- Úvodní ustanovení
1.1 Účel dokumentu
- Na základě ustanovení nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, (Obecné nařízení o ochraně osobních údajů, označované také jako nařízení ,,GDPR“, dále ,,nařízení“), a dalších právních předpisů obsahujících pravidla pro nakládání s osobními údaji se stanoví pravidla s nakládáním osobních údajů.
- Organizace je správcem a zpracovatelem osobních údajů a určuje účel, prostředky a odpovědnost za zpracování osobních údajů, provádí jejich zpracování a odpovídá za ně. Další Správci, pro které Organizace zpracovává osobní údaje, jsou uvedeni v Registru agend.
- K zajištění ochrany osobních údajů je přijat soubor technicko – organizačních opatření, která jsou obsažena v této směrnici a dalších organizačně řídících dokumentech, na něž se tento dokument odkazuje.
1.2 Základní pojmy
Pojmy používané touto směrnicí musí být vykládány v souladu s jejich významem uvedeným v tomto článku a v souladu se zákonem.
- Organizace – pro účely tohoto dokumentu se organizací rozumí Děti patří domů, z. s. se sídlem náměstí Míru 108/28, 568 02 Svitavy
- Osobním údajem (dále také OÚ) jsou veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
- Účel zpracování – důvody kvůli nimž jsou osobní údaje zpracovávány.
- Zvláštní kategorie osobních údajů („citlivé údaje“), které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby, je povoleno v čl. 9 Nařízení EU 2016/679, který uvádí výjimky kdy je možné tyto údaje zpracovávat. Zvláštní kategorie osobních údajů, by měly být zpracovávány pouze pro zdravotní účely, je-li třeba těchto účelů dosáhnout ve prospěch fyzických osob a společnosti jako celku, zejména v souvislosti s řízením zdravotnických služeb či služeb sociální péče.
- Správce osobních údajů určuje účely a prostředky zpracování osobních údajů.
- Zpracovatel osobních údajů je osoba pověřená Správcem. Zpracovatel zpracovává osobní údaje pro správce na základě doložitelných pokynů. Zpracovatelé (interní/externí) musí správci poskytnout dostatečné záruky zavedení vhodných technických a organizačních opatření. Zpracovatel nesmí bez souhlasu Správce zapojit dalšího zpracovatele.
- Zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení).
- Oprávněné osoby jsou zaměstnanci správce, externí zpracovatelé a příjemci OÚ, tj. další osoby, které mohou mít k osobním údajům přístup pro splnění účelu zpracování, nebo další osoby určené zákonem (subjekt údajů, kontrolní orgány, orgány veřejné moci atp.). Oprávněné osoby jsou uvedeny pro každou agendu v Registru agend.
- Souhlasem subjektu údajů se rozumí prokazatelný, svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů.
- Zákonnost zpracování osobních údajů je možné, pouze pokud je k tomu právní důvod, tzn. splněna nejméně jedna z uvedených podmínek:
- a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů;
- b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
- c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
- e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
- f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě; Pro zpracování zvláštních kategorií OÚ nebo profilování platí zvláštní právní důvody.
- Profilování je jakákoliv forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu atp. Může se jednat o výstupy/analýzy dat v tištěné i listinné podobě (GDPR čl. 22, R 24, 60, 63, 71).
- Porušením zabezpečení osobních údajů je porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
- Agendou se rozumí souhrn informací (dokumentů, záznamů nebo elektronických dat), které jsou sdruženy podle společného účelu do jednoho administrativního celku.
- ÚOOÚ – úřad pro ochranu osobních údajů – dozorový úřad.
- GDPR – Nařízení EU č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a volném pohybu těchto údajů – General Data Protection Regulation. ICT – informační a komunikační technologie.
- Systematičnost zpracování OÚ – za systematické je považováno takové zpracování, které naplňuje jednu či více z následujících podmínek:
- a) dochází k němu na základě určitého systému,
- b) je dopředu připravené, organizované nebo metodické,
- c) dochází k němu na základě obecného plánu pro shromažďování osobních údajů nebo
je prováděno na základě určité strategie.
