IČ: 00055301
Střední odborná škola Znojmo, Xxxxxxxxx, příspěvková organizace Dvořákova 1594/19, 669 02 Znojmo
IČ: 00055301
(dále jen „Správce“)
Č.j.: XXX XxXx 1164/2019
Směrnice k ochraně osobních údajů č. 1/2019
Vypracovala: Xx. Xxxxx Xxxxxxxxxxxx
Směrnice nabývá účinnosti dne: 24. 4. 2019
Obecná ustanovení
Na základě ustanovení § 302 zákona č. 262/2006 Sb., zákoníku práce, v platném a účinném zně- ní, nařízení EU 2016/679, obecného nařízení o ochraně osobních údajů, v platném a účinném znění (dále jen „GDPR“) a zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném a účinném znění, vydávám jako statutární orgán Správce tuto směrnici.
1. Působnost směrnice
1. Tato směrnice upravuje pravidla pro ochranu osobních dat zaměstnanců a žáků Správce, jakož i dalších osob, které poskytují své osobní údaje Správci k využití obchodní partneři, uchazeči o zaměstnání a studium.
2. Zásady směrnice:
• musí být vydána písemně,
• nesmí být vydána v rozporu s právními předpisy,
• nesmí být vydána se zpětnou účinností,
• vzniká na dobu neurčitou,
• je závazná pro všechny zaměstnance organizace,
• směrnice musí být přístupná všem zaměstnancům.
2. Základní pojmy vč. klasifikačního stupně zařazení osobních údajů
1. Osobními údaji se v souladu s obecným nařízením o ochraně osobních údajů (dále i
„Nařízení GDPR“) rozumí veškeré údaje, které umožňují přímou či nepřímou identifikaci osoby čili subjektu údajů v textové, obrazové i jiné, např. digitální podobě, a to včetně všech komunikačních údajů, kterými může být osoba identifikována v čase a místě včetně kybernetického prostoru. Zvláštní kategorie osobních údajů jsou osobní údaje, které umožňují identifikovat osoby pomocí genetických, biometrických či jiných biologických znaků osoby včetně údajů o zdravotním stavu.
2. Do zvláštní kategorie citlivých osobních údajů dle čl. 9 GDPR jsou údaje o:
• národnostním, rasovém nebo etnickém původu,
• politických postojích, členství v odborech,
• náboženském či filozofickém přesvědčení,
• genetické údaje, biometrické údaje,
• zdravotním stavu,
• sexuálním životě nebo sexuální orientaci.
3. Subjekt osobních údajů je fyzická osoba, jejíž osobní údaje jsou předmětem zpracování.
4. Správcem osobních údajů je škola jako právnická osoba a zároveň orgán veřejné moci v rozsahu působnosti a pravomocí veřejné školy, která zpracovává osobní údaje, případně zvláštní kategorie osobních údajů.
5. Příjemcem osobních údajů se rozumí fyzická nebo právnická osoba, orgán veřejné mo- ci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytovány, ať už se jedná
o třetí stranu, či nikoli.
6. Zpracovatelem osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který jménem Správce zpracovává osobní údaje. Pro Správce může provádět jen takové zpracovatelské operace, kterými jej Správce pověří nebo vy- plývají z činnosti, pro kterou byl zpracovatel Správcem pověřen. Zpracováním osobních údajů může být pověřen i Správce, pokud takovou smlouvu uzavře.
7. Třetí stranou se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura ne- bo jiný subjekt, který není subjektem údajů, Správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů.
8. Pověřenec pro ochranu osobních údajů je subjekt, který na pracovišti Správce dohlíží na dodržování opatření k ochraně osobních údajů v souladu s nařízením GDPR, poskytuje informace a poradenství zaměstnancům a zpracovatelům, kteří zpracovávají osobní údaje a spolupracuje s dozorovým úřadem v souladu s příslušnými zákonnými normami a Nařízením GDPR.
9. Porušením zabezpečení osobních údajů se rozumí porušení zajištění osobních údajů, které vede k náhodnému nebo úmyslnému a protiprávnímu úniku, zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.
10. Souhlasem se zpracováním osobních údajů je projev vůle subjektu, kterým subjekt dá- vá prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů pro daný účel.
11. Ochranou osobních údajů se pro účely této směrnice rozumí zajištění správy a zabezpe- čení osobních údajů v souladu s Nařízením GDPR a dalšími platnými právními předpisy v oblasti ochrany osobních údajů.
