Název právnické osoby podle zřizovací listiny

Zpracování a zabezpečení osobních údajů

v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů)

Obsah

1.Účel předpisu 3

2.Věcná působnost interního předpisu 3

3.Personální působnost interního předpisu 3

4.Vysvětlení základních pojmů a příklady 3

4.1 Osobní údaj 3

4.2 Zvláštní kategorie osobních údajů (citlivé údaje) 4

4.3 Subjekt údajů 4

4.4 Správce 4

4.5 Zpracovatel 4

4.6 Příjemce 4

4.7 Právní důvod zpracování osobních údajů 5

4.8 Zpracování osobních údajů 5

5.Základní etapy procesu zpracování osobních údajů, souvislost s archivací dokumentu 5

5.1Osobní údaje jsou získány od subjektu údajů 5

5.2 Osobní údaje nejsou získány od subjektu údajů 6

6.Zásady zpracování osobních údajů a s nimi spojené základní povinnosti zaměstnanců 7

6. 1 Zásady zpracování osobních údajů a obecné povinnosti zaměstnanců 7

6.2 Povinnosti zaměstnanců v souvislosti s rozsahem a způsobem zpracování osobních údajů 8

6.2.1 Každý zaměstnanec – pedagogický a nepedagogický pracovník – je povinen 8

6.2.2 Pedagogičtí pracovníci 9

6.3 Výchovný poradce, metodik prevence, speciální pedagog, školní psycholog 9

6. 4 Vedoucí zaměstnanci 9

6. 5 Zaměstnanci, kteří nejsou vedoucími zaměstnanci, avšak jsou podle organizačního předpisu oprávněni organizovat, řídit a kontrolovat práci jiných zaměstnanců a dávat jim k tomu účelu závazné pokyny 10

6. 7 Další zaměstnanci 10

7.Zabezpečení osobních údajů 11

7.1 Obecná pravidla 11

7.2 Zabezpečení osobních údajů účastníků řízení 13

7.3 Zabezpečení osobních údajů dětí, žáků v průběhu poskytování vzdělávání nebo školské služby 13

7.4 Zabezpečení osobních údajů uchazečů o zaměstnání a zaměstnanců 14

8.Porušení zabezpečení a hlášení porušení zabezpečení 14

9.Spolupráce s pověřencem 15

10.Závěrečná ustanovení 16

Ředitel Renata Dohnalová jako statutární orgán organizace v souladu s ust. § 163 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, vydává interní předpis Zpracování a zabezpečení osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů) (dále jen „GDPR“).

  1. Účel předpisu

Účelem interního předpisu Zpracování a zabezpečení osobních údajů v souladu s GDPR (dále jen „interní předpis“) je

  1. informovat zaměstnance organizace o základních pojmech a procesech souvisejících se zpracováním osobních údajů, vysvětlit dané pojmy a procesy, a to mimo jiné uvedením pro organizaci typických konkrétních případů nebo činností,
  2. vymezit práva a povinnosti zaměstnanců organizace související se zpracováním osobních údajů.
  1. Věcná působnost interního předpisu

Interní předpis upravuje

  1. základní rámec činností a postupů při zpracování osobních údajů v organizaci,
  2. základní procesy zabezpečení osobních údajů v organizaci,
  3. činnosti a postupy zaměstnanců organizace, případně dalších osob při zpracování osobních údajů v organizaci.
  1. Personální působnost interního předpisu

Interní předpis se vztahuje na

  1. zaměstnance organizace,
  2. osoby, které v souvislosti s plněním smluvních závazků zpracovávají osobní údaje a které se zavázaly k postupu v souladu s tímto interním předpisem.
  1. Vysvětlení základních pojmů a příklady

4.1 Osobní údaj

  1. Osobní údaj je jakákoli informace o identifikované nebo identifikovatelné fyzické osobě. Osobním údajem je např. jméno a příjmení, datum narození, dosažené vzdělání, počet dětí, číslo bankovního účtu, podoba zachycená pomocí videozáznamu, údaje o prospěchu, poskytovaných podpůrných opatřeních, IP adresa aj.
  2. Identifikovanou fyzickou osobou je fyzická osoba, která je pomocí osobních údajů jednoznačně určená, je odlišená od ostatních fyzických osob. Fyzická osoba je jednoznačně určena zejména identifikačními údaji (jméno a příjmení, datum narození, místo trvalého pobytu, adresa pro doručování písemností), údaji o zdravotním stavu, údaji obsaženými v osobním spisu zaměstnance, údaji o pobytu osoby v určitém prostoru získanými prostřednictvím vstupního čipu.
  3. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo určit s odkazem na určitý identifikátor. Fyzická osoba může být identifikovatelná např. za využití těchto osobních údajů: odkaz na jméno, identifikační číslo, na zvláštní prvek fyzické podoby, třída, obor vzdělání, IP adresa či e-mailová adresa.

