Ochrana osobních údajů - GDPR

 

 

Dne 25. května 2018 vstoupilo v účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Mateřská škola Jablonec nad Nisou, Husova 3, příspěvková organizace, jako správce a zpracovatel osobních údajů za účelem naplnění zásady transparentnosti ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen GDPR) informuje o základních aspektech zpracování osobních údajů, která probíhají v rámci činností naší organizace, o právech subjektů údajů a způsobech jejich uplatnění.

Správce osobních údajů:

Název organizace

Mateřská škola Jablonec nad Nisou, Husova 3, příspěvková organizace

Sídlo organizace

Husova 3, Jablonec nad Nisou, 46601

725 503 68

Kontaktní telefon

778 061 314

Kontaktní e-mail

e-mail: husova@materska-skola.com

Elektronická podatelna

 

ID datové schránky

dn9ah7e

Web

ms-kapicka.webnode.cz

 

Pověřenec pro ochranu osobních údajů:

V souladu s článkem 37 odst. 1 písm. a) GDPR správce osobních údajů zřídil funkci pověřence (DPO – Data Protection Officer).

Titul

Ing.

Jméno

Zbyněk

Příjmení

Vavřina

Kontaktní telefon

+420 602 423 675

Kontaktní e-mail

vavrina.gdpr@gmail.com

Hlavním úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat správce osobních údajů.

Mezi další úkoly Pověřence náleží např.:

  • poskytování informací a poradenství správci a zaměstnancům správce, kteří se na zpracování osobních údajů podílejí,
  • monitorování souladu činností správce s GDPR,
  • poskytování poradenství na vyžádání, pokud jde o posouzení vlivu na ochranu osobních údajů,
  • spolupráce s Úřadem pro ochranu osobních údajů,
  • působení jako kontaktní místo pro subjekty údajů,
  • zpracování doporučení v oblasti úprav interních předpisů (směrnic),
  • realizace školení zaměstnanců, kteří provádějí zpracování osobních údajů,
  • poskytování metodické pomoci při realizaci inventury zpracování osobních údajů,
  • poskytování metodické pomoci při zpracování analýzy rizik,
  • poskytování metodické pomoci při návrhu technických a organizačních opatření v rámci nápravných opatření,
  • poskytování metodické pomoci při jednání s dodavateli software či technologií dotýkajících se problematiky zpracování osobních údajů.

Názvosloví – vymezení pojmů

  • Anonymní údaj

Údaj, který v původním tvaru, nebo po provedeném zpracování osobních údajů nelze vztáhnout k identifikované nebo identifikovatelné fyzické osobě.

  • Automatizované zpracování osobních údajů

Běžně rozšířená forma zpracování osobních údajů za použití výpočetní techniky, bez lidského zásahu.

  • Biometrický údaj

Osobní údaj technického charakteru zpracování osobních údajů fyzických či fyziologických znaků fyzické osoby, který umožňuje jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, DNA, apod.

  • Dozorový úřad

Úřad pro ochranu osobních údajů (zkráceně také ÚOOÚ) je v České republice nezávislým orgánem, který:

  • provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů,
  • přijímá podněty a stížnosti občanů na porušení zákona,
  • poskytuje konzultace v oblasti ochrany osobních údajů.
  • Důvěrnost

K informacím či datům mají přístup pouze oprávněné osoby.

  • GDPR

Právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. Jedná se o obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation), které je účinné od 25. května 2018.

  • Integrita

Informace či data nebyla změněna neoprávněnou osobou.

  • Identifikovaná nebo identifikovatelná fyzická osoba

Fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

  • Osobní údaj

Každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů).

Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě, jelikož obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.

  • Pověřenec pro ochranu osobních údajů

Neboli DPO (z anglického Data Protection Officer) je pracovní pozice stanovená dle GDPR. Hlavním úkolem DPO je monitorování souladu zpracování osobních údajů správce s povinnostmi vyplývajícími z GDPR.

  • Právní důvody

Oprávnění správce osobní údaje zpracovávat.

