GDPR

Předpis stanovující povinnosti o účelu a zpracování osobních údajů a právech subjektu údajů

DEFINICE POJMŮ

Osobní údaj

Osobním údajem jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě, kterou nazýváme subjektem údajů. Fyzickou osobu je možné identifikovat přímo nebo nepřímo použitím např. identifikačního čísla nebo jiného identifikátoru. Jakýkoliv údaj, který umožňuje identifikovat konkrétní osobu je osobním údajem.

Zvláštní kategorie osobních údajů

Zvláštní kategorie osobních údajů jsou takové osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Za zvláštní kategorii údajů jsou považovány i genetické a biometrické údaje, které jsou zpracovávány za účelem jedinečné identifikace fyzické osoby.

Správce údajů

Naše organizace je správcem osobních údajů. Správce odpovídá za zpracování osobních údajů. Nezbytným předpokladem je existence řádného právního důvodu pro zpracování osobních údajů, kterým správce musí disponovat. Zároveň musí osobní údaje dostatečně zabezpečit.

Správce odpovídá:

  • za dodržování zásad zpracování,
  • za dodržování povinností stanovených Nařízením GDPR,
  • za zabezpečení údajů

POVINNOSTI A PRÁVA SPRÁVCE OSOBNÍCH ÚDAJŮ

Povinnosti zaměstnavatele jako správce osobních údajů

Zaměstnavatel je před zpracováním osobních údajů jakékoliv kategorie osobních údajů povinen stanovit účel zpracování, informovat zaměstnance o zpracování a době uložení osobních údajů.

Tímto vnitřním předpisem (pokynem), plní zaměstnavatel informační povinnost podle Nařízení GDPR.

 Oprávnění správce zpracovávat osobní údaje

Osobní údaje v rámci této agendy zpracováváme v případech:

  • zpracování je nezbytné pro splnění jednotlivých bodů smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro zajištění úkonů nutných před uzavřením smlouvy na žádost subjektu údajů,
  • subjekt udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů,
  • zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
  • zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (týká se jen zdravotnictví),
  • zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce (týká se jen orgánů státní správy a veřejné správy,
  • zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva subjektu údajů vyžadující ochranu osobních údajů, zejména, pokud je subjektem údajů dítě.

Zpracování osobních údajů

Jakákoliv operace s osobními údaji nebo soubory osobních údajů, která se provádí s použitím IT technologií nebo i bez nich se považuje za zpracování osobních údajů. Jde tedy o shromažďování, zaznamenávání, uspořádání, strukturování, uložení, provedení změny údaje, vyhledávání, šíření, předávání, výmaz nebo zničení údajů.

Osobní údaje ve mzdové a personální oblasti

Jako zaměstnavatel zpracováváme osobní údaje svých zaměstnanců k tomu, abychom splnil zákonné povinnosti. Jedná se o jméno a příjmení a všechna další příjmení, trvalý pobyt, kontaktní adresu, pohlaví, datum narození, věk, rodné číslo rodinný stav, zdravotní způsobilost, zdravotní znevýhodnění, e mailovou adresu, telefonní číslo, číslo řidičského průkazu, číslo občanského průkazu, cestovního pasu, údaje o dosaženém vzdělání a dalších kvalifikačních oprávněních nutných pro výkon dané profese, údaje o příjmu (na mzdových listech), údaje o vyživovaných osobách, údaje o exekučních srážkách, údaje o srážkách na základě dohody o srážce ze mzdy, údaje o  přiznání důchodu, odejmutí důchodu, přiznání statusu osoby  zdravotně znevýhodněné, údaje o přípravě na budoucí povolání, zdravotní pojišťovně, o soukromém životním pojištění, o penzijním připojištění se státním příspěvkem, o doplňkovém penzijním spoření, o tom, je-li zaměstnanec osobou ze zahraničí, je-li veden v insolvenčním rejstříku, a další.