4.2 Zvláštní kategorie osobních údajů (citlivé údaje)

Zvláštní kategorii osobních údajů (citlivé údaje) tvoří

  1. osobní údaje vypovídající o rasovém nebo etnickém původu, např. údaj o národnosti fyzické osoby,
  2. osobní údaje vypovídající o politických názorech, náboženském vyznání, filozofickém přesvědčení nebo členství v odborech,
  3. genetické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby, např. sliny v případě testování na přítomnost návykové látky,
  4. biometrické údaje zpracovávané za účelem jedinečné identifikace fyzické osoby, např. otisky prstů,
  5. údaje o zdravotním stavu, např. informace o nemoci, postižení, riziku onemocnění, poskytovaném podpůrném opatření, o úrazu; naopak není údajem o zdravotním stavu údaj o tom, že zaměstnanec je zdravotně způsobilý vykonávat práci nebo uchazeč o vzdělání je zdravotně způsobilý se vzdělávat v daném oboru vzdělání,
  6. údaje o sexuálním životě, sexuální orientaci.

4.3 Subjekt údajů

Subjekt údajů je osoba, které se osobní údaje týkají.

4.4 Správce

Správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování. Pro účely tohoto interního předpisu je správcem – pověřencem je CAN Hranice, p. Marek Sazima, tel. 581615400, 608477339.

4.5 Zpracovatel

Zpracovatel je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. V případě Mateřské školy Brno, Proškovo nám. 6, příspěvkové organizace je zpracovatelem např. externí společnost, která vede mzdové účetnictví, poskytovatel cloudového řešení sloužícího ke zpracování osobních údajů; smluvní lékař.

4.6 Příjemce

Příjemcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty.

Pro účely tohoto interního předpisu se vyčleňují

  1. interní příjemci, tj. zaměstnanci organizace, kterým jsou poskytnuty osobní údaje,
  2. externí příjemci, např. zpracovatel, MŠMT (předání individuálních údajů ze školní matriky), Česká školní inspekce (předávání záznamů o úrazu), zdravotní pojišťovna dítěte, žáka (předávání záznamů o úrazu), pojišťovna, kterým se předávají osobní údaje o žácích pro účely sjednání cestovního pojištění či externí poskytovatel servisních služeb, v rámci kterých má přístup k osobním údajům bez dohledu správce.

Za příjemce se dle GDPR nepovažuje orgán veřejné moci, který získává osobní údaje v rámci zvláštního šetření. Zvláštním šetřením se chápe činnost, která neprobíhá plánovaně a která je vyvolána určitou nestandardní situací (např. šetření stížnosti Českou školní inspekcí, šetření trestného činu Policií ČR, šetření podnětu OSPOD). Orgánu veřejné moci je sice v tomto případě osobní údaj obdrží, avšak pro účely GDPR se za příjemce nepovažuje. Naopak např. právního předpisem upravené, obvyklé předávání osobních údajů žáků ze školní matriky MŠMT představuje situaci, kdy se osobní údaje fakticky předávají a pro účely GDPR se MŠMT považuje za příjemce.

4.7 Právní důvod zpracování osobních údajů

Právní důvody zpracování jsou důvody, na základě kterých dochází k legálnímu zpracování osobních údajů, které nejsou citlivými osobními údaji. Jedná se o následující právní důvody:

  1. plnění právní povinnosti,
  2. plnění povinnosti vyplývající ze smlouvy,
  3. ochrana životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
  4. veřejně důležitý zájem, výkon veřejné moci,
  5. oprávněný zájem správce,
  6. udělení souhlasu subjektem údajů.

Základní činnosti organizace a právní důvody zpracování osobních údajů jsou uvedeny v materiálech, kterými organizace plní informační povinnost správce dle čl. 13 GDPR nebo dle čl. 14 GDPR.

4.8 Zpracování osobních údajů

„Zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je

shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění,

vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění,

seřazení či zkombinování, omezení, výmaz nebo zničení.

  1. Základní etapy procesu zpracování osobních údajů, souvislost s archivací dokumentu

    1. Osobní údaje jsou získány od subjektu údajů

  1. Organizace získává osobní údaje zpravidla přímo od subjektu údajů. Pokud se osobní údaje týkající se subjektu údajů získávají od subjektu údajů, poskytne správce v okamžiku získání osobních údajů subjektu údajů informace dle čl. 13 GDPR. Jako okamžik získání osobních údajů se chápe okamžik, ve kterém subjekt údajů např. vyplňuje formulář přihlášky ke vzdělávání; formulář dokumentu, na základě kterého jsou osobní údaje evidovány ve školní matrice; vyplňuje formulář souhlasu se zpracováním osobních údajů). Proto jsou údaje dle čl. 13 GDPR subjektů údajů sděleny
  • písemně (v jednotlivých formulářích na část, ve které je subjekt údajů informován dle čl. 13 GDPR, navazuje část, ve které subjekt údajů vyplňuje jednotlivé údaje), nebo
  • elektronicky (informace dle čl. 13 GDPR jsou subjektu údajů stále uveřejněny na webových stránkách organizace).

Organizace nemusí subjekt údajů informovat o skutečnostech, pokud subjekt údajů informace o těchto skutečnostech již má, nebo je má v určité míře. Organizace však upřednostňuje postup, při kterém jsou subjektu údajů informace sdělovány přehledně a uceleně, a to vždy v souvislosti s určitou skupinou případů zpracování osobních údajů. Z tohoto důvodu jsou informace dle čl. 13 GDPR subjektu údajů zpracovávány a sdělovány subjektu údajů v celém rozsahu dle čl. 13 GDPR.