12. Zpracováním osobních údajů se pro účely této směrnice rozumí nakládání s osobními údaji, které zahrnuje shromažďování, uchovávání, používání a případné poskytování osobních údajů k různým účelům a různým stranám, jakož i veškeré úkony spojené s jejich likvidací.
3. Základní zásady zpracování a ochrany osobních údajů
1. K zajištění ochrany osobních údajů Správce musí být při jejich zpracování uplatňovány tyto zásady:
a) zajištění transparentnosti, zákonnosti a korektnosti účelu a způsobu zpracovávání osob- ních údajů,
b) jasné vymezení účelu, pro který jsou osobní data zpracovávána a podmínek jejich zpraco- vání,
c) omezení rozsahu shromažďovaných osobních dat na údaje nezbytné pro naplnění účelu jejich poskytnutí subjekty údajů,
d) zajištění přesnosti a aktuálnosti zpracovávaných osobních dat tak, aby jejich obsah nevedl jejich zpracováním ke zkreslování údajů včetně z důvodu jejich zastarání,
e) omezení zpracování osobních dat pouze na dobu nezbytně nutnou pro naplnění účelu je- jich uchovávání a zpracování,
f) zabezpečení osobních dat a zajištění jejich integrity, utajení a ochrany vhodnými organi- začními a technickými opatřeními před ztrátou kontroly nad nimi, neoprávněným, proti- právním nebo dotčenými osobami neschváleným přístupem k nim a jejich využívání, před jejich poškozením, ztrátou či zničením, čímž vznikají rizika ztráty jejich integrity, přes- nosti a bezpečnosti,
g) zamezení opakovanému požadování osobních údajů k jejich zpracování, včetně opakova- ného požadování poskytování souhlasu s jejich zpracováním, leda, že by byly osobní úda- je zpracovávány pro nový účel.
4. Zákonnost zpracování osobních údajů
1. Ke zpracování osobních údajů je nutný tzv. právní důvod. Nařízení GDPR umožňuje zpracovávat osobní údaje, pokud je naplněn alespoň jeden z následujících právních důvo- dů:
• subjekt údajů udělil kvalifikovaný souhlas se zpracováním osobních údajů pro jeden či více konkrétních účelů,
• zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto sub- jektu údajů,
• zpracování je nezbytné pro splnění právní povinnosti, která se na Správce vztahuje,
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je Správce pověřen,
• zpracování je nezbytné pro účely oprávněných zájmů Správce či třetí strany s výjim- kou případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobo- dy subjektu údajů.
2. Pokud zpracování pro jiný účel, než pro který byly osobní údaje původně shromážděny, není založeno na souhlasu subjektu údajů nebo na jiných právních důvodech, je v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, nutné zohlednit mimo jiné:
• jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny a účely za- mýšleného dalšího zpracování,
• okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a Správcem,
• povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle čl. 9 Nařízení GDPR nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle čl. 10 Nařízení GDPR,
• možné důsledky zamýšleného dalšího zpracování pro subjekty údajů,
• existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace.
5. Zpracování zvláštních kategorií osobních údajů
1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuál- ní orientaci fyzické osoby.
2. Výjimky z tohoto ustanovení jsou uvedeny v čl. 9 Nařízení GDPR, a to zejména z násle- dujících důvodů:
• subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro je- den nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členské- ho státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen,
• zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv Správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpe- čení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky tý- kající se základních práv a zájmů subjektu údajů,
• zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
• zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků,
• zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů,
• zpracování je nezbytné pro účely preventivního nebo pracovního lékařství, pro posou- zení pracovní schopnosti zaměstnance,
• zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely v souladu s čl. 89 odst. 1 Nařízení GDPR na základě práva Unie nebo členského státu, které je přiměřené sledovanému cíli, dodržuje podstatu práva na ochranu údajů a poskytuje vhodné a konkrétní záruky pro ochranu základních práv a zájmů subjektu údajů.
6. Zpracování osobních údajů Správce prostřednictvím zpracovatele
1. Správce osobních údajů může pověřit zpracováním osobních údajů zpracovatele. Zpraco- vatel může pro Správce zpracovávat osobní údaje pouze na základě zpracovatelské smlouvy, která musí být písemná. V této smlouvě musí být vždy jednoznačně stanoven předmět a doba trvání zpracování osobních údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a veškeré povinnosti a práva Správce a zpracovatele.