- Rozsáhlost zpracování – jedná se o případy, kdy dochází ke zpracování značného množství osobních údajů na regionální, celostátní nebo nadnárodní úrovni, jež by mohlo mít dopad na velký počet subjektů údajů. Při posouzení rozsáhlosti se bere do úvahy počet zasažených subjektů údajů, buď absolutní počet, nebo poměr k celkovému počtu relevantní populace, množství osobních údajů nebo rozsah různých položek osobních údajů, dobu či stálost zpracování a geografický rozsah zpracování.
2 Agendy obsahující osobní údaje a jejich atributy
- Výkonná ředitelka vede v aktuální podobě Registr agend obsahující osobní údaje a určuje, v souladu s touto směrnicí, které záznamy (zejména odpovědnosti, oprávnění, účel, zákonnost, rozsah a způsob zpracování) jsou pro každou agendu v registru vedeny. Registr agend je pro zaměstnance (jen pro čtení) umístěn na Google Disku.
- Rozsah zpracování a nakládání s OÚ nesmí přesahovat rámec stanovený v Registru agend.
3 Role, pravomoci a odpovědnosti
Kapitola definuje základní odpovědnosti při zabezpečení a zpracování osobních údajů. Další odpovědnosti jsou popsány v jednotlivých kapitolách tohoto dokumentu, ostatních vnitřních předpisech a dokumentech.
3.1 Povinnosti správce osobních údajů (spravující orgán)
Správce osobních údajů (organizace):
- zajišťuje schopnost Organizace doložit, že zpracování je prováděno v souladu se zákony a účelem zpracování,
- zajišťuje prostředky zpracování a pravidla pro nakládání s osobními údaji,
- v oblasti digitálního zpracování osobních údajů:
- zajišťuje, aby systémy používaly pouze oprávněné osoby a aby měly přístup na základě zvláštních uživatelských oprávnění,
- stanovuje pravidla k zabránění neoprávněného přístupu k OÚ,
- určuje rozsah a způsob vedení záznamů o činnostech při zpracování OÚ,
- zajišťuje dostatečné vzdělávání a zvyšování kvalifikace pracovníků v oblasti ochrany osobních údajů.
3.2 Výkonná ředitelka
Výkonná ředitelka:
- odpovídá za rozsah a účel, k němuž mají být OÚ zpracovány, kde platí zásada, že jsou zpracovávány OÚ pouze zákonným způsobem a údaje nezbytně nutné k dosažení účelu zpracování, tzn., rozsah zpracování musí být omezen na nezbytné minimum a správce musí být schopen prokázat, že určený rozsah je nezbytný pro plnění účelu,
- odpovídá, že účel zpracování OÚ není v rozporu se zákonností zpracování (popř. rozsahem uděleného souhlasu) a rozsah a způsob zpracování OÚ není v rozporu s účelem zpracování,
- určuje a pověřuje zpracováním zaměstnance a externí zpracovatele a specifikuje další oprávněné osoby/příjemce OÚ,
- definuje veškeré údaje/atributy agendy ve struktuře a rozsahu podle Registru agend a odpovídá za jejich správnost,
- posuzuje slučitelnost zpracování OÚ s původními podmínkami, pokud má být provedena změna již stanoveného účelu a pokud je tato změna u OÚ zpracovávaných na základě souhlasu (chce využít již OÚ získané za jiným účelem, (např. zavedení jiné služby) informuje v dostatečném předstihu subjekty OÚ o tomto záměru a zabezpečí získání jejich opětovného souhlasu,
- umožní zpracování zvláštních kategorií OÚ tzv. citlivé údaje pouze v souladu s čl. 9 Nařízení EU 2016/679 a to pokud:
- subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen;
- zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů;
- zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas;
- zpracování provádí v rámci svých oprávněných činností a s vhodnými zárukami nadace, sdružení nebo jiný neziskový subjekt, který sleduje politické, filozofické, náboženské nebo odborové cíle, a za podmínky, že se zpracování vztahuje pouze na současné nebo bývalé členy tohoto subjektu nebo na osoby, které s ním udržují pravidelné styky související s jeho cíli, a že tyto OÚ nejsou bez souhlasu subjektu údajů zpřístupňovány mimo tento subjekt;
- zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů
- vede v aktuální podobě dokument Strategie ICT s popisem technických opatření.
