SMĚRNICE GDPR ZŠ a gymnázium 

LIVINGSTON

VNITŘNÍ SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ 

VYMEZENÍ POJMŮ 

Správce: Základní škola a gymnázium s.r.o., se sídlem Vážská 998/2, 196 00 Praha 9 – Čakovice, IČ: 03012557, 

Pověřenec: pověřenec pro ochranu osobních údajů, se kterým škola spolupracuje na základě nařízení GDPR. 

Pojmy vztahující se k problematice osobních údajů jsou definovány identicky s nařízením GDPR. 

PŮSOBNOST 

1.1 Tato směrnice upravuje postupy správce, jeho zaměstnanců, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice rovněž upravuje některé povinnosti správce, jeho zaměstnanců, případně dalších osob při nakládání s osobními údaji. 

1.2 Tato směrnice je závazná pro všechny zaměstnance správce. Směrnice je závazná i pro další osoby, které mají se školou jiný právní vztah a které se zavázaly postupovat podle této směrnice. 

ZÁSADY NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI 

Při nakládání s osobními údaji se správce, jeho zaměstnanci a další osoby řídí těmito zásadami: 

Postupovat při nakládání s osobními údaji v souladu s právními předpisy, s osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat, zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné, zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, při ochraně oprávněných zájmů správce, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu, respektovat práva člověka, který je subjektem údajů, zejména práva udělit a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod., poskytovat při zpracování osobních údajů zvláštní ochranu citlivým údajům, poskytovat informace o zpracování osobních údajů, při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím, spolupracovat s pověřencem pro ochranu osobních údajů.

Práva subjektů osobních údajů:

Subjekt osobních údajů má právo uplatnit svá zákonná práva a správce má zajištěnu proceduru k jejích uplatnění.  

Správce umožňuje každému podat příslušnou žádost u pověřence pro ochranu osobních údajů. Žádosti jsou vyřizovány v předepsaných lhůtách.

Správce poskytuje oprávněným subjektům údajů předepsané informace, zejména o:

– rozsahu a účelu zpracování

– způsobu zpracování osobních dat

– komu mohou být údaje zpřístupněny

– uplatnění práva subjektu údajů na výmaz nebo omezení zpracování osobních údajů ve stanovených případech.

– pokud o to subjekt údajů požádá, správce poskytne subjektu údajů potvrzení, zda osobní údaje, které se ho týkají jsou či nejsou zpracovávány a pokud tomu tak je, umožní subjektu údajů získat přístup k těmto údajům a informacím.

Subjekt osobních údajů má dále právo na přístup k údajům, které jsou o jeho osobě zpracovávány, právo na přenositelnost údajů a právo požadovat opravu předmětných údajů.

Subjekt osobních údajů má dále právo zamezit nebo omezit zpracování osobních údajů v případech, kdy správce zpracovává jeho údaje na základě jeho osobou uděleného souhlasu

Na ochranu osobních údajů dohlíží Úřad pro ochranu osobních údajů, se sídlem Pplk.Sochora 27, 170 00, Praha 7, web: www.uoou.cz

POSTUPY SPRÁVCE, JEHO ZAMĚSTNANCŮ, PŘÍPADNĚ DALŠÍCH OSOB PŘI NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI 

3.1 Správce všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom správce především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň statutárnímu zástupci správce známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením statutárního zástupce správce. 

3.2 Správce zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled alespoň pověřenec správce nebo jím pověřená osoba. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou správce uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o poskytování služeb). 

3.3 Správce v případě potřeby provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zjistí-li se, že některé postupy správce jsou zastaralé, zbytečné nebo se neosvědčily, učiní správce bezodkladně nápravu. 

3.4 Každý zaměstnanec správce při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; případně odkáže na ředitele správce nebo na pověřence. 

3.5 Správce při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů. 

3.6 Správce ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to v součinnosti s pověřencem. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. Statutární zástupce správce a pověřenec posuzují závažnost bezpečnostního incidentu z pohledu jeho hlášení Úřadu pro ochranu osobních údajů. O každém závažném incidentu informuje správce prostřednictvím pověřence Úřad pro ochranu osobních údajů.

3.7 Účel zpracování osobích údajů

Správce zpracovává osobní údaje za účelem:

– zajištění provozních činností

– plnění právních povinností

– ochrana práv a právem chráněných zájmů 

– plnění smlouvy, realizace obchodního vztahu a poskytování služeb

4. ORGANIZAČNÍ OPATŘENÍ K OCHRANĚ OSOBNÍCH ÚDAJŮ VE ŠKOLE

4.1 Veškeré listiny, které obsahují osobní údaje, jsou trvale uloženy v uzamykatelných skříních či prostorách v kanceláři oprávněných osob (specifikováno ve vstupní bezpečnostní analýze vyhotovené správcem). Ostatním zaměstnancům jsou zapůjčeny na nezbytně dlouhou dobu k provedení činností pro stanovený účel. Tyto listiny nelze vynášet z prostor správce, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám. 