2. Ve smlouvě musí být zejména stanoveny následující povinnosti zpracovatele:
• že zpracovatel přijme všechna bezpečnostní, technická, organizační a jiná opatření požadovaná v čl. 32 Nařízení GDPR, přitom přihlédne ke stavu techniky, nákladům na provedení, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobo- dy fyzických osob,
• že zpracovatel nezapojí do zpracování žádné další osoby bez předchozího písemného souhlasu Správce,
• že zpracovatel zpracovává osobní údaje pouze na základě doložených pokynů Správ- ce (vč. předání údajů do třetích zemí a mezinárodním organizacím) a že výjimkou jsou pouze případy, kdy jsou určité povinnosti zpracovateli uloženy přímo právním předpisem,
• že zpracovatel zajistí, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
• že zpracovatel bude Správci bez zbytečného odkladu nápomocen při plnění povinnos- tí Správce, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, po- vinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 Nařízení GDPR, povinnosti oznamovat případy porušení zabezpečení osob- ních údajů subjektu údajů dle čl. 34 Nařízení GDPR, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzulta- ce dle čl. 36 nařízení, a že za tímto účelem zpracovatel zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje Správce,
• že zpracovatel po ukončení poskytování služeb spojených se zpracováním řádně nalo- ží se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí Správci a vymaže existující kopie apod.,
• že zpracovatel poskytne Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené Správci právními předpisy,
• že zpracovatel umožní kontroly, audity či inspekce prováděné Správcem nebo jiným příslušným orgánem dle právních předpisů,
• že zpracovatel poskytne bez zbytečného odkladu nebo ve lhůtě, kterou stanoví Správ- ce, součinnost potřebnou pro plnění zákonných povinností Správce spojených s ochranou osobních údajů, jejich zpracováním a s plněním smlouvy o zpracování osobních údajů.
3. Zpracovatelská smlouva musí obsahovat vhodné záruky splnění povinností zpracovatele; jedná se zejména finanční záruky nebo využití zástavního práva, a to nejen za porušení jednotlivých povinností zpracovatele uvedených ve smlouvě, ale především pro případy, kdy byla v důsledku jednání zpracovatele správci uložena pokuta. Pro případ závažného porušení povinností zpracovatele (např. předání zpracovávaných údajů třetí osobě) by mělo být ve smlouvě upraveno právo Správce odstoupit od smlouvy. Dále by mělo být ve všech smlouvách vždy zakotveno právo Správce smlouvu vypovědět včetně stanovení přiměřené výpovědní lhůtu.
7. Shromažďování údajů
1. Správce shromažďuje a zpracovává pouze údaje, které:
• jsou nezbytné pro vedení personální a mzdové agendy Správce, souvisejí s pracovním a mzdovým zařazením zaměstnanců, sociálním, sociálním a zdravotním pojištění (např. dosažené vzdělání, délka praxe, funkční zařazení apod.),
• jsou nezbytné pro jednoznačnou identifikaci zákonných zástupců žáků v souladu se zákonem, plněním smluvních povinností a na základě souhlasu se zpracováním osob- ních údajů (jméno, příjmení, datum narození, bydliště, telefonní kontakt, email, telefon do zaměstnání, pro případ nutného kontaktu školy se zákonným zástupcem, číslo účtu pro potřeby plateb poplatků Správci, další údaje nezbytné pro vydání správního roz- hodnutí apod.),
• jsou nezbytné pro identifikaci žáka ze zákona, ochrany oprávněných zájmů, plnění smluvních povinností a na základě souhlasu se zpracováním osobních údajů (jméno, příjmení, datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, údaj o zákonném zástupci, údaje o zdravotním stavu, zdravotní pojišťovna apod.).