3.3 Zaměstnanec pověřený zpracováním OÚ
Zaměstnanci pověření zpracováním OÚ jsou pro každou agendu určeni výkonnou ředitelkou v Registru agend. Tito zaměstnanci musí mít dostatečné kompetence a poskytovat záruky použití vhodných/předepsaných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky tohoto dokumentu, a nesmí zapojit do zpracování žádnou další osobu, která není uvedena v Registru agend. Zaměstnanci pověření zpracováním musí:
- shromažďovat pouze OÚ uvedené v Registru agend, tzn. v rozsahu nezbytném pro naplnění tohoto účelu a zpracovávat OÚ pouze v souladu s účelem, k němuž byly shromážděny,
- zpracovávat pouze přesné OÚ, zjistí-li že jím zpracované OÚ nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, tzn., že OÚ opraví nebo doplní, jinak to oznámí výkonné ředitelce, pokud se jedná o opravu na základě požadavku subjektu údajů, oznámí mu neprodleně, jak byly tyto údaje upraveny, či podá vysvětlení,
- vždy zabezpečit OÚ proti neoprávněnému přístupu, tzn. dodržovat zásadu čistého stolu a prázdné obrazovky, při nepřítomnosti ukládat OÚ v uzamčeném prostoru/skříni kam nemá přístup neoprávněná osoba, „zamknout“ počítač atp.
- prokazatelně a neprodleně upozornit výkonnou ředitelku zjistí-li, porušení účelu, zákonnosti nebo zabezpečení osobních údajů, nebo že Organizace porušuje povinnosti stanovené touto směrnicí nebo zákonem,
- zabezpečit, že nebudou sdružovány OÚ, které byly získány k rozdílným účelům,
- bez souhlasu výkonné ředitelky nesmí OÚ předat jiné osobě pokud to neumožňuje Registr agend.
3.4 Obecné povinnosti zaměstnanců při zabezpečení osobních údajů
3.4.1 Zasílání, předávání, přenos a přeprava agend
Povolené komunikační kanály a prostředky, které je pro předávání osobních údajů možné použít jsou definovány v Registru agend. Při použití těchto prostředků se musí dodržovat tato pravidla:
- při přenášení a posílání souborů, které obsahují citlivé OÚ, pomocí přenosných paměťových médií a zařízení nebo elektronickou poštou musí být tyto soubory šifrovány. Pokud není zaměstnanci obsah přenášených elektronických dat (souborů) znám, musí s nimi nakládat, jako by obsahovaly takové údaje,
- při používání elektronické pošty (e-mail) používat pouze účet xxx@detipatridomu.cz,
- při osobním styku, telefonickém rozhovoru nebo reprodukci osobních údajů musejí zaměstnanci postupovat tak, aby nedošlo k úniku osobních údajů neoprávněné osobě (ověření totožnosti, zavření dveří pracoven, vyloučení přítomnosti dalších osob, atp.).
- při přepravě osobních údajů v listinné i elektronické podobě (na datových nosičích) musí být takové informace chráněny proti neoprávněnému přístupu a zneužití (např. nesmí být bez dozoru ponechány v obchodu, autě atp.),
- při zasílání osobních údajů přepravní společností s licencí (např. Česká pošta a.s., kurýr atp.) musí být v zalepené obálce zasílány doporučeně.
3.4.2 Práce s výpočetní technikou
Zaměstnanec musí:
- při opuštění pracoviště (i krátkodobém) uzamknout počítač (ctr+alt+del) a při návratu k relaci se opět autorizovat pomocí zadání hesla,
- při povolení přístupu třetí strany, neustále monitorovat činnost třetí strany,
- udržovat hesla v tajnosti a ihned změnit heslo v případě možného náznaku prozrazení/prolomení,
- používat silné heslo k účtům a aplikacím (pokud to aplikace umožňuje), tj. délka min. 8 znaků obsahující kombinaci písmen, číslic a speciálních znaků, které není založeno na informacích snadno zjistitelných (např. jméno, telefonní číslo, datum narození apod.).
