Informace o zpracování Osobních údajů organizací a právech subjetů údajů

Pojem / zkratka	Význam
GDPR	Nařízení EU 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů včetně souvisejících právních ustanovení ČR, zejména zákona č. 110/2019 Sb.
OÚ Osobní údaj	Jakýkoliv údaj nebo kombinace údajů, pomocí kterých je možno osobu jednoznačně identifikovat nebo je identifikovatelná
OVM	Orgán veřejné moci
Pověřenec	Osoba povinná pro některé typy organizací, která plní úkoly v rozsahu specifikovaném v čl. 37 GDPR. Zajišťuje: monitorování souladu s GDPR řízení činnosti interní ochrany dat školení pracovníků ve zpracování dat OÚ provádění interních auditů spolupráci s ÚOOÚ Dále: musí oznámit porušení ochrany dat do 72 hodin na ÚOOÚ působí jako kontaktní místo pro ÚOOÚ působí jako kontaktní místo pro subjekty údajů
Subjekt údajů	Osoba, které se osobní údaje týkají
ÚOOÚ	Úřad pro ochranu osobních údajů
Zpracování OÚ	Jakákoliv operace nebo soustava operací, které správce nebo zpracovatel provádí s osobními údaji, a to automatizovaně nebo jinými prostředky. Jedná se zejména o shromažďování, ukládání, zpřístupňování, úpravy, vyhledávání, používání, předávání, šíření, uchovávání, třídění nebo likvidaci.
Zpracovatel	Subjekt pověřený správcem ke zpracování osobních údajů (např. externí účetní, cloudové služby apod.). Má obdobnou odpovědnost jako správce a musí být schopen doložit odpovídající zabezpečení na základě analýzy rizik. Mezi správcem a zpracovatelem musí existovat smlouva ve všech případech, kdy dochází ke zpracování osobních údajů.
Zvláštní / citlivé OÚ	Dle čl. 9 GDPR se jedná o: údaje o rasovém a etnickém původu politické názory náboženské nebo filosofické přesvědčení odborovou příslušnost genetické údaje biometrické údaje údaje o zdravotním stavu údaje o sexuálním životě a orientaci údaje o odsouzení v trestních věcech
Umístění jednotlivých typů dokumentů, ke kterým má subjekt údajů přístup
Umístění informací pro subjekt údajů	Seznam činností, při kterých dochází ke zpracování OÚ, včetně jejich charakteristik, je umístěn u ředitelky organizace.
Uložení souhlasů subjektu údajů	Souhlasy jsou uloženy u správce činnosti, kde je souhlas vyžadován.

2 Úvodní ustanovení

Tento dokument poskytuje subjektu údajů, v případě nezletilého dítěte zákonnému zástupci, informace týkající se zpracování osobních údajů správcem.

V rámci organizace jsou zpracovávány osobní údaje zejména pro plnění zákonných povinností organizace:

zaměstnanců vč. jejich rodinných příslušníků v rámci činnosti personalistika a mzdy. Jedná se zejména o identifikační údaje (jméno, příjmení, adresa trvalého pobytu, datum narození, rodné číslo, atp.) a osobní údaje nutné pro plnění zákonných povinností organizace (informace o zdravotním stavu, …)
dětí a jejich zákonných zástupců v rámci jeslí. Jedná se zejména o identifikační údaje pro plnění smluvního vztahu (jméno, příjmení, adresa trvalého pobytu, datum narození, atp.)
uživatelů sociálních služeb. Jedná se zejména o identifikační údaje (jméno, příjmení, adresa trvalého pobytu, atp.) a kontaktní údaje podle typu služby (telefon, mail)
klientů využívajících doplňkové činnosti (odběr obědů, praní a mandlování prádla, úklidové služby, doprava, půjčování kompenzačních pomůcek). Jedná se zejména o identifikační údaje (jméno, příjmení, adresa trvalého pobytu, atp. podle typu služby)

Pro marketingové účely organizace využívá marketingové dokumenty, svůj profil na facebooku a internetové stránky organizace, kde jsou zveřejňovány osobní údaje (fotografie, apod.) zejména na základě souhlasu subjektu údajů.

Kompletní seznam činností zpracovávajících osobní údaje (vč. výpisu evidovaných osobních údajů, doby zpracovávání, komu a z jakého důvodu jsou osobní údaje předávány, …) jsou evidovány v Seznamu činností, které jsou uloženy u ředitele organizace.

Organizace nepředává osobní údaje mimo země EU ani je automatizovaně nezpracovává.