  1. Poté, co organizace informovala subjekt údajů dle čl. 13 GDPR, získává organizace od subjektu údajů. Správce začíná osobní údaje zpracovávat, neboť je shromažďuje.
  2. Dále správce provádí jednotlivé činnosti zpracování, např. osobní údaje zaznamenává, ukládá, zpřístupňuje.
  3. Proces zpracování osobních údajů se uzavírá likvidací osobních údajů, tj. fyzickým zničením nosiče osobních údajů, fyzickým vymazáním nebo jejich trvalým vyloučením ze zpracování a výmazem elektronického záznamu osobních údajů. Plánovaná lhůta pro výmaz je uvedena v záznamu o činnosti zpracování. Lhůtou pro výmaz je údaj o skartačních lhůtách nosičů osobních údajů, které organizace stanoví jako veřejnoprávní původce archiválií podle zákona č. 499/2004 Sb., o archivnictví a spisové službě na základě právních předpisů, nebo podle svého uvážení (jestliže lhůta není stanovena právním předpisem).
  4. Výmaz údajů nelze provést v případě, kdy zákon č. 499/2004 Sb. výslovně ukládá, že jde o archiválii (např. třídní výkaz).

5.2 Osobní údaje nejsou získány od subjektu údajů

  1. Některé osobní údaje organizace získává od osoby odlišné od subjektu údajů. Jedná se např. o situaci, kdy matka předá organizaci rozhodnutí soudu o styku otce s dítětem, nebo o situaci, kdy organizace jako organizátor vyššího kola soutěže získá osobní údaje o soutěžích od organizátora nižšího kola soutěže.
  2. Správce začíná osobní údaje zpracovávat, neboť je shromažďuje.
  3. Dále správce provádí jednotlivé činnosti zpracování.
  4. Proces zpracování osobních údajů se uzavírá likvidací osobních údajů, tj. fyzické zničení nosiče osobních údajů, fyzické vymazání nebo jejich trvalé vyloučení ze zpracování a výmaz elektronického záznamu osobních údajů. Plánovaná lhůta pro výmaz je uvedena v záznamu o činnosti zpracování. Lhůtou pro výmaz je údaj o skartačních lhůtách nosičů osobních údajů, které organizace stanoví jako veřejnoprávní původce archiválií podle zákona č. 499/2004 Sb., o archivnictví a spisové službě na základě právních předpisů, nebo podle svého uvážení (jestliže lhůta není stanovena právním předpisem).
  5. Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne správce subjektu údajů informace dle čl. 14 GDPR.
  6. Správce poskytne informace dle čl. 14 GDPR
  • v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány;
  • nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace; nebo
  • nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
  1. Proto jsou údaje dle čl. 14 GDPR subjektů údajů sděleny
  • písemně (např. v pozvánce na vyšší kolo olympiády), nebo
  • elektronicky (informace dle čl. 14 GDPR jsou uveřejněny na webových stránkách organizace).
  1. Správce subjektu údajů informace dle čl. 14 neposkytne, jestliže
  • subjekt údajů již uvedené informace má,
  • ukáže se, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí,
  • získávání nebo zpřístupnění osobních údajů je výslovně stanoveno právem Unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů.
  1. V případě, kdy organizace poskytuje informace dle čl. 14, upřednostňuje postup, při kterém jsou subjektu údajů informace sdělovány přehledně a uceleně, a to vždy v souvislosti s určitou skupinou případů zpracování osobních údajů. Z tohoto důvodu jsou informace dle čl. 14 GDPR subjektu údajů zpracovávány a sdělovány subjektu údajů v kompletně, v celém rozsahu dle čl. 14 GDPR.
  1. Zásady zpracování osobních údajů a s nimi spojené základní povinnosti zaměstnanců

6. 1 Zásady zpracování osobních údajů a obecné povinnosti zaměstnanců

Pravidla stanovená správcem Povinnosti zaměstnance
Zásada zákonnosti, korektnosti a transparentnosti Správce aplikuje právní důvody zpracování osobních údajů na podmínky organizace.

Správce stanoví pravidla uživatelsky přívětivého, stručného a srozumitelného informování subjektů údajů.

Určení vedoucí zaměstnanci seznámí zaměstnance s tím, jak se používají právní důvody zpracování v konkrétních podmínkách a při konkrétních činnostech.

Zaměstnanci zpracovávají osobní údaje pouze na základě právních důvodů.

Určený vedoucí zaměstnanec průběžně kontroluje, zda jsou osobní údaje zpracovávány pouze na základě právních důvodů a zda jsou subjekty údajů stručně a srozumitelně informovány o pravidlech zpracování osobních údajů.

Účelové omezení Správce stanoví účel zpracování osobních údajů. Zaměstnanec zpracovává osobní údaje pouze za tím účelem, za kterým byly shromážděny.

Určený vedoucí zaměstnanec pravidelně kontroluje dodržování zásahy účelového omezení zpracování osobních údajů.