Zaměstnanec nesmí:
- pracovat pod cizí identitou (cizím uživatelským účtem),
- v SW nastavovat volby „Pamatovat si heslo“,
- měnit systémový čas na počítačích,
- instalovat jakýkoli software
- používat pro ukládání informací jiná média a zařízení, než která jsou předepsána v Registru agend,
- spouštět neznámé odkazy a soubory, např. v elektronických zprávách.
3.4.3 Další povinnosti zaměstnanců
- dodržovat stanovené kodexy chování1,
- pokud zjistí, že jsou zpracovávány jiné OÚ, než jsou uvedené v Registru agend, nebo je zpracování v rozporu se stanoveným účelem a zákonností, musí to neprodleně nahlásit výkonné ředitelce,
- dodržovat ustanovení zákonů, interní předpisy, pokyny vedoucích zaměstnanců a všechna další opatření, která byla přijata z důvodu zajištění ochrany osobních údajů,
- při nahodilém nálezu osobních údajů není zaměstnanec oprávněn se s nimi seznamovat, nález odevzdá (upozorní) neprodleně výkonné ředitelce,
- zaměstnanec nesmí umožnit neoprávněným osobám, přístup k osobním údajům, tzn. přístup k dokumentům, nahlédnutí na zobrazovací zařízení – monitor, na výstup z tiskárny, vyfocení OÚ atd.),
- nakládat s osobními údaji, k nimž mají z důvodu své pracovní činnosti přístup, takovým způsobem, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu jiných osob k těmto údajům, k jejich zneužití, zničení či ztrátě, neoprávněnému zpracování, poskytnutí jiným osobám nebo použití k jinému účelu než k jakému jsou oprávněni je používat v souvislosti s výkonem své pracovní činnosti, bez ohledu na formu jejich zpracování,
- neprodleně upozornit výkonnou ředitelku na incidenty nebo případná rizika možného zneužití osobních údajů.
4 Zpracování a zabezpečení agend s osobními údaji
4.1 Pravidla pro způsob ukládání agend
4.1.1 Omezení doby uložení a likvidace/mazání OÚ
Výkonná ředitelka stanovuje v Registru agend minimální a maximální dobu pro uložení agendy. Uchovávat OÚ lze pouze po dobu určenou Registrem agend a skartovat/vymazávat je pouze bezpečným způsobem.
Likvidací osobních údajů se rozumí fyzické zničení jejich nosiče, jejich vymazání nebo jejich trvalé vyloučení z dalších zpracování. Likvidace/mazání osobních údajů probíhá:
- a) bezpečnou likvidací paměťového média, na kterém jsou data uložena
- b) vymazáním digitálních dat (a to včetně všech záloh) obsahující OÚ v souladu se Spisovým a skartačním řádem c) skartací listinné podoby osobních údajů v souladu se Spisovým a skartačním řádem.
4.2 Zajištění mlčenlivosti
- Doložka mlčenlivosti pro zaměstnance, viz příloha č. 1, musí být obsahem pracovních smluv a dohod se zaměstnanci, stážisty, brigádníky atp.,
- Mlčenlivost jiných subjektů (třetích stran) je definována v příloze č. 4.
- Povinnost zachovávat mlčenlivost se nevztahuje na informační povinnost podle zvláštních zákonů a předávání informací oprávněným osobám uvedených v Registru agend.
4.3 Pravidla pro zabezpečení prostor
Zaměstnanec je povinen:
- při opuštění prostor s OÚ uzamknout dveře a zavřít okna,
- nezanechat neoprávněnou osobu v prostorách s OÚ bez dozoru,
- neumožnit neoprávněné osobě (úklid, údržba atp.) bez dozoru přístup do prostor, kde jsou
nezabezpečené OÚ,
- okamžitě nahlásit vedoucímu ztrátu klíčů,
- zaměstnancům je zakázáno pořizovat duplikáty klíčů.