jsou nezbytné pro identifikací osob, které mohou na základě pověření vyzvednout žá- ka Správce (jméno, příjmení, vztah k žákovi),
• jsou nezbytné pro plnění smluvních povinností Správce ve vztahu ke svým obchodním partnerům a povinností Správce vyplývajících ze zvláštních právních předpisů (vedení účetnictví, daňového účetnictví, apod.),
• jsou nezbytné pro identifikaci osob využívajících prostory budovy správce pro vlastní potřebu a umožnění vstupu do budovy Správce (jméno, příjmení, číslo čipu a čas pří- chodu a odchodu),
• jsou nezbytné pro plnění smluvních povinností Správce ve vztahu k externím strávní- kům (jméno, příjmení, rodné číslo, adresa bydliště, telefon apod.),
• jsou nezbytné pro ochranu majetku Správce a ochranu zdraví žáků a zaměstnanců Správce (jméno, příjmení a účel návštěvy osob vstupujících do budovy Správce),
• jsou nezbytné pro plnění zákonných povinností Správce ve vztahu ke školské radě (jméno, příjmení, bydliště, email, telefonní kontakt, mobilní kontakt, funkce členů školské rady).
2. Přesná specifikace rozsahu zpracovávaných osobních údajů včetně důvodů zpracování je specifikována v záznamech o činnostech zpracování, které tvoří přílohu této směrnice.
3. Osobní údaje jsou uchovávány v listinné i v elektronické podobě.
4. V listinné podobě Správce eviduje osobní údaje
• zaměstnanců Správce
o v jeho osobním spisu umístěném v kanceláři zástupce ředitele pro TEÚ v uzamy- katelné skříni, do které má přístup pouze ředitel školy, zástupce ředitele pro TEÚ a mzdová účetní,
o v cestovních příkazech, ke kterým má přístup pouze pokladník školy a hlavní účetní,
o v knize příchodů a odchodů uložené v místnosti přístupné pouze zaměstnancům,
o v knize úrazů zaměstnanců uložené v kanceláři bezpečnostního technika s povoleným přístupem pouze bezpečnostního technika, který provádí zápis.
o a dále krátkodobá dokumentace uložená v kanceláři zástupce ředitele TEÚ v uzamykatelné skříni, do které má přístup pouze ředitel školy, zástupce ředitele pro TEÚ,
• zákonných zástupců žáka
o ve spisu založeném v rámci přijímání žáka ke vzdělávání, v katalogovém listu žáka a v matrice školy umístěných v kanceláři asistentek ředitele v uzamykatelné skříni, do které má přístup pouze ředitel školy, zástupkyně ředitele na pedagogic- kém úseku a asistentky ředitele a správce informačních a komunikačních techno- logií,
• žáků
o v matrice školy a dokumentech vedených v souladu s ustanovením školského zákona, nebo v materiálu, který plní obdobnou funkci umístěných v kanceláři asis- tentek ředitele v uzamykatelné skříni, do které má přístup pouze ředitel školy, zástupkyně ředitele na pedagogickém úseku, asistentky ředitele a správce infor- mačních a komunikačních technologií,
o v matrice školských zařízení a dokumentech vedených v souladu s ustanovením školského zákona, nebo v materiálu, který plní obdobnou funkci uložených u vedoucích vychovatelek domova mládeže a u vedoucí školní jídelny, vždy v uzamykatelné skříni, do které má přístup pouze ředitel školy, zástupce ředitele pro PEÚ a vychovatelky domova mládeže nebo vedoucí školní jídelny,
• obchodních partnerů,
o ve spisu uloženém v kanceláři zástupce ředitele pro TEÚ v uzamykatelné skříni, do které má přístup pouze zástupce ředitele pro TEÚ,
5. V elektronické podobě jsou uloženy osobní údaje
• zaměstnanců, a to informace nezbytné pro vedení personální a mzdové agendy Správce, a to na samostatném datovém disku chráněném přístupovým jménem a heslem,
• žáků, a to v databázi elektronické dokumentace žáka, uložené na zařízení Správce v prostorách školy, které je chráněno přístupovým heslem, v elektronické třídní knize, do které má přístup pouze zástupkyně ředitele na pedagogickém úseku, třídní učitel a vy- učující pedagog daného žáka a správce informačních a komunikačních technologií,
• obchodních partnerů Správce, které jsou uloženy na vyhrazeném zařízení, které je chráněno přístupovým heslem.
6. Osobní údaje se uchovávají pouze po dobu, která je nezbytná k účelu jejich zpracování a po dobu nezbytné archivace. Lhůty pro ukládání osobních údajů jsou specifikovány v záznamech o činnostech zpracování.
