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
  7. g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1..

 

Záznamy se vyhotovují písemně, v to počítaje i elektronickou formu.

 

Článek 12

Povinnost součinnosti

Všichni zaměstnanci jsou v pracovním pořádku povinni spoluprací/součinností pověřenci na ochranu osobních údajů a Odpovědné osobě při plnění jejich úkolů na úseku ochrany osobních údajů tak, aby bylo možno zajistit efektivní vyřízení věci.

 

Odmítnutí spolupráce/součinnosti může být považováno za (zvlášť hrubé) hrubé porušení pracovně právních předpisů a předpisů souvisících s výkonem práce s následkem rozvázání pracovního poměru s nespolupracujícím zaměstnancem.

 

Článek 13

Povinnost mlčenlivosti

Veškerým zaměstnancům, kteří jsou zapojení do plnění úkolů na úseku ochrany osobních údajů, se ukládá povinnost mlčenlivosti ohledně osobních údajů zpracovávaných organizací ve vztahu ke zpracování osobních údajů v pracovním pořádku. Povinnost mlčenlivosti trvá i po skončení zaměstnání nebo příslušných prací (tímto ustanovením není dotčena mlčenlivost uložená zaměstnancům na základě zvláštních právních předpisů).

Závazek mlčenlivosti je vždy sjednán v pracovních smlouvách.

 

Článek 14

Bezpečnostní opatření

A.

Organizační bezpečností opatření

Identifikace, autorizace a autentizace

Rozsah přístupu jednotlivých skupin zaměstnanců (resp. jejich oprávnění mít přístup) k jednotlivým druhům osobních údajů je vymezen v příloze 1. této interní směrnice včetně podmínek kdy mohou být jednotlivé údaje či kategorie údajů zpřístupněny i jiným věcně v pracovním pořádku oprávněným zaměstnancům, kteří k nim standardně nemají přístup (např. v odůvodněných případech se souhlasem vedoucího zaměstnance nebo Odpovědné osoby).

Organizační opatření, která se na jednotlivé kategorie osobních údajů v rámci organizace uplatňují, vyplynou z praktické aplikace této směrnice a budou přijímána průběžně v budoucnu tak, aby byly naplněny základní principy této směrnice a nařízení GDPR.

Systémy vzdělávání a testování

Odpovědná osoba za ochranu osobních údajů je povinna organizací pravidelných školení a ověřování znalostí v oblasti ochrany osobních údajů.

V této souvislosti je uložena povinnost dotčeným zaměstnancům zpracovávajícím v pracovním pořádku vymezené osobní údaje, účastnit se pravidelných školení, a to včetně povinnosti vedoucích zaměstnanců participovat na organizaci školení a ověřování znalostí svých podřízených zaměstnanců, jakož i povinnost uchovávat o takových školeních a testováních záznamy pro účely pravidelného vyhodnocování úrovně ochrany osobních údajů a efektivity přijatých bezpečnostních opatření.

Systém kontrol a reportingu

Odpovědná osoba a vedoucí zaměstnanci na úrovní třetího stupně řízení jsou oprávněni provádět průběžné namátkové kontroly zaměstnanců ohledně dodržování právních předpisů na úseku ochrany osobních údajů a ustanovení této směrnice.

Odpovědná osoba a vedoucí zaměstnanci na úrovní třetího stupně řízení, provádějící průběžné kontroly, jsou povinni o těchto kontrolách vytvářet a uchovávat záznamy a jejich výsledky vyhodnocovat a reportovat vedení a pověřenci na ochranu osobních údajů.

B.

Technická bezpečnostní opatření

  1. u osobních údajů zpracovávaných manuálně v listinné podobě tyto budou ukládány vždy v uzamykatelném nábytku a uzamykatelné místnosti,
  2. u osobních údajů zpracovávaných elektronicky tyto budou ukládány vždy na zřízení přístupu na základě hesla.
  3. Dále se jedná o IT zabezpečení veškerých informačních systému (antivirový systém, firewall, zabezpečení proti hackerům, automatické zálohování pro případy selhání systému apod.).

Článek 15

Ohlašování a oznamování případů porušení zabezpečení

Jakékoliv porušení předpisů vztahujících se na zpracování a ochranu osobních údajů, nebo porušení této směrnice jsou řadoví zaměstnanci povinni neodkladně ohlásit Odpovědné osobě.