Minimalizace údajů Správce zpracovává osobní údaje pouze v takovém rozsahu, který je nezbytný k dosažení určitého účelu. Zaměstnanci zpracovávají osobní údaje pouze v tom rozsahu, který stanoví zaměstnavatel.

Určený vedoucí zaměstnanec pravidelně provádí kontrolu rozsahu zpracovávaných osobních údajů.

Přesnost Správce zpracovává přesné a aktualizované osobní údaje. Určení zaměstnanci (vedoucí zaměstnanec, personalista, třídní učitel) pravidelně provádí kontrolu přesnosti zpracovávaných osobních údajů a zajišťují jejich opravu a aktualizaci.
Omezení uložení Osobní údaje jsou uloženy pouze po nezbytnou dobu, tuto dobu stanoví správce. Určení zaměstnanci sledují dobu, po kterou je osobní údaj ukládán u správce. Po uplynutí této doby zajišťují archivaci dokumentů nebo jejich skartaci.
Integrita a důvěrnost Správce přijímá vhodná personální, organizační a technická opatření k zabezpečení osobních údajů Zaměstnanci jsou povinni respektovat správcem stanovená pravidla k zabezpečení osobních údajů.

6.2 Povinnosti zaměstnanců v souvislosti s rozsahem a způsobem zpracování osobních údajů

6.2.1 Každý zaměstnanec – pedagogický a nepedagogický pracovník – je povinen

  1. zachovávat mlčenlivost o zpracovávaných osobních údajích,
  2. zpracovávat osobní údaje pouze na základě právních důvodů; v případě pochybnosti o právním základu zpracování je povinen konzultovat zpracování osobních údajů se zástupcem ředitele nebo ředitelem školy, případně s pověřencem pro ochranu osobních údajů,
  3. zpracovávat osobní údaje pouze za tím účelem, za kterým byly shromážděny a v rozsahu, který pro každou jednotlivou činnost stanoví vedoucí zaměstnanec (ředitel, zástupce ředitele); v případě pochybnosti je každý zaměstnanec povinen konzultovat zpracování osobních údajů se zástupcem ředitele nebo ředitelem školy, případně s pověřencem pro ochranu osobních údajů,
  4. počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných školou; zamezit nahodilému a neoprávněnému přístupu třetích osob k osobním údajům, které organizace zpracovává, pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů, zneužití osobních údajů nebo jiné neoprávněné jednání související s ochranou osobních údajů, a je povinen bezodkladně zabránit dalšímu neoprávněnému nakládání s osobními údaji, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost řediteli školy či jinému příslušnému vedoucímu zaměstnanci,
  5. neshromažďovat osobní údaje bez jednoznačného pokynu vedoucího zaměstnance nebo bez ověření, že je takový postup možný,
  6. nezveřejňovat, nezpřístupňovat osobní údaje bez ověření, že takový postup je možný; nezpřístupnit osobní údaje osobám, které neprokáží právo s nimi nakládat (cizí osoby, instituce),
  7. neposkytovat bez právního důvodu žádnou formou osobní údaje zaměstnanců školy a žáků cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání,
  8. zpracovávat hodnocení, posudky obsahující osobní údaje určená pro jiné subjekty (např. pro potřeby soudního řízení) pouze na základě pokynu vedoucího zaměstnance.

6.2.2 Pedagogičtí pracovníci

Pedagogičtí pracovníci zpracovávají osobní údaje dětí nebo žáků v rozsahu svého pracovního zařazení. Seznamy dětí nebo žáků se nezveřejňují, neposkytují bez vědomého souhlasu žáků či zákonných zástupců dětí nebo žáků jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného škole nebo nevyplývá-li to ze zákona nebo pokud toto zpracování není kryto jiným důvodem zpracování osobních údajů.

6.3 Výchovný poradce, metodik prevence, speciální pedagog, školní psycholog

  1. Výchovný poradce a metodik prevence zpracovává osobní údaje žáků, jestliže zákonný zástupce žáka požádá, aby byla žákovi poskytována poradenská služba.
  2. Speciální pedagog a školní psycholog zpracovávají osobní údaje žáků, jestliže zákonný zástupce udělil informovaný souhlas s poskytováním poradenské služby.

6. 4 Vedoucí zaměstnanci

Ředitel(ka)

  1. jmenuje pověřence pro ochranu osobních údajů,
  2. ohlašuje pověřence na Úřadu pro ochranu osobních údajů,
  3. zveřejňuje kontaktní údaje pověřence na webových stránkách školy,
  4. zajistí, aby zaměstnanci organizace mohli s pověřencem konzultovat otázky zpracování a zabezpečení osobních údajů.