Zvláštní kategorie osobních údajů

Nad rámec těchto údajů zpracováváme další údaj, a to ve vztahu k prokázání bezúhonnosti zaměstnance, která je povinnou podmínkou pro výkon činnosti v rámci zaměstnance dle zák. 108/2006 Sb. o sociálních službách. Vzhledem k tomu, že bezúhonnost je podmínkou, neshromažďujeme takové výpisy, které obsahují informace o trestních deliktech

Souhlas se zpracováním osobních údajů

Nařízení GDPR definuje souhlas v čl. 4 bodu 11, a sice tak, že pro účely tohoto nařízení se rozumí souhlasem subjektu údajů jakýkoliv svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů, zatímco pro účely zákona o ochraně osobních údajů se rozumí podle ustanovení § 4 písm. n) zákona č. 101/2000 Sb., o ochraně osobních údajů souhlasem subjektu údajů svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.

Souhlas je svobodný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Jde o aktivní a dobrovolný projev vůle subjektu údajů, ke kterému nesmí být nucen, a proto nemůže být součástí dohody (dohoda o provedení práce, dohoda o pracovní činnosti) nebo smlouvy (pracovní smlouva).

Souhlas se vždy poskytuje k určitému účelu zpracování, který musí subjekt údajů znát. Souhlas musí být oddělený od smlouvy či obchodních podmínek a nesmí být ani jejich nedílnou součástí. Zároveň nesmí být uzavření smlouvy podmiňováno poskytnutím souhlasu se zpracováním osobních údajů.

Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Je nutné si uvědomit, že souhlas byl dáván k určitým účelům a odvolání souhlasu nemusí vždy představovat pro správce povinnost osobní údaje zlikvidovat, ale bude představovat pro správce pouze povinnost přestat osobní údaje zpracovávat pro určitý účel, ke kterému byl souhlas udělen.

Technická a organizační opatření při nakládání s daty v elektronické podobě

V rámci ochrany na úrovni fyzické i IT jsou zaměstnanci organizace povinni dodržovat Zásady informační bezpečnosti, které jsou přílohou č. 2 této směrnice

Přehled nejdůležitějších osobních údajů, které organizace zpracovává.

Před vypracováním této směrnice byla v organizaci provedena analýza rizik a identifikovány situace, kdy ke zpracování osobních údajů dochází. Ke každé situaci je nastaveno pravidlo, jak s osobními údaji je nakládáno. Analýza rizik je přílohou č. 1 této směrnice.

Pracovníci organizace jsou seznámeni s tím, ve kterých situacích předkládají k podpisu souhlas se zpracováním osobních údajů. Vzory jednotlivých souhlasů jsou přílohou metodiky organizace.

PRÁVA SUBJEKTU ÚDAJŮ 

Subjekt údajů má právo na to být informován o zpracování jeho osobních údajů. Tím se rozumí právo na určité informace o zpracování jeho osobních údajů. Jde zejména o informace o účelu zpracování, totožnosti správce, o jeho oprávněných zájmech, o příjemcích osobních údajů.

Mezi další práva subjektu údajů, která jsou založena na aktivitě subjektu údajů, patří právo na přístup k osobním údajům, právo opravu, resp. doplnění, právo na výmaz, právo na omezení zpracování, právo na přenositelnost údajů, právo vznést námitku a právo nebýt předmětem automatizovaného individuálního rozhodování, včetně profilování

Právo subjektu údajů na přístup k osobním údajům (čl. 15 Nařízení GDPR)

Subjekt údajů má právo osobní údaje získat a zároveň má právo získat následující informace:

  • účel zpracování,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • existence práva požadovat od správce opravu nebo výmaz osobních údajů, právo vznést námitku,
  • právo podat stížnost u dozorového úřadu,
  • veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
  • skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

Subjekt údajů má právo na opravu (čl. 16 Nařízení GDPR) nepřesných osobních údajů, které se ho týkají. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to a správce je povinen opravu provést.

Právo na výmaz (čl. 17 Nařízení GDPR) (právo být zapomenut) představuje povinnost správce zlikvidovat osobní údaje, pokud je splněna alespoň jedna podmínka:

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle článku 8 odst. 1 Nařízení GDPR.

Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má subjekt údajů právo být informován o vhodných zárukách, které se vztahují na předání.