1 Pokud jsou takové kodexy pro organizaci závazně stanoveny, viz článek 40, Nařízení EU 2016/679.
5 Zvláštní pravidla pro nakládání s OÚ
5.1 Souhlas se zpracováním OÚ
- Souhlas subjektu OÚ se zpracováním OÚ musí být odlišitelný od jiných skutečností a musí obsahovat informace o tom, kdo souhlas dává, jaký je účel zpracování, ke zpracování kterých osobních údajů je souhlas dáván (např. jméno, bydliště, kontaktní údaje atp.), jakému správci (komu je souhlas dáván – název a kontaktní údaje organizace) a na jaké období (např. na 1 rok, po dobu trvání účelu zpracování atp.).
- Souhlas subjektu OÚ eviduje odpovědná osoba. Poskytnutí souhlasu musí být Organizace schopna prokázat po celou dobu zpracování osobních údajů.
- Organizace musí přiměřeným způsobem ověřit identitu toho, kdo souhlas dává a odvolává.
- Subjekt údajů může souhlas kdykoliv odvolat, v tom případě musí být zpracování OÚ ukončeno.
- Odvolání souhlasu musí být pro subjekt údajů stejně snadné jako jeho poskytnutí. Záznam o odvolání souhlasu eviduje odpovědná osoba.
- Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Odvolání souhlasu tedy nemá účinky zpětně, a netýká se zpracování, které bylo na základě platného souhlasu učiněno až do momentu jeho odvolání.
5.2 Pořizování audiovizuálních záznamů
- Zveřejňování obrazových materiálů z akcí je bez písemného souhlasu subjektů OÚ možné za podmínek, kdy:
- je primárním účelem poskytování informací klientům a veřejnosti o činnosti organizace, o jejích aktivitách, prezentace dosažených úspěchů, informace o proběhlých nebo chystaných akcích atp.,
- nejde o systematické zpracování, tzn. k zobrazeným či zaznamenaným osobám nejsou systematicky přiřazovány další osobní údaje a nejsou na základě toho vytvářeny další evidence,
- nejedná se o momentky nebo znevažující záznamy (tzn. záznamy, které mají způsobilost osobu dehonestovat, zesměšňovat, ukazovat v nepříznivé situaci, poukazovat na slabosti atp.),
- zveřejnění je časově omezené, e. nemá jiný účel než informační a nepoukazuje např. na nějaké citlivé údaje jako je rasa, národnost atd.,
- subjekty OÚ o fotografování předem vědí, nebo mohou vědět, aby měly možnost nebýt jeho součástí,
- není určeno pro marketingové využití (např. náborový leták k přilákání nových uchazečů atp.) a slouží tedy výhradně k dokumentaci a informaci o akci (nikoliv o jednotlivém člověku),
- zveřejňování obrazových materiálů probíhá pouze na vlastních informačních médiích (např. web, Facebook, informační leták atp.) nebo podle tiskového zákona. i. marketingová propagace, např. reklamní letáky a brožury atd.,
- Souhlasu podléhá pořízení a použití fotografií a dalších záznamů pořízených např. pro následující účely: a. knihy, publikace případně jiné záznamy (videa, CD), které jsou distribuovány ke komerčnímu využití,
- Podle občanského zákoníku je pořizování a zveřejňování fotek z akcí možné bez souhlasu osob podle § 89 – tzn., jedná se o „obdobné zpravodajství“.
- Na žádost zveřejněné osoby musí být fotografie bez dalšího odstraněna, osoba má právo předem použití fotografií odmítnout.
6 Řešení incidentů
- Každý zaměstnanec včetně je povinen ohlásit Výkonné ředitelce jakoukoliv událost, která má nebo by mohla mít vliv na bezpečnost OÚ.
- Výkonná ředitelka dokumentuje incidenty (události, které zasáhly do zabezpečení OÚ) v Knize stížností včetně skutečností týkajících se daného porušení a příčin, jejich odstranění a přijetí nápravných/preventivních opatření.