7. Správce shromažďuje a zpracovává jen ty osobní údaje, které odpovídají stanovenému účelu a rozsahu zpracování. Zpracovávají se pouze pravdivé a přesné osobní údaje. Pro statistické účely je nutné osobní údaje anonymizovat. Je třeba zamezit neoprávněnému přístupu ke shromážděným údajům.
8. Přístup k osobním údajům
1. K osobním údajům mají přístup pouze zaměstnanci, kteří jej potřebují pro řádný výkon své pracovní náplně.
2. K osobním údajům zaměstnanců má přístup výhradně vedení Správce (ředitel, zástupce ředitele a provozní zaměstnanec). Právo nahlížet do osobního spisu zaměstnance má výhradně příslušný zaměstnanec, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele (§ 312 zákoníku práce), případně osoby, o kterých tak výslovně stanoví zvláštní právní předpis. Osobní údaje se předávají orgánům veřejné správy, zdravotní pojišťovně a případně zpracovatelům osobních údajů,
a to vždy pouze pro naplnění účelu zpracování, tedy pokud takovou povinnost ukládá Správci zákon nebo pokud je předání nezbytné pro plnění povinností Správce jakožto zaměstnavatele.
3. K osobním údajům žáků a jejich zákonným zástupcům
• ve školní matrice - mají přístup pedagogičtí pracovníci školy a vedení Správce,
• do údajů o zdravotním stavu žáka, zpráv o vyšetření ve školním poradenském zařízení, lékařských zpráv - mají přístup pedagogičtí pracovníci školy, kteří žáka přímo vyučují, ředitel a zástupci ředitele na pedagogickém úseku,
• do spisu vedeném ve správním řízení - mají přístup účastníci správního řízení, vedení Správce a osoba, která je zmocněna s úředním spisem pracovat po dobu řízení
Právo nahlížet do osobního spisu či si pořizovat výpisy a opisy má výhradně žák nebo jeho zákonní zástupci. Osobní údaje žáka jsou předávány zpracovatelům osobních údajů výhradně pokud je toto předání v souladu s účelem zpracování, především poskytovateli IT služeb či poskytovateli zdravotních služeb.
4. K osobním údajům obchodních partnerů má přístup pouze vedení Správce (ředitel, zástupce ředitele a provozní zaměstnanec). Osobní údaje smluvních partnerů jsou předávány zpracovatelům osobních údajů výhradně pokud je toto předání v souladu s účelem zpracování, především poskytovateli IT služeb či externí účetní.
5. Osobní údaje mohou být dále předány orgánům státní správy, jestliže o jejich zpřístupnění požádají v souladu se zvláštními právními předpisy, za podmínek stanovených zákonem a při výkonu své činnosti.
6. Zaměstnanec, který není oprávněn nakládat s osobními údaji některé kategorie osobních údajů je povinen zdržet se jakéhokoliv jednání, které by mu přístup k daným osobním údajům umožnilo. Jestliže se Zaměstnanec dostane do kontaktu s osobními údaji, které není oprávněn zpracovávat, nebo s osobními údaji, které nejsou uloženy a zabezpečeny v souladu s touto směrnicí či GDPR, případně bude informován o jiném porušení zabezpečení osobních údajů, je o tomto povinen bezodkladně informovat vedení Správce.
9. Souhlas k zpracováním osobních údajů
1. Ke zpracování osobních údajů a citlivých osobních údajů nad rozsah daný právními předpisy je nezbytný souhlas osoby, jejíž osobní údaje jsou zpracovávány. Správce před zahájením zpracování osobních dat prokazatelně zajistí plnou informovanost těchto subjektů v rozsahu daném GDPR a poučení o jejich právech.
10. Organizační opatření k ochraně osobních údajů v organizaci a koncepce s jejich naklá- dáním vč. procesu zvládání incidentů
1. Všichni zaměstnanci, na něž vztahuje tato směrnice, jsou povinni dodržovat při shromažďování, evidenci a zpracování osobních údajů ustanovení GDPR, který mimo jiné stanoví, co se těmito údaji a manipulací s nimi rozumí.
2. Veškeré listinné dokumenty obsahující osobní údaje musí být uloženy na místě k tomuto určeném tak, jak je popsáno ve čl. 3. této směrnice s výjimkou doby, po kterou s těmito osobními údaji pracuje pověřená osoba.