4.2 Veškeré elektronické dokumenty, které obsahují osobní údaje, jsou vedeny/uloženy vždy v zabezpečeném informačním systému. Do všech informačních systémů mají přístup jednotliví zaměstnanci správce jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením (dále jen „oprávněné osoby“). Při práci s informačním systémem nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned změnit. Přístupy nastavuje pověřený zaměstnanec správce, který nastavuje potřebné zabezpečení dat a počítačové sítě (dle pokynů statutárního zástupce správce). 

4.3 Zaměstnanci správce neposkytují bez právního důvodu žádnou formou osobní údaje zaměstnanců správce a/nebo jiných osob cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání. O zpřístupnění osobních údajů třetím osobám a institucím na základě jejich písemné žádosti sepíší záznam o zpřístupnění osobních údajů (např. soud, exekutor, policie). 

4.4 Listiny, které se odesílají mimo prostory správce, např. pro potřeby daňového řízení, soudního řízení, správního řízení, zpracovávají zaměstnanci určení statutárním zástupcem správce nebo v rámci svých pracovních povinností. Tyto listiny musí být vždy přepravovány obezřetně tak, aby se při jejich manipulaci předešlo neoprávněnému zpřístupnění osobních údajů (např. v případě jejich odesílání v rámci poštovní přepravy se odesílají v neprůhledných obalech a řádně uzavřené). 

4.5 V propagačních materiálech správce, ve výroční zprávě, na webu či na jiných veřejně přístupných místech lze po dohodě s dotčenými osobami uveřejňovat jejich osobní údaje ve sjednaném rozsahu. 

4.6 Uzavírá-li správce jakoukoliv smlouvu, k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, které správce zpracovává, bude správce vždy a bezpodmínečně trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:

Přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů, opatření musí být na minimálně stejné či vyšší úrovni zabezpečení osobních údajů jako má nastaven primární správce údajů, nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu správce, zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím). 

Výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem, zajistit, aby osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti, zajistit, že dodavatel bude správci bez zbytečného odkladu nápomocen při plnění povinností správce, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů, povinnosti posoudit vliv na ochranu osobních údajů a povinnosti provádět předchozí konzultace, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje správce, po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí správci a vymaže existující kopie apod., poskytnout správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené správci právními předpisy, umožnit kontrolu, audit či inspekci prováděné správcem nebo příslušným orgánem dle právních předpisů, poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví správce, součinnost potřebnou pro plnění zákonných povinností správce spojených s ochranou osobních údajů, jejich zpracováním, poskytnuté osobní údaje chránit v souladu s právními předpisy, přiměřeně postupovat podle této směrnice. 

4.7 Správce provozuje kamerové systémy výhradně za účelem ochrany majetku, nikoliv sledování zaměstnanců nebo jiných osob. Kamerové záznamy snímají pouze společné prostory školy a prostory, které byly identifikovány jako potenciálně rizikové vzhledem ke vniknutí nepovolaných osob do prostor školy. Záznamy z kamerového systému jsou uchovávány po dobu 10 dní a následně jsou automaticky smazány (pokud neexistuje vážný důvod pro ponechání daného konkrétního záznamu – např. jako důkaz pro policii při podezření na spáchání trestného činu / přestupku). V rámci pořizování kamerového záznamu jsou respektovány veškeré platné právní předpisy. 

4.8 Postup při ohrožení bezpečnosti údajů.

V případě zjištění porušení zabezpečení osobních údajů je nezbytné:

-oznámit zjištění odpovědné osobě

– zamezit dalšímu úniku

– případ narušení zdokumentovat a posoudit jeho závažnost

– ohlásit porušení dozorovému orgánu bez zbytečného odkladu, ledaže je nepravděpodobné, že by toto porušení mělo za následek rizika pro práva a svobody fyzických osob

– oznámit porušení subjektu údajů bez zbytečného odkladu, ledaže je nepravděpodobné, že by toto porušení mělo za následek rizika pro práva a svobody fyzických osob

5. SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ 

5.1 Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (případně dalších důvodů stanovených legislativou) je nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje (určené např. druhově), na konkrétní dobu a pro konkrétní účel. 

5.2 Souhlas se poskytuje vždy na předem definovanou dobu a účel. Udělený souhlas může být v souladu s právními předpisy odvolán.

6. NĚKTERÉ POVINNOSTI SPRÁVCE, JEHO ZAMĚSTNANCŮ, PŘÍPADNĚ DALŠÍCH OSOB PŘI NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI 

6.1 Každý zaměstnanec správce je povinen počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných správcem. 

6.2 Dále je každý zaměstnanec správce povinen: 

Zamezit nahodilému a neoprávněnému přístupu k osobním údajům, které správce zpracovává, pokud zjistí porušení ochrany osobních údajů, neoprávněné použití nebo zneužití osobních údajů nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění a ohlásit tuto skutečnost statutárnímu zástupci správce a pověřenci. 

KONTAKT na pověřence správce: 

Jiří Štěpánský 

gdpr@zslivingston.cz 

Tel.: 777 720 524 

Profil absolventa