Směrnice o zpracování a ochraně osobních údajů

Směrnice o zpracování a ochraně osobních údajů

Platnost směrnice: od 10. 8. 2019

Služby sociální péče TEREZA, příspěvková organizace Benešov u Semil 180, 512 06 Benešov u Semil

IČO: 00193771

Zastoupená: Bc. Xxxxx Xxxxxxxxxxx, ředitelkou organizace (dále také „organizace“)

Vydává podle §305 zákona č. 262/2006 Sb., zákoníku práce, ve znění pozdějších předpisů (dále jen zákoník práce) tuto

SMĚRNICI

kterou se blíže upravují práva a povinnosti zaměstnanců upravené v Nařízení Evropského parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob

v souvislosti se zpracováním osobních údajů „GDPR“ a podle českého adaptačního zákona č. 110/2019 Sb. (zákon o zpracování osobních údajů), jakož i vnitřní organizaci zaměstnavatele při zpracování osobních údajů

1. Působnost

1.1 Tato směrnice upravuje postupy organizace a jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji. Stanovuje práva a povinnosti pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů, a to jak při ručním, tak automatizovaném zpracování.

1.2 Tato směrnice je závazná pro všechny zaměstnance organizace. Směrnice je závazná i pro další osoby, které mají s organizací jiný právní vztah (např. smlouva o dílo, licenční smlouva) a které se zavázaly postupovat podle této směrnice.

2.Definice a pojmy

Pro účely tohoto vnitřního předpisu se rozumí:

a) Nařízením nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

b) Osobním údajem (dále také jako „OÚ“) každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů), jestliže lze subjekt údajů přímo či nepřímo pomocí tohoto údaje identifikovat.

c) Citlivými osobními údaji (tzv. zvláštní kategorie osobních údajů) údaje, které mohou subjekt údajů samy o sobě poškodit (např. ve společnosti, zaměstnání, škole) či mohou zapříčinit jeho diskriminaci. Jde zejména o: národnostní, rasový nebo etnický původ, politické postoje, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a filozofické přesvědčení, údaje o trestné činnosti, zdravotní stav a sexuální život.

d) Subjektem údajů fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (např. jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby

e) Správcem osobních údajů (dále také „Správce“) Zaměstnavatel. Správci osobních údajů sami nebo společně určují účely (na základě čeho) a prostředky zpracování (formu)

f) Zpracovatelem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který na základě zákona nebo pověření Správce zpracovává osobní údaje pro správce

g) Příjemcem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují (inspekční a vyšetřovací orgány jako PČR, FÚ, ČOI, ÚOHS aj.). Zpracování osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování.

h) Zpracováním osobních údajů jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Zpracování osobních údajů je nutné považovat za sofistikovanější činnost, kterou správce osobních údajů nebo zpracovatel s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky.

i) Profilováním jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

j) Pseudonymizací zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

k) Anonymizací Zpracování osobních údajů způsobem, že nemohou být již nikdy přiřazeny konkrétnímu subjektu a jeho identifikaci ani nenapomáhají.

l) Souhlasem subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. Může být učiněn písemně, elektronicky i ústně.

m) Pověřencem pro ochranu osobních údajů (dále také „DPO“ nebo „pověřenec“) pozice v rámci organizace, v níž působí zaměstnanec nebo externí pracovník jako ochránce osobních údajů zaměstnanců, občanů, klientů, zákazníků, dodavatelů a dalších fyzických osob, jejichž údaje Správce osobních údajů zpracovává. Funguje mj. jako prostředník pro komunikaci mezi subjektem údajů, správcem a dozorovým úřadem.

n) Odpovědnou osobou osoba uvedená v bodě 9 tohoto vnitřního předpisu.

o) Bezpečnostním incidentem porušení zabezpečení / únik dat – náhodné nebo protiprávní zničení, ztráta, změna nebo neoprávněné poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních dat.

p) Kategoriemi OÚ: adresní, identifikační, zvláštní a popisné.