Odpovědná osoba je povinna vést o všech učiněných ohlášeních záznamy, které bude povinna v pravidelných půlročních termínech předkládat pověřenci a vedení organizace.

Odpovědná osoba v každém případě posoudí, zda se může jednat o porušení zabezpečení ve smyslu čl. 4 odst. 12 GDPR nebo jiné porušení právních předpisů nebo této směrnice.

V případě, kdy se může jednat o porušení zabezpečení ve smyslu čl. 4 odst. 12 GDPR, pak:

– V případě, že organizace vystupuje jako zpracovatel, oznámí Odpovědná osoba takové porušení neprodleně pověřenci na ochranu osobních údajů, vedení organizace a příslušnému správci.

– V případě, že organizace vystupuje jako správce, oznámí Odpovědná osoba takové porušení neprodleně pověřenci na ochranu osobních údajů a vedení organizace. Pověřenec vyhodnotí, zda uvedené porušení pravděpodobně představuje rizika pro práva subjektů údajů a sdělí Odpovědné osoba a vedení organizace své stanovisko ohledně navrhovaných způsobů řešení, nutnosti ohlásit takové porušení úřadu a nutnosti oznámit takové porušení subjektům údajů. Pokud je to nutné, vedení organizace provede ohlášení úřadu nejpozději do 72 hodin od zjištění porušení zabezpečení a následně provede i případné oznámení vůči subjektům, pokud je to případné, a to způsobem a dle doporučení pověřence.

Řadoví zaměstnanci se sice mohou s oznámením o porušení předpisů vztahujících se na zpracování a ochranu osobních údajů, nebo porušení této směrnice obrátit na pověřence přímo, ale ve smyslu této směrnice se řadovým zaměstnancům ukládá oznámení realizovat skrze Odpovědnou osobu, mimo výjimečné případy, kdy Odpovědná osoba ani její zástupce nejsou na pracovišti přítomni a došlo pravděpodobně k závažnému porušení zabezpečení, jehož řešení nesnese odkladu.

V takovém případě je oprávněn informovat vedení organizace a pověřence kterýkoliv zaměstnanec přímo.

Ohlašování případů porušení zabezpečení Úřadu na ochranu osobních údajů

Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu

  1. Jakékoli porušení zabezpečení osobních údajů správce bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl, ohlásí dozorovému úřadu.
  2. Správce dokumentuje veškeré případy porušení zabezpečení osobních údajů, přičemž uvede skutečnosti, které se týkají daného porušení, jeho účinky a přijatá nápravná opatření. Tato dokumentace musí dozorovému úřadu umožnit ověření souladu s tímto článkem.
  3. Jakmile se tedy správce o porušení zabezpečení osobních údajů dozví, měl by je bez zbytečného odkladu, a je-li to možné, do 72 hodin poté, co se o něm dozvěděl, ohlásit příslušnému dozorovému úřadu, ledaže může v souladu se zásadou odpovědnosti doložit, že je nepravděpodobné, že by dané porušení zabezpečení osobních údajů mělo za následek riziko pro práva a svobody fyzických osob.
  4. Není-li toto ohlášení možné učinit do 72 hodin, měly by být spolu s ním uvedeny důvody zpoždění a informace mohou být poskytnuty postupně bez zbytečného dalšího prodlení.

 

Článek 16

Doba zpracování a zásady likvidace osobních údajů

Doba zpracování (archivace) a lhůty pro likvidaci jednotlivých kategorií zpracovávaných osobních údajů Základní školy Ostrava-Zábřeh, Chrjukinova 12, příspěvkové organizace, které vyplývají z právních předpisů, jsou uvedeny v příloze 1 této směrnice. V dalším se likvidace řídí jinými vnitřními předpisy školy, především pak spisovým a skartačním řádem.

 

Článek 17

Odpovědnost správce

S přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob zavedl správce vhodná technická a organizační opatření, aby zajistil a byl schopen doložit, že zpracování je prováděno v souladu s tímto nařízením.

Tato opatření budou podle potřeby revidována a aktualizována.

 

Závěrečná ustanovení

Kontrolou provádění ustanovení této směrnice je statutárním orgánem školy pověřen zaměstnanec:

O kontrolách provádí písemné záznamy.

Zrušuje se směrnice k ochraně osobních údajů, její uložení ve spisovně školy se řídí spisovým řádem školy.

Směrnice nabývá účinnosti dnem: 25.5.2018

 

 

Mgr. Jana Mikošková

ředitelka školy