Ředitel(ka) a zástupce ředitele(lky)

  1. průběžně kontroluje, zda jsou osobní údaje zpracovávány pouze na základě právních důvodů, pravidelně provádí kontrolu rozsahu zpracovávaných osobních údajů, dodržování účelu zpracování a přesnosti zpracování;
  2. každoročně zajišťuje analýzu datových toků, funkčnosti využívaných prostředků při zpracování osobních údajů; obsahu interní dokumentace a smluv z úhlu pohledu zpracování a zabezpečení osobních údajů,
  3. průběžně zabezpečuje informování subjektů údajů dle GDPR (informační povinnost správce dle čl. 13 a čl. 14 GDPR), a to sdělením těchto informací v jednotlivých formulářích, přihláškách, nebo na webových stránkách správce; průběžně kontrolují plnění informační povinnosti správce,
  4. zajišťuje a kontroluje, aby byl souhlas se zpracováním osobních údajů využíván důvodně a nebyl nadužíván; aby byl souhlas se zpracováním osobních údajů poskytován jako svobodný, konkrétní a informovaný,
  5. vede záznamy o činnostech zpracování (dle čl. 30 GDPR), průběžně je aktualizuje,
  6. komunikuje s osobami nebo institucemi, které chtějí získat organizací zpracovávané osobní údaje; zejména tehdy, pokud je nutno ujasnit oprávnění osoby nebo organizace na získání osobních údajů; odesílá jménem organizace písemná hodnocení a posudky jiným subjektům (např. OSPOD, soudu),
  7. zajišťuje proškolení zaměstnanců v oblasti zpracování osobních údajů, zajišťuje poučení zaměstnanců o právech a povinnostech při zpracování osobních údajů,
  8. je vyřizuje žádosti o výkon práv subjektů údajů v oblasti ochrany osobních údajů, příp. pověřuje zaměstnance, který se touto žádostí bude zabývat,
  9. vyřizuje stížnosti subjektů údajů v oblasti ochrany osobních údajů,
  10. zajišťuje obsahovou náplň smluv, jejichž plnění vyžaduje zpracování osobní údajů, která zajišťuje zabezpečení osobních údajů (tzn. smlouvy mezi správcem a zpracovatelem osobních údajů),
  11. stanovuje okruh osob, které mají přístup do jednotlivých prostor, ve kterých se zpracovávají osobní údaje,
  12. zajišťuje, aby měl každý zaměstnanec, který zpracovává citlivé osobní údaje v listinné podobě, k dispozici uzamykatelnou skříňku, resp. zásuvku,
  13. stanoví pravidla evidence zpracování osobních údajů, zejména předávání dokumentů v listinné podobě, které obsahují osobní údaje,
  14. stanoví pravidla ochrany osobních údajů v elektronické podobě,
  15. stanoví pravidla odnášení z pracoviště pracovních notebooků obsahujících osobních údajů a práce na notebooku doma,
  16. stanoví pravidla kopírování osobních údajů na externí nosiče,
  17. stanoví pravidla likvidace vyřazených počítačových médií.

6. 5 Zaměstnanci, kteří nejsou vedoucími zaměstnanci, avšak jsou podle organizačního předpisu oprávněni organizovat, řídit a kontrolovat práci jiných zaměstnanců a dávat jim k tomu účelu závazné pokyny

Vedoucí učitel(ka) mateřské školy, vedoucí vychovatel(ka), vedoucí školní jídelny

  1. průběžně sleduje procesy zpracování osobních údajů a jejich zabezpečení,
  2. pravidelně informuje nadřízeného vedoucího zaměstnance o těchto procesech a předává vedoucímu zaměstnanci podklady pro případné personální, organizační a technické změny ve zpracování osobních údajů a jejich zabezpečení.

6. 7 Další zaměstnanci

Administrativní pracovník

  1. Pravidelně upozorňuje zaměstnance na povinnost sdělovat zaměstnavateli změny v evidovaných osobních údajích.
  2. Sleduje dobu, po kterou je osobní údaj ukládán u správce; po uplynutí této doby zajišťuje archivaci dokumentů nebo jejich skartaci.

Zástupce ředitele, třídní učitel, výchovný poradce

  1. Pravidelně upozorňuje zákonné zástupce dětí a žáků na povinnost sdělovat organizaci změny v evidovaných osobních údajích dětí, žáků, zákonných zástupců, případně dalších osob, a to včetně údajů o zdravotních obtížích dětí a žáků, které mohou mít vliv na poskytování vzdělávání nebo školských služeb; zajišťuje shromažďování změn uvedených osobních údajů.
  2. Průběžně sleduje obsah jím vedené dokumentace (např. přihlášky ke vzdělávání, obsah třídní knihy, využívaný software), z úhlu pohledu důvodnosti a přesnosti zpracování osobních údajů, shromažďování osobních údajů na základě právního základu a v minimálním rozsahu. Spolupracuje s ředitelem a pověřencem na úpravě a aktualizace jím vedené dokumentace.

Správce sítě, informatik

Zabezpečuje

  1. funkčnost systému, ve kterém je vedena školní matrika v elektronické podobě,
  2. technické zabezpečení sítě,
  3. pravidelnou údržbu elektronického systému zpracování osobních údajů, ukládá dat v cloudu, zálohování dat,
  4. pravidelnou a efektivní antivirovou ochranu, zabezpečení znemožňující koncovým uživatelům instalovat software, který může být škodlivý,
  5. fyzickou ochranu školního serveru a ostatních ICT zařízení,
  6. podle pokynů ředitele zaměstnancům zřizuje přístupové účty k datům, podle pokynů ředitele nastavuje zaměstnancům různé úrovně oprávnění při přístupu k datům,
  7. spolupracuje s ředitelem a zástupcem ředitele při přípravě likvidace vyřazených počítačových médií.
  1. Zabezpečení osobních údajů

7.1 Obecná pravidla

7.1.1 Účel a úrovně zabezpečení

  1. Účelem zabezpečení osobních údajů je přijetí opatření a využití prostředků, kterými je zajištěna ochrana osobních údajů před zneužitím, ztrátou, poškozením osobních údajů a obnovitelnost dat.
  2. Zabezpečení osobních údajů probíhá na úrovni technické, organizační a personální.