- Výkonná ředitelka provádí kategorizaci všech incidentů takto:
- Incident – je jedna nebo více nechtěných nebo neočekávaných událostí, u kterých existuje pravděpodobnost kompromitace činnosti a možného ohrožení bezpečnosti OÚ bez zjevného dopadu na subjekty OÚ,
- závažný incident – je incident s velkou pravděpodobností následku, nebo následkem pro práva a svobody subjektů dotčených OÚ.
- Zaměstnanec je povinen bezodkladně a vhodným způsobem ohlásit každý závažný incident v oblasti zabezpečení osobních údajů dozorovému úřadu (ÚOOÚ) nejpozději do 72 hod. od zjištění incidentu. Ohlášení porušení ochrany osobních údajů se podá na formuláři, viz příloha č. 3 nebo pomocí webového formuláře ÚOOÚ.
- Výkonná ředitelka je povinna bezodkladně a vhodným způsobem ohlásit každý závažný incident v oblasti zabezpečení OÚ postiženým subjektům údajů. Oznámení není nutné při splnění podmínek čl. 34, odst. 3 GDPR.
7 Informační povinnost – žádosti subjektů OÚ
- Informační povinnost správce
- Výkonná ředitelka odpovídá za informování o rozsahu a způsobu zpracování OÚ takto:
- Uchazeči o zaměstnání, zájemci o dobrovolnictví – formulář Informační povinnost
- Zaměstnanci – pracovní smlouva
- Žadatelé o pěstounskou nebo hostitelskou péči – formulář Informační povinnost
- Informace jsou poskytovány v souladu s čl. 12 – 14 GDPR a jsou poskytovány v případě, že jsou získány od subjektu OÚ nebo i z jiných zdrojů a musí být poskytnuté před zpracováním OÚ.
- Informace podle odst. 1 musí obsahovat:
- kontaktní údaje správce a kontaktní údaje pověřence pro ochranu osobních údajů,
- účel zpracování, pro které jsou osobní údaje určeny, a právní základ (zákonnost) pro zpracování,
- případné příjemce nebo kategorie příjemců osobních údajů,
- právo subjektu OÚ odvolat kdykoli souhlas, který pro zpracování OÚ dal, podat stížnost u dozorového úřadu a právo požadovat od správce přístup k osobním údajům, jejich opravu nebo výmaz anebo omezení zpracování a práva vznést námitku proti zpracování a právo na přenositelnost údajů.
- Další informace, nezbytné pro zajištění spravedlivého a transparentního zpracování ve vztahu k subjektu údajů správce nemusí poskytovat.
7.2 Žádosti subjektů OÚ
- Subjekt údajů má právo (v souladu s čl. 16 – 20 GDPR) získat od Správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
- účely zpracování;
- kategorie dotčených osobních údajů;
- příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
- plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
- existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících se subjektu údajů nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
- právo podat stížnost u dozorového úřadu;
- veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
- skutečnost, že dochází k automatizovanému rozhodování, včetně profilování a informace
týkající se použitého postupu;
- Správce poskytne na žádost subjektu OÚ kopii zpracovávaných osobních údajů. Za další kopie na žádost subjektu údajů může účtovat přiměřený poplatek na základě administrativních nákladů. Právem získat kopii uvedenou nesmějí být nepříznivě dotčena práva a svobody jiných osob.
- Na žádosti subjektů OÚ odpoví výkonná ředitelka, viz formulář uvedený v příloze č. 2. Žádost musí být vyřízena bez zbytečného odkladu, nejdéle do 30 dnů.
- Organizace musí přiměřeným způsobem ověřit totožnost žadatele.
- Žádosti a záznamy s ní související vede organizace ve složce Stížností a žádostí.