  • Profilování

Jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

  • Příjemce osobních údajů

Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty.

Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem ČR, se za příjemce nepovažují. Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem EU či ČR. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci, ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování osobních údajů.

  • Pseudonymizace

Proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejné fyzické osoby, aniž by bylo nutné znát její totožnost. Pseudonymizované osobní údaje nejsou anonymizovanými údaji, proto se na ně stále vztahuje regulace GDPR.

  • Souhlas subjektu údajů

Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

  • Správce

Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

  • Subjekt údajů

Identifikovaná nebo identifikovatelná fyzická osoba. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

  • Uchovávání osobních údajů

Udržování údajů v takové podobě, která je umožňuje dále zpracovávat.

  • Zpracovatel

Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

  • Zpracování osobních údajů

Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Pro nakládání s osobními údaji způsobem, který není zpracováním osobních údajů, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník.

  • Zvláštní kategorie osobních údajů

Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zpracování genetických a biometrických osobních údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Principy zpracování osobních údajů

Mateřská škola Jablonec nad Nisou, Husova 3, příspěvková organizace jako správce i zpracovatel se při zpracování osobních údajů řídí GDPR a dalšími právními předpisy upravujícími ochranu osobních údajů a stanovenými principy. Základní principy vycházející z GDPR jsou následující:

  • zákonnost, korektnost a transparentnost zpracování,
  • účelové omezení (zpracovávání jen pro určité a legitimní účely),
  • minimalizace osobních údajů (dochází ke zpracování pouze v nezbytně nutném rozsahu ve vztahu k danému účelu),
  • přesnost a aktuálnost (organizace dbá na to, aby nepřesné, chybné či neaktuální osobní údaje byly bezodkladně opraveny nebo vymazány),
  • omezené uložení (osobní údaje jsou v organizaci uloženy po dobu ne delší, než je nezbytně nutné pro účely, pro které jsou zpracovávány a dále dle schváleného spisového plánu správce pouze pro účely archivnictví v rozsahu stanoveném příslušnými právními předpisy),
  • integrita a důvěrnost (osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením).

Právní důvody zpracování

Mateřská škola Jablonec nad Nisou, Husova 3, příspěvková organizace zpracovává osobní údaje subjektů údajů, tj. fyzických osob, na základě následujících právních důvodů (titulů): 

  • Plnění právní povinnosti

Zpracování je nezbytné pro splnění právní povinnosti (dle zákona, vyhlášky ministerstva, nařízení EU, apod.), která se na správce vztahuje, např. agenda cestovních dokladů nebo občanských průkazů, stavební řízení, účetnictví.

  • Výkon veřejné moci nebo plnění úkolu ve veřejném zájmu

Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, např. provozování městského kamerového systému pro potřeby prevence kriminality a zajištění veřejného pořádku.

  • Plnění smlouvy

Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů, např. nákup a prodej nemovitostí, pronájem obecních bytů.

  • Oprávněný zájem

Zpracování je nezbytné pro splnění oprávněného zájmu správce. V případě oprávněného zájmu je nutné posoudit vždy konkrétní situaci, tedy určit, zda skutečně je zájem oprávněný, a za jakým účelem je nezbytné zpracovat osobní údaje.

  • Ochrana životně důležitého zájmu

Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, např. povodně, požáry, nehody.

  • Souhlas se zpracováním osobních údajů

Zpracování je nezbytné pro plnění účelu, který nelze zařadit pod právní důvody uvedené výše. Souhlas je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Souhlas se zpracováním osobních údajů musí být:

  • Srozumitelný

Vyjádření souhlasu musí být srozumitelné a od ostatních závazků a jiných skutečností odlišitelné, např. nesmí být součástí všeobecných podmínek, obchodní smlouvy.

  • Svobodný

Každý subjekt údajů poskytuje svůj souhlas dobrovolně a může svůj souhlas kdykoliv odvolat.

  • Konkrétní

Souhlas musí být natolik konkrétní, aby v něm subjekt údajů rozpoznal přesný účel zpracování osobních údajů. V případě, že účelů má být více, musí být uveden každý zvlášť a o každém musí mít subjekt údajů možnost se samostatně rozhodnout.