Adresní (kontaktní) a identifikační údaje jsou údaje k jednoznačné a nezaměnitelné identifikaci a umožňující kontakt se subjektem údajů (např. jméno, příjmení, titul, rodné číslo, datum narození, adresa trvalého pobytu, kontaktní nebo doručovací adresa, místo narození, státní příslušnost, pohlaví, u fyzické osoby podnikající též daňové identifikační číslo a IČ, dále kontaktní adresa, číslo telefonu, e-mailová adresa, jméno datové xxxxxxxx).

Popisné údaje jsou údaje vytvářející komplexní obraz fyzické osoby (například údaje o vzdělání, znalosti cizích jazyků, odborné znalosti a dovednostech, počtu dětí, informace o absolvování vojenské služby, o předchozím zaměstnání, zdravotní pojišťovně, mzdě, ale také vzhled, výška, postava, barva vlasů apod.)

Zvláštní – viz. odstavec II., písm. c)

q) Úřadem je Úřad pro ochranu osobních údajů České republiky (dále také ÚOOÚ).

r) Zaměstnancem se pro účely tohoto vnitřního předpisu rozumí i statutární orgán, pokud je dle čl. IV. odpovědný za plnění povinností dle tohoto vnitřního předpisu.

3. Kategorie osobních údajů, účely a právní tituly zpracování osobních údajů

1. Zaměstnavatel zpracovává tyto kategorie OÚ:

a) Adresní, identifikační a popisné

b) Zvláštní, zejména údaje o zdravotním stavu a členství v odborové organizaci, je-li zřízena

2. Zaměstnavatel zpracovává OÚ za účelem plnění pracovněprávních povinností, za účelem plnění smluvních povinností se svými obchodními partnery a pro účely plnění povinností uložených mu platnými zákony.

3. Právním titulem pro zpracování osobních údajů u zaměstnavatele je především plnění zákonných povinností, plnění smlouvy, oprávněný zájem, veřejný zájem a v odůvodněných případech souhlas se zpracováním osobních údajů nebo ochrana životně důležitých zájmů subjektu údajů.

4. Zásady nakládání s osobními údaji

Při nakládání s osobními údaji se organizace, její zaměstnanci a další osoby řídí těmito zásadami:

- Postupovat při nakládání s osobními údaji v souladu s právními předpisy,

- S osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat,

- Zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné,

- Zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (zejména děti požívají vyšší ochrany), při ochraně oprávněných zájmů organizace, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu,

- Respektovat práva člověka, který je subjektem údajů, zejména práva dát a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.,

- Poskytovat při zpracování osobních údajů zvláštní ochranu dětem,

- Poskytovat informace o zpracování osobních údajů, komunikovat,

- Při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím,

- Spolupracovat s pověřencem pro ochranu osobních údajů.

5. Postupy organizace, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji

5.1 Organizace všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom organizace především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň řediteli organizace známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením ředitele organizace nebo jím pověřené osoby.

5.2 Organizace zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled ředitel organizace nebo jím pověřená osoba a pověřenec pro ochranu osobních údajů. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou organizace uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o poskytování služeb).

5.3 Organizace alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zhodnocení může být provedeno dle zvyklostí organizace, zpravidla se učiní stručný záznam např. v zápisu z porady. Zjistí-li se, že některé postupy organizace jsou zastaralé, zbytečné nebo se neosvědčily, učiní organizace bezodkladně nápravu.

5.4 Každý zaměstnanec organizace při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na ředitele organizace nebo jím určenou osobu nebo na pověřence pro ochranu osobních údajů.

5.5 Organizace při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů.

5.6 Organizace ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to

v součinnosti s pověřencem pro ochranu osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního zaměstnance, zákonného zástupce atd., organizace tuto osobu vždy informuje a sdělí ji, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu organizace informuje nejpozději do 72 hodin od prvního zaznamenání bezpečnostního incidentu Úřad pro ochranu osobních údajů.