8 Přenesení oprávnění a odpovědností na třetí strany
- Pokud je pro Správce nezbytné určit Zpracovatelem třetí stranu (např. dodavatele Software, který poskytuje jeho správu, poskytovatele ICT služeb, datového uložiště, vedení účetnictví atp.), musí zvážit související rizika a zabezpečit přenesení relevantních povinností, kompetencí a odpovědností a tím zabezpečit dostatečnou ochranu OÚ. Správce musí mít se zpracovatelem uzavřenou doložitelnou smlouvu nebo jiný doložitelný vztah.
- Správce se Zpracovatelem musí mít uzavřenu písemnou smlouvu (nebo jiný doložitelný vztah) a podle povahy dodávaných služeb do ní zahrnout:
- a) technické a organizační podmínky zpracovávání OÚ včetně:
1) způsobu a rozsahu zpracování OÚ,
2) právo nebo zákaz Zpracovatele využít při plnění zakázky další subdodavatele2,
3) rozsahu a formy (typy) přístupu k informacím a způsobu validace přístupu,
4) stanovení minimálních bezpečnostních požadavků na zabezpečení informací,
5) způsobu zajištění integrity informací poskytovaných nebo procesovaných dodavatelem,
6) způsobu řešení incidentů,
7) způsobu a rozsahu vedení záznamů souvisejících se zpracováním OÚ,
8) nouzových plánů pro zajištění dostupnosti informací nebo služeb poskytovaných dodavatelem, b. doložku (ustanovení) o mlčenlivosti třetích stran viz příloha č. 4.,
- V případě, že Správce má se Zpracovatelem uzavřenu písemnou (doložitelnou) smlouvu musí pravidelně provádět revize obsahu smluv a pokud nesplňují požadavky uvedené v odst. 2, tak uzavřít dodatky nebo dohody, které v potřebném rozsahu odpovědnost Zpracovatelů rozšíří.
- V případě, že Správce se Zpracovatelem uzavírá smlouvu, kdy nemá možnost obsah smlouvy ovlivnit (např. uložiště dat Microsoft, Google, služby pojišťoven, bank atp.) musí Správce ověřit, že obchodní podmínky a prohlášení poskytovatele o způsobu a rozsahu zpracování OÚ (tzv. informační povinnost) není v rozporu s účelem zpracování OÚ Správce.
9 Kontrolní, auditní činnost a řízení rizik
9.1 Kontrolní činnost
Výkonná ředitelka průběžně kontroluje způsob zpracování OÚ a dodržování pravidel.
9.2 Řízení rizikovosti
9.2.1 Posouzení shody a řízení rizik
Výkonná ředitelka provádí posouzení shody účelu zpracování s rozsahem a způsobem zpracování u každé agendy. Posouzení umožňuje zejména přijímání dostatečných opatření ke zmírnění rizika zpracování.
9.2.2 Konzultace s ÚOOÚ
Pokud je i po přijetí možných opatření (kap. 9.2 a 9.3) riziko hodnocené jako vysoké, musí být takové zpracování konzultováno s dozorovým orgánem (ÚOOÚ). Konzultace s dozorovým úřadem předchází (pokud je to možné) zpracování OÚ, tzv. předchozí konzultace.
9.3 Interní audit
Interní audit provádí výkonná ředitelka nebo ředitelkou pověřená osoba. IA má za účel prověření procesů a plnění pokynů pro zpracování osobních údajů a ověření dodržování přijatých technicko-organizačních opatření. O provedeném auditu musí být vyhotoven zápis s vyznačením návrhů pro zlepšení.
10 Související legislativa
- Zákon č. 110/2019 Sb. Zákon o zpracování osobních údajů
- Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
- Zákon č. 499/2004 Sb. o archivnictví a spisové službě;
- Zákon č. 340/2015 Sb., o uveřejňování smluv a o registru smluv;
- Zákon č. 106/1999 Sb. o svobodném přístupu k informacím;
- Zákon č. 40/2009 Sb. Trestní zákoník (§180);
- Zákon č. 418/2011 Sb. o trestní odpovědnosti právnických osob;
Další související legislativa (na základě které jsou OÚ zpracovávány) je uvedena v Registru agend.
2 Nařízení EU 2016/679 článek 4), bod 8).