3 Zásady zpracování osobních údajů

Osobní údaje jsou správcem zpracovávány dle níže uvedených zásad vyplývajících z GDPR:

3.1 Zákonnost

Správce zpracovává osobní údaje pouze pokud je splněna jedna z těchto podmínek, a to pouze v odpovídajícím rozsahu zpracování:

Poskytovatel OÚ udělil souhlas se zpracováním osobních údajů – tato podmínka je využívána pouze v případě, že nelze uplatnit následující zákonné podmínky
Zpracování OÚ je nezbytné pro:
- Splnění smlouvy, jejíž smluvní stranou je subjekt údajů
- Splnění právní povinnosti
- Ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
- Splnění úkolu ve veřejném zájmu
- Účely oprávněných zájmů.

3.2 Omezení účelem

OÚ správce zpracovává jen za účelem, ke kterým byly OÚ získány.

3.3 Minimalizace údajů

Rozsah OÚ je minimalizován ve vztahu na účel zpracování.

3.4 Omezení uložení

OÚ jsou zpracovávány pouze po nezbytně nutnou dobu nutnou pro naplnění účelu zpracování, příp. pomine-li zákonný důvod jejich zpracování a uložení (např. dle Spisového a skartačního plánu).

Po uplynutí doby zpracování, příp. souvisejících zákonných lhůt dle Spisového a skartačního plánu, jsou dokumenty podle typu buď skartovány (listinná forma) nebo neobnovitelně smazány z el. nosičů (el. forma), nebo na základě rozhodnutí oblastního archivu uloženy v oblastním archivu.

3.5 Přesnost údajů

Přesnost údajů je zajištěna dotazováním v případě jednání se subjektem údajů, porovnáváním s osobními doklady subjektu údajů. V případech, kdy je to efektivní je navíc kontrola/aktualizace OÚ prováděna v periodických intervalech.

Zaměstnanci správce mají za povinnost bezodkladně informovat zaměstnavatele o změnách v jejich osobních údajích – tato povinnost je jim připomínána v rámci interních porad.

3.6 Férovost a transparentnost

Správce zajišťuje průběžnou i periodickou kontrolu zpracování osobních údajů v rámci činnosti pověřence a vedoucími pracovníky správce.

Dokumentace související se zpracováním OÚ (souhlasy subjektu údajů, popisy činností, …) je zpracována přehledným transparentním způsobem za použití jednoznačných a jednoduchých jazykových prostředků.

3.7 Důvěrnost, integrita a dostupnost

Správce zpracovává OÚ se zavedením vhodných technických a organizačních opatřeních, která chrání OÚ před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením či poškozením.

3.8 Odpovědnost

Při zpracování OÚ má správce stanovenu jasnou odpovědnost a mlčenlivost dotčených zaměstnanců a smluvní podmínky s pověřenými zpracovateli.

3.9 Ztráta osobních údajů

V případě ztráty OÚ (jak v elektronické, tak v tištěné podobě) má zaměstnanec povinnost tuto ztrátu bezodkladně hlásit určenému pracovníkovi správce a pověřenci správce. Tito zajistí další postup vč. případného nahlášení ztráty OÚ na ÚOOÚ do 72 hod.

3.10 Porušení povinnosti mlčenlivosti

Vědomé porušení povinnosti mlčenlivosti, neoprávněné zveřejnění, sdělení, zpřístupnění a přisvojení osobních údajů zaměstnancem je hrubé porušením pracovních povinností.

4 Kategorie správcem zpracovávaných osobních údajů

Převážná většina činností zpracovávajících OÚ vyplývá z plnění právních povinností správce, v rámci které jsou uvedeny typy zpracovávaných OÚ.

Napříč činností zpracovávajících OÚ správce zpracovává tyto kategorie osobních údajů:

Identifikační a adresní údaje (titul, jméno, příjmení, rodné číslo, datum narození, adresa trvalého pobytu, doručovací nebo kontaktní adresa, číslo občanského průkazu, státní občanství, atd.)
Elektronické kontaktní údaje (telefonní číslo, e-mailová adresa, ID datové schránky)
Zvláštní OÚ (osobní údaje dětí, informace o zdravotním stavu, atp.)
Ostatní OÚ poskytnuté subjektem údajů např. v rámci smlouvy

5 Zajištění práv subjektu údajů

Práva subjektu údajů jsou realizována prostřednictvím žádostí (možno využít formulářů) v písemné formě pouze na základě žádosti, která obsahuje jednoznačnou identifikaci subjektu údajů a to do 1 měsíce od podání žádosti, resp. ověření jednoznačné identifikace žadatele. Ve zdůvodněných případech je možno reagovat do 3 měsíců, ale s podmínkou že toto prodloužení termínu je předáno žadateli do 1 měsíce od podání žádosti, resp. ověření jednoznačné identifikace žadatele. Vlastní vyjádření k žádosti je posuzována v souvislosti s ostatními právními předpisy, příp. zákonnými povinnostmi správce.