7.1.2 V souvislosti se zabezpečením osobních údajů jsou všichni zaměstnanci povinni dodržovat následující zásady zabezpečení osobních údajů:

  1. vstupovat pouze do těch prostor, ve kterých se zpracovávají osobní údaje, do kterých jsou dle určení zaměstnavatele oprávněni vstupovat; vymezení těchto prostor je obsaženo v pracovní náplni zaměstnance, resp. vyplývá z jeho pracovního zařazení,
  2. ukládat dokumenty obsahující citlivé osobní údaje v listinné podobě v uzamykatelných skříních, zásuvkách,
  3. při zpracování osobních údajů v elektronické podobě využívat pouze svého přístupového oprávnění, využívat hesla, automatické spořiče obrazovky,
  4. odnášet notebooky obsahující osobní údaje z pracoviště a pracovat na notebooku doma pouze tehdy, pokud to povolí nadřízený vedoucí zaměstnanec; při práci s notebookem mimo pracoviště jsou zaměstnanci povinni zajistit, aby s notebookem nemanipulovaly jiné osoby,
  5. kopírovat osobní údaje na externí nosiče pouze tehdy, pokud to povolí nadřízený vedoucí zaměstnanec,
  6. účastnit se proškolení v oblasti zpracování osobních údajů,
  7. používat ICT pouze k plnění svých pracovních povinností v souladu s účelem, ke kterému byly určeny,
  8. přihlašovat se do počítače pod svým přihlašovacím jménem, příp. tokenem, a svým heslem, příp. PINem,
  9. zdržet se instalací, aktualizací či oprav počítačových programů bez souhlasu správce sítě, resp. informatika. Všechny podstatné změny v nastavení softwaru provádí informatik.
  10. zdržet se provádění instalaci softwarových řešení, zejm. aplikací „zdarma“ na služební telefony či počítače. Zaměstnanci, kteří využívají služební telefony nebo jsou oprávněni používat přenosné počítače mimo pracoviště, je nesmí „půjčovat“ třetím osobám, zejm. dětem.
  11. pokud jsou zaměstnanci oprávněni odnášet si práci „domů“, např. na přenositelných discích, musí být tyto technologie chráněny. Nelze ukládat a odnášet mimo pracoviště dokumenty uložené např. na nezašifrovaných/nezaheslovaných flashdiscích.
  12. zaměstnanci jsou povinni při odchodu z pracoviště (např. pauza na oběd) odhlásit se (např. klávesová zkratka Win+L), počítač zamknout nebo vypnout. Při odchodu z pracoviště je vždy nutné počítač vypnout.
  13. Zaměstnanci, kteří se přihlašují přes tzv. token do počítače, jsou povinni při odchodu z pracoviště token vyjmout z přístroje a ponechat přes noc na zabezpečeném místě (např. v uzamykatelné skříňce v kanceláři). Stejně tak je nutné při opuštění kanceláře (i na pět minut) kancelář uzamknout.
  14. Zaměstnanci, kteří k přístupu do počítače využívají uživatelské jméno a heslo, resp. PIN v případě využití tokenu, jsou povinni nastavit heslo, resp. PIN tak, že jednoduše nelze dojít k jeho prolomení a tedy, že účinně brání případným útokům. Je zakázáno používat hesla shodná s přihlašovacím jménem, biografickými údaji (např. datum narození) apod.
  15. Zaměstnancům je zakázáno otevírat podezřelé odkazy nebo přílohy e-mailů. V případě nejasnosti jsou povinni kontaktovat informatika.
  16. Zaměstnancům je zakázáno používat pracovní e-mail k soukromým účelům.
  17. Zaměstnancům je zakázáno posílat dokumenty obsahující citlivé osobní údaje e-mailem, ledaže k tomu mají výslovný souhlas subjektu údajů.
  18. Při odchodu z pracoviště je nutné, aby veškeré dokumenty obsahující osobní údaje byly uklizené v prostorech k tomu určených.
  19. Zaměstnancům je zakázáno zejm. nechávat třetí osoby samotné v kancelářích, kabinetech a jiných místnostech, kde jsou trvale uloženy dokumenty obsahující osobní údaje.

7.1.3 V souvislosti se zpracováním osobních údajů třetími osobami jsou organizace povinny uzavřít písemnou smlouvu s těmito zpracovateli osobních údajů.