  • Informovaný

Aby bylo možno souhlas se zpracováním osobních údajů považovat za informovaný, je nutné subjektu údajů sdělit:

  • identitu správce,
  • účel jednotlivých způsobů zpracování,
  • jakých osobních údajů se zpracování bude týkat, a to alespoň podle jejich druhu,
  • informaci o možnosti souhlas kdykoliv odvolat,
  • zda osobní údaje budou předmětem automatizovaného rozhodování včetně profilování,
  • zda zpracovávané osobní údaje budou předávány třetím stranám.
    • Jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů

Práva subjektu údajů

Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů, mezi práva subjektu údajů náleží:

  • Právo na přístup k informacím

Subjekt údajů má právo na základě žádosti získat od správce informace, zda jsou jeho osobní údaje zpracovávány:

  • účely zpracování,
  • kategorie dotčených osobních údajů,
  • seznam příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • informace o plánované době, po kterou budou osobní údaje uloženy,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.
  • Právo na opravu

Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

  • Právo na výmaz údajů („být zapomenut“)

Správce má povinnost zlikvidovat osobní údaje, pokud je splněna alespoň jedna z následujících podmínek:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • osobní údaje musí být vymazány, pokud pominul právní důvod jejich zpracování,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovávány protiprávně,
  • není dán rodičovský souhlas se zpracováním osobních údajů dětí.

Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze v rámci „práva být zapomenut“ žádat např. likvidaci všech osobních údajů po ukončení zaměstnání, jelikož se na správce vztahují zákonné povinnosti o dalším uchování osobních údajů.

  • Právo na omezení zpracování

Zahrnuje v sobě dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.

  • Právo na přenositelnost zpracování

Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů má právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že zpracování je založeno na souhlasu nebo na smlouvě.

  • Právo na námitku proti zpracování

Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů.

  • Automatizované individuální rozhodování včetně profilování

Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.

Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo ČR, nebo pokud je založeno na výslovném souhlasu subjektu údajů.

Informační povinnost vůči subjektu údajů

  • Povinnosti správce v oblasti poskytování transparentních informací, sdělení a postupů pro výkon práv subjektů údajů jsou detailně upraveny v článcích 12, 13 a 14 GDPR.
  • Výjimka z povinnosti poskytnout informaci je přípustná pouze v tom případě, že subjekt údajů již těmito informacemi disponuje. Správce však musí být v případě potřeby schopen prokázat, že subjekt údajů byl skutečně informován o všech požadovaných informacích, tj. že došlo ke splnění informační povinnosti dle GDPR.
  • Do poskytovaných informací subjektu údajů patří:
    • totožnost a kontaktní údaje správce a jeho případného zástupce,
    • kontaktní údaje pověřence pro ochranu osobních údajů (DPO – Data Protection Officer),
    • právní důvod pro zpracování osobních údajů a účely zpracování,
    • příjemce nebo kategorie příjemců osobních údajů,
    • případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci.
  • Správce poskytne subjektu údajů v okamžiku získání osobních údajů další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování o:
    • době, po kterou budou osobní údaje uloženy,
    • právu požadovat od správce přístup, opravu nebo výmaz osobních údajů, popřípadě omezení zpracování,
    • právu vznést námitku proti zpracování a právu na přenositelnost údajů,
    • právu odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,
    • právu podat stížnost u dozorového úřadu,
    • skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy. Zda má subjekt údajů povinnost osobní údaje poskytnout, a o možných důsledcích neposkytnutí těchto údajů,
    • skutečnosti, že dochází k automatizovanému rozhodování včetně profilování.
  • Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu.
  • Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 GDPR, a učinil veškerá sdělení podle článků 15 až 22 a 34 GDPR o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
  • Pokud se jedná o žádost podle článků 15 až 22 GDPR, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
  • Zásadně platí, že informace podle článků 13 a 14 GDPR a veškerá sdělení a úkony podle článků 15 až 22 a 34 GDPR se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.