Informace jsou poskytovány bezplatně mimo případů, kdy správce posoudí žádost jako zbytečně opakovanou, nepřiměřenou, nedůvodnou, nebo pokud nejde o oprávněný zájem žadatele.

Pro plnění práv jsou vytvořeny formuláře, které jsou zveřejněny viz kap.3 tohoto dokumentu.

5.1 Souhlasy poskytovatelů OÚ

Pro souhlasy se zpracováním OÚ jsou vytvořeny přehledné, snadno pochopitelné formuláře, zajišťující, aby byl souhlas informovaný, konkrétní a písemný. Písemná forma souhlasu se uchovává po celou dobu zpracování OÚ a to pouze v rámci uvedeného účelu a doby zpracování, ke kterému byl souhlas udělen. Zpracování OÚ je prováděno až po získání souhlasu.

V rámci jednotlivých souhlasů je subjekt údajů informován o jeho právech ve vztahu k udělenému souhlasu vč. práva na odvolání/zrušení souhlasu se zpracováním OÚ.

5.2 Právo na přístup a opravu

Poskytovatel OÚ má právo na přístup k elektronicky zpracovávaným OÚ (tj. které OÚ jsou o něm zpracovávány a na základě jakého zákonného důvodu a k jakému účelu a době zpracování OÚ) a příp. i na jejich opravu, pokud jsou nepřesné, nebo neúplné. Oprava bude s ohledem na technické možnosti provedena neprodleně. Poskytovatel OÚ má povinnost při změně svých osobních údajů doložit, že k takové změně došlo. Zároveň je povinen poskytnout součinnost, bude-li zjištěno, že osobní údaje, které o něm správce zpracovává, nejsou přesné.

5.3 Právo na výmaz

Poskytovatel OÚ má právo na výmaz OÚ, které správce zpracovává, pokud toto zpracování není předmětem jiné zákonné povinnosti správce. Správce osobních údajů má nastaveny mechanismy pro zajištění automatické anonymizace či výmazu elektronicky vedených osobních údajů v případě, že již nejsou potřeba k účelu, pro nějž byly zpracovávány. Pokud se subjekt údajů domnívá, že nedošlo k výmazu jeho osobních údajů, může kontaktovat správce osobních údajů nebo pověřence.

5.4 Právo na námitku proti zpracování OÚ

Poskytovatel OÚ má právo na námitku proti zpracování OÚ. Toto právo je možno aplikovat, jsou-li OÚ zpracovávány správcem na základě oprávněného zájmu, nebo ve veřejném zájmu nebo při výkonu veřejné moci. Správce je povinen informovat subjekt údajů na základě jakých zákonných důvodů příp. jakého výkonu veřejné moci ke zpracování OÚ dochází. V případě, že správce osobních údajů neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, správce osobních údajů zpracování na základě námitky ukončí bez zbytečného odkladu.

5.5 Právo na omezení OÚ

Právo na omezení OÚ umožňuje poskytovateli omezit zpracování OÚ do doby, než budou vyjasněny důvody zpracování těchto OÚ. Omezení zpracování nelze uplatnit pro zákonné povinnosti správce.

5.6 Přenositelnost OÚ

Poskytovatel OÚ má právo na přenositelnost OÚ – tj. poskytnutí OÚ ve strukturovaném, běžně používaném strojově čitelném formátu. V případě, že to bude technicky možné a bude řádně určena a autorizovatelná osoba jiného správce, kterému bude chtít subjekt údajů předat, bude možné i předání těchto údajů jinému správci. Toto právo je uplatnitelné pouze u elektronického zpracování na základě souhlasu, smlouvy nebo automatizovaného zpracování. Toto právo nelze uplatnit, pokud se jedná o zpracování OÚ nezbytném pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. V případě, že by výkonem tohoto práva mohlo dojít k nepříznivému dotčení práv a svobod třetích osob, nebude možné žádosti vyhovět.

5.7 Podat stížnost u dozorového orgánu

V případě neoprávněného zpracování OÚ má subjekt údajů právo podat stížnost u dozorového orgánu, kterým je Úřad na ochranu osobních údajů (www.uoou.cz ).