Obsahem smlouvy, k jejímuž plnění je nutné, aby smluvní strana nakládala s osobními údaji (např. smlouva se zpracovatelem, smlouva o poskytnutí služeb), je vždy povinnost druhé smluvní strany

  1. přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,
  2. nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu školy,
  3. zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,
  4. zajistit, aby se osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
  5. zajistit, že dodavatel bude škole bez zbytečného odkladu nápomocen při plnění povinností školy, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 GDPR, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 GDPR, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 GDPR a povinnosti provádět předchozí konzultace dle čl. 36 Nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje školu,
  6. po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí škole a vymaže existující kopie apod.,
  7. spolupracovat se správcem v tom smyslu, že poskytne správci informace potřebné k doložení toho, že byly splněny povinnosti stanovené škole právními předpisy, poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví správce, součinnost potřebnou pro plnění zákonných povinností školy spojených s ochranou osobních údajů, jejich zpracováním; umožnit kontrolu, audit či inspekci prováděné správcem nebo příslušným orgánem dle právních předpisů,
  8. poskytnuté osobní údaje chránit v souladu s právními předpisy,
  9. přiměřeně postupovat podle tohoto interního předpisu, který je přílohou smlouvy.

7.1.4 Základní personální opatření zabezpečení osobních údajů jsou následující:

  1. Je zajištěno vstupní proškolení zaměstnanců v oblasti zpracování osobních údajů.
  2. Každoročně je zajištěno proškolení zaměstnanců v oblasti zpracování osobních údajů. Toto proškolení organizuje ředitel školy zpravidla společně se školením BOZP.
  3. Práva a povinnosti zaměstnanců spojená se zpracováním osobních údajů jsou systematicky zapracovávána do interních předpisů školy a do pracovních náplní zaměstnanců.
  4. Je zajištěna pravidelná konzultační činnost s pověřencem na úrovni vedení i na úrovni jednotlivých zaměstnanců.

7.2 Zabezpečení osobních údajů účastníků řízení

  1. Spisy, které obsahují osobní údaje účastníků řízení a dalších osob, jsou uloženy v uzamykatelné skříni odděleně od jiné dokumentace.
  2. Přístup ke spisům mají pouze účastníci řízení nebo osoba zmocněná účastníkem řízení, ředitel školy, zástupce ředitele a sekretářka.

7.3 Zabezpečení osobních údajů dětí, žáků v průběhu poskytování vzdělávání nebo školské služby

  1. Třídní výkazy, katalogové listy a další materiály obsahující osobní údaje dětí a žáků, jsou trvale uloženy v uzamykatelných skříních v kanceláři školy, a to v kanceláři ředitele nebo zástupce ředitele školy). Třídním učitelům jsou zapůjčeny na nezbytně dlouhou dobu k provedení zápisů. Vyučující jednotlivých předmětů zapisují jen klasifikaci dle úvazku a výhradně v kanceláři ředitele nebo zástupce ředitele. Třídní výkazy, katalogové listy, další materiály ze školní matriky či jejich části nelze vynášet ze školy, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.
  2. Elektronická školní matrika je vedena v zabezpečeném informačním systému ……. Do tohoto systému mají přístup jednotliví pedagogové školy a další osoby pověřené ředitelem školy podle náplně práce a pracovního zařazení, a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Přístupy nastavuje pověřený zaměstnanec školy – správce počítačové sítě, který nastavuje potřebné zabezpečení dat a školní počítačové sítě (dle pokynů ředitele a zástupce ředitele). Zákonní zástupci žáků a žáci mají zajištěn zabezpečený dálkový přístup výhradně k vlastním údajům o klasifikaci na základě přihlašovacího kódu a hesla předaného správcem počítačové sítě přísně individuálně prostřednictvím třídních učitelů.
  3. Údaje o zdravotním stavu žáka obsažené v lékařských posudcích, doporučeních atd. v listinné a elektronické podobě jsou přístupné pouze řediteli, zástupci ředitele, výchovnému poradci a třídnímu učiteli.

7.4 Zabezpečení osobních údajů uchazečů o zaměstnání a zaměstnanců

  1. Dokumenty uchazečů o zaměstnání jsou uloženy v uzamykatelných skříních v kanceláři ředitele školy, přístup k nim má ředitel školy nebo zástupce ředitele, zastupuje-li ředitele, personalista, případně, je-li to nutné též sekretářka školy.
  2. Osobní spisy zaměstnanců jsou uloženy v uzamykatelných skříních v kanceláři ředitele školy, nebo mzdové účetní či personalisty, přístup k nim má ředitel školy nebo zástupce ředitele, zastupuje-li ředitele, mzdová účetní, personalista, případně, je-li to nutné též sekretářka školy.
  3. Do osobního spisu zaměstnance vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, v případě kontroly Úřad pro ochranu osobních údajů aj. Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele.
  4. Personální agenda (docházka) vedená v elektronické formě je vedena v zabezpečeném informačním systému ……. Do tohoto systému má přístup pouze ředitel školy a personalista, příp. mzdová účetní.
  5. Agenda účetní nebo mzdové účetní vedená v listinné podobě je uložena v uzamykatelné skříni v kanceláři účetní nebo mzdové účetní .Agenda účetní nebo mzdové účetní vedená v elektronické formě je vedena v zabezpečeném informačním systému ……. Do tohoto systému má přístup pouze účetní nebo mzdová účetní.
  1. Porušení zabezpečení a hlášení porušení zabezpečení

8. 1 Porušením zabezpečení se chápe takové porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů

8.2 Každý zaměstnanec je povinen bez prodlení ohlásit jakékoli porušení zabezpečení osobních údajů řediteli/ce organizace

8.3 Ředitel/ka školy vždy zdokumentuje porušení zabezpečení osobních údajů. Dokumentace o porušení zabezpečení osobních údajů obsahuje

  1. popis povahy daného případu porušení zabezpečení osobních údajů; pokud je to možné, včetně kategorií a přibližného počtu dotčených subjektů údajů a kategorií a přibližného množství dotčených záznamů osobních údajů,
  2. popis pravděpodobných důsledků porušení zabezpečení osobních údajů,
  3. popis opatření, která správce přijal nebo navrhl k přijetí s cílem vyřešit dané porušení zabezpečení osobních údajů, včetně případných opatření ke zmírnění možných případných možných nepříznivých dopadů.

8.4 Ředitel/ka posoudí porušení zabezpečení a vyhodnotí, zda je pravděpodobné, nebo nepravděpodobné, že porušení zabezpečení bude mít za následek riziko pro práva a svobody subjektu fyzických osob.

8.5 V případě, že není pravděpodobné, že porušení zabezpečení bude mít za následek riziko pro práva a svobody fyzických osob, porušení zabezpečení osobních údajů správce nehlásí Úřadu pro ochranu osobních údajů. Každé porušení je však ředitelka povinna interně zaznamenat a předložit v případě potřeby Úřadu pro ochranu osobních údajů.

8.6 V případě, že je pravděpodobné, že porušení zabezpečení bude mít za následek riziko pro práva a svobody fyzických osob, porušení zabezpečení osobních údajů správce hlásí Úřadu pro ochranu osobních údajů, pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl. Pokud ohlášení Úřadu pro ochranu osobních údajů není učiněno do 72 hodin, musí být současně s ním uvedeny důvody tohoto zpoždění.

8.7 V případě, že je pravděpodobné, že porušení zabezpečení bude mít za následek vysoké riziko pro práva a svobody fyzických osob, porušení zabezpečení osobních údajů správce oznamuje též dotčeným subjektům údajů, pokud je to možné.

8.8 Oznámení porušení zabezpečení adresované Úřadu pro ochranu osobních údajů, případně subjektům údajů za správce provádí ředitel/ka. Pokud ředitel/ka vyhodnotí, že neví, zda je porušení nutné hlásit na Úřad pro ochranu osobních údajů, obrátí se na pověřence pro ochranu osobních údajů.

8.9 Opatření, které správce přijal k řešení porušení zabezpečení zpracovává zaměstnanec, do jehož činnosti porušení zabezpečení spadá, a schvaluje je ředitel/ka.

  1. Spolupráce s pověřencem

9.1 Pověřenec je fyzická nebo právnická osoba, která má odborné znalosti a zkušenosti v oblasti právní úpravy zpracování osobních údajů, v oblasti IT, managementu a provozu organizace. Pokud je pověřencem právnická osoba, vykonává činnost pověřence fyzická osoba, zpravidla její zaměstnanec.

9.2 Pověřenec je jmenován ředitelem organizace. Pověřenec vykonává činnost na základě pracovní smlouvy, dohody o pracovní činnosti nebo smlouvy o poskytování služeb.

9.3 Pověřenec přímo a pravidelně spolupracuje s ředitelem a zástupcem ředitele.

V určenou dobu může s pověřencem konzultovat otázky zpracování osobních údajů a zabezpečení osobních údajů jakýkoli zaměstnanec organizace.

9.4 Úkoly pověřence:

Ve spolupráci s ředitelem organizace pověřenec

  1. soustavně sleduje soulad činností organizace s pravidly stanovenými GDPR a dalšími právními předpisy upravujícími zpracování osobních údajů
  2. pravidelně analyzuje zjištění o zpracování osobních údajů v organizaci a zabezpečení osobních údajů v organizaci;
  3. upozorňuje na potenciální rizikové faktory v oblasti zpracování osobních údajů a jejich zabezpečení;
  4. informuje o postupech, které jsou v souladu s GDPR; navrhuje řešení a postupy při zpracování osobních údajů a zabezpečení osobních údajů;
  5. podílí se na zpracování interní dokumentace související se zpracováním osobních údajů (zejména informací poskytovaných subjektům údajů, záznamů o činnosti zpracování a souhlasu se zpracováním osobních údajů),
  6. podílí se na pravidelném proškolení zaměstnanců a na vstupním proškolení nových zaměstnanců v oblasti ochrany osobních údajů a jejich zabezpečení,
  7. spolupracuje s Úřadem pro ochranu osobních údajů
  8. poskytuje poradenství v souvislosti s povinností posouzení vlivu na ochranu osobních údajů.

9.5 Práva pověřence

  1. Pověřenec má oprávnění k přístupu ke všem systémům organizace, pomocí kterých se zpracovávají osobní údaje.
  2. V rámci plnění svých úkolům má pověřenec právo na účinnou a efektivní spolupráci zaměstnanců organizace.
  1. Závěrečná ustanovení

Interní předpis nabývá platnosti 26.05.2018

Interní předpis nabývá účinnosti 26.05.2018