3. Pověřená osoba je povinna přijmout veškerá opatření nezbytná pro ochranu a zabezpečení osobních údajů, se kterými pracuje, tak, aby nemohlo dojít k jejich ztrátě, zničení, zcizení či zneužití. Pověřená osoba je především povinna mít osobní údaje uloženy na pracovním místě a pod svým dohledem. Při opuštění pracovního místa se musí Pověřená osoba ujistit, že jsou osobní údaje zabezpečeny před neoprávněným přístupem, a to uložením osobních údajů do uzamykatelného kontejneru nebo uzamčením místnosti, ve které se osobní údaje nachází.
4. Pověřená osoba je oprávněna předat osobní údaje pouze subjektu osobních údajů nebo osobě, která je k tomuto výslovně oprávněna zákonem nebo prokazatelným pověřením subjektu osobních údajů. V případě pochybností je pověřená osoba povinna obrátit se na vedení Správce. O předání čí zpřístupnění osobních údajů jakékoliv bude proveden písemný záznam podepsaný zaměstnancem, který přístup k osobním údajům umožnil, a osobou, které byl přístup k osobním údajům umožněn.
5. Každá pověřená osoba je povinna zachovávat mlčenlivost o osobních údajích, které zpracovává v rámci plnění svých pracovních povinností a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po ukončení pracovněprávního vztahu.
6. Přístup k osobním údajům v elektronické podobě je zajištěn individuálními přihlašovacími jmény a hesly, které pověřeným osobám vydává vedení Správce.
7. Pověřená osoba je povinna zachovávat přihlašovací údaje v tajnosti a přijmout taková opatření, aby nemohlo dojít k jejich zcizení či zneužití. Zakázáno je především předávání přihlašovacích údajů jinému zaměstnanci, třetí osobě, zapisování přihlašovacích údajů na veřejně dostupná místa či povolení automatického ukládání hesel v ICT zařízení.
8. V případě ztráty přihlašovacích údajů, nebo byť jen podezření z jejich zneužití je pověře- ná osoba povinna toto bezodkladně ohlásit vedení Správce. Vedení Správce zajistí bezodkladnou deaktivaci přihlašovacích údajů a vydání přihlašovacích údajů nových.
9. Pověřená osoba je povinna odhlásit se ze systému při ukončení práce s elektronickou databází osobních údajů, nebo při jejím přerušení a opuštění pracoviště.
10. Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponují pověřené osoby a které obsahují osobní údaje chráněné podle této směrnice, musí být uchovávány pouze v uzamykatelných skříních či zásuvkách na pracovištích Správce, případně na jiných bezpečných místech nebo musí být zabezpečeny systémem přístupových hesel. Pokud uvedené řešení není možné, musí být přijata taková organizační opatření, která osobní údaje řádně zabezpečí.
11. Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní údaje chráněné podle této směrnice, musí být povinně zabezpečeny před volným přístupem neoprávněných osob přístupovými hesly, šifrováním či uzamčením.
12. Kopie osobních údajů chráněných podle této směrnice musí být pořizovány na technické nosiče informací podle provozních pravidel stanovených pro jednotlivá zpracování údajů a uchovávány v uzamykatelných skříních na pracovištích Správce, případně na jiných bezpečných místech.
13. V případě, kdy zaměstnanec Správce zjistí nebo nabude podezření, že by mohlo dojít
nebo že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně oznámit nadřízenému vedoucímu zaměstnanci a pověřenci.
14. Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu dle čl. 33 Nařízení GDPR a oznamování případů porušení ochrany osobních údajů subjektu údajů dle čl. 34 Nařízení GDPR provádí pověřenec.
11. Posouzení vlivu zpracování na ochranu osobních údajů
1. V souladu s ust. § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném a účinném znění není správce povinen provést posouzení vlivu zpracování osobních údajů, neboť osobní údaje zpracovává zejména proto, že mu tak ukládají zvláštní právní předpisy, především zákon č. 561/2004 Sb., školský zákon, v platném a účinném znění.
12. Závěrečná ustanovení
1. Porušení povinností dle této směrnice se považuje za podstatné porušení pracovních povinností.
2. Kontrolou provádění ustanovení této směrnice je pověřen statutární orgán Správce.
3. Směrnice nabývá účinnosti dne 24. 4. 2019.
Příloha:
• záznamy o činnostech zpracování Ve Znojmě, dne 17. 4. 2019
…………………………..
Xxx. Xxxxx Xxxxxxx ředitel školy