Právo na přenositelnost údajů (čl. 20 Nařízení GDPR) je zcela nové právo subjektu údajů, jehož podstatou je možnost za určitých podmínek získat osobní údaje, které se ho týkají a jež správci poskytl, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu původní správce bránil. Zároveň má subjekt údajů, pokud o to požádá, aby správce předal jeho osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu jinému správce, je-li to technicky proveditelné. Subjekt údajů má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům.

Pokud se jedná o žádost podle článků 15 až 22 Nařízení GDPR, musí být informace poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.

Správce poskytne kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může správce účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud subjekt údajů nepožádá o jiný způsob.

ZÁZNAMY O ČINNOSTECH ZPRACOVÁNÍ (čl. 30 Nařízení GDPR)

Každý správce a jeho případný zástupce vede záznamy o činnostech zpracování, za něž odpovídá. Tyto záznamy obsahují všechny tyto informace:

  • jméno a kontaktní údaje správce a případného společného správce, zástupce správce a pověřence pro ochranu osobních údajů;
  • účely zpracování;
  • popis kategorií subjektů údajů a kategorií osobních údajů;
  • kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích;
  • informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace včetně případných záruk;
  • je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
  • je-li to možné, obecný popis technických a organizačních bezpečnostních opatření.

Správce, který zaměstnává méně než 250 osob, není povinen vést záznamy o činnostech personální a mzdové agendy, protože zpracování není považováno za rizikové. V případě zaměstnávání vyslaných zaměstnanců u správce nebo přidělených agenturou práce k uživateli – správci, je nutné do celkového počtu zaměstnávaných osob tyto osoby započítat, neboť na vyslané zaměstnance a agenturní zaměstnance je nutné nahlížet jako na osoby, kterým byla přidělena práce, tedy bez ohledu na existenci pracovněprávního vztahu.

Záznamy o činnostech zpracování je však možné vyhotovit dobrovolně, což může posloužit k lepší orientaci ve zpracování osobních údajů nebo při výkonu práv subjektu údajů.

OHLAŠOVÁNÍ A OZNAMOVÁNÍ BEZPEČNOSTNÍCH INCIDENTŮ 

V případy porušení zabezpečení, které vedou k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění osobních údajů – pracovně jsou tyto případy označeny jako tzv. bezpečnostní incidenty. Může se jednat o hackerský útok, jakýkoliv jiný neoprávněný únik údajů, ale i ztráta nezabezpečeného mobilního zařízení zaměstnance s přístupem ke složkám s osobními údaji, ztráta dešifrovacího klíče nebo znehodnocení zdravotnické dokumentace bez existence bezpečnostní zálohy. Bezpečnostními incidenty ve smyslu tohoto materiálu jsou pak incidenty týkající se alespoň částečně osobních údajů, nikoliv incidenty zahrnující pouze jiné druhy dat.

Správce údajů je povinen bez zbytečného odkladu, nejpozději do 72 hodin poté, co se o bezpečnostním incidentu dozvěděl, ohlásit tento incident dozorovému úřadu; případné nedodržení uvedené lhůty musí být odůvodněno. Zaměstnance jsou informováni o nezbytnosti uvádět i přesný časový údaj, kdy byla informace převzata.

Protokol o ohlášení porušení zabezpečení osobních údajů Dozorovému Úřadu

Protokol obsahuje následující informace:

  • Jméno a kontaktní údaje Správce (organizace/osoba, sídlo/kontaktní údaje)
  • Jméno a kontaktní údaje DPO/popřípadě jiného kontaktního místa pro poskytnutí informací (DPO/Gestor/oprávněná osoba)
  • Popis porušení zabezpečení osobních údajů:
    • Povaha porušení zabezpečení osobních údajů
    • Kategorie a přibližný počet dotčených subjektů údajů (pokud je možno uvést)
    • Kategorie a přibližné množství dotčených záznamů osobních údajů (pokud je možno uvést)
    • Popis pravděpodobných důsledků a popis přijatých a navržených opatření:
  • Pravděpodobné důsledky vyplývající z porušení zabezpečení osobních údajů
  • Přijatá a navržená opatření s cílem vyřešit dané porušení zabezpečení osobních údajů.
  • Datum, podpis

Revize dokumentu srpen 2022