5.7 Vzhledem k tomu, že organizace eviduje v podstatě údaje o zaměstnancích, které stanovují právní předpisy (zejména pracovněprávní předpisy), nemá oznamovací povinnost vůči Úřadu pro ochranu osobních údajů podle ustanovení 5.6 věty první.

5.8 Organizační opatření k ochraně osobních údajů v organizaci:

5.8.1 Osobní spisy, dokumenty a doklady v papírové podobě, které obsahují osobní údaje zaměstnanců a klientů, jsou trvale uloženy v uzamykatelných skříních v kancelářích organizace, a to v kanceláři ředitele, zástupce ředitele (vedoucí sociální pracovnice), ekonoma a všeobecné sestry. Ostatním pověřeným zaměstnancům jsou zapůjčeny na nezbytně dlouhou dobu k provedení potřebných zápisů. Žádné dokumenty a doklady, či informace z nich, nelze vynášet z organizace, předávat je cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.

5.8.2 Osobní údaje v elektronické podobě organizace zpracovává pomocí informačních systémů a webových aplikací, které fungují v prostředí Microsoft Windows a ……Uživateli těchto systémů jsou pouze zaměstnanci pověřeni ředitelem organizace. Xxxx zaměstnanci se do informačních systémů přihlašují na základě jedinečného přihlašovacího jména a hesla, a to pouze v rámci oprávnění daného funkčním zařazením. Osobní údaje představující vysoké riziko organizace šifruje, pseudonymizuje a chrání dalšími technickými opatřeními odpovídající míře rizika zpracovávaných údajů. Pro zpracování osobních údajů jsou využívány tyto programy: VEMA, CYGNUS, AMICUS, GORDIC a další aplikace v rámci využívání operačního systému Microsoft Windows a Microsoft Office. Při práci s elektronickou evidencí oprávnění nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned (ve spolupráci se správcem sítě) změnit. Přístupy

nastavuje pověřený správce počítačové sítě, který nastavuje potřebné zabezpečení dat a počítačové sítě organizace dle pokynů ředitele.

5.8.3 Zaměstnanci organizace mají právo seznámit se s obsahem svého osobního spisu. O tomto právu jsou zaměstnanci poučeni, zpravidla na poradě.

5.8.4 Zaměstnanci organizace neposkytují bez právního důvodu žádnou formou osobní údaje zaměstnanců organizace cizím osobám a institucím, tedy ani telefonicky, ani e-mailem a ani při osobním jednání.

5.8.5 Písemná hodnocení a posudky, která se odesílají mimo organizaci, např. pro potřeby soudního řízení, přijímacího řízení, zpracovávají zaměstnanci určení ředitelem organizace. Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem organizace a mají povinnost zachovávat mlčenlivost o dané věci.

5.8.6 Seznamy klientů se nezveřejňují, neposkytují bez vědomého souhlasu klientů či jejich zákonných zástupců, jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného organizaci nebo nevyplývá-li to ze zákona.

5.8.7 V propagačních materiálech organizace, ve výroční zprávě, na webu organizace či na nástěnkách umístěných po budovách organizace apod. lze s obecným souhlasem klientů nebo jejich zákonných zástupců uveřejňovat výhradně textové či obrazové informace o jejich účastech na různých akcích uvedením pouze jména. Při publikování v tisku se autor dotazuje na souhlas příslušného klienta. Klient nebo jeho zákonný zástupce má právo požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkající se jeho osoby, který zveřejňovat nechce. Platí to i o fotografiích či záznamech klienta bez uvedení jména v rámci obecné dokumentace akcí, které organizace pořádá nebo akcí, kterých se organizace účastní.

5.8.8 V organizaci se neprovozují žádné kamerové systémy. Zaměstnavatel provádí sledování vozidla v majetku zaměstnavatele formou instalace GPS modulu, který zaznamenává průběh jízdy služebním vozidlem. O sledování služebního vozidla jsou zaměstnanci předem informovaní a to formou seznámení se s touto směrnicí.

5.8.9 Uzavírá-li organizace jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, organizace vždy a bezpodmínečně bude trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:

- přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,

- nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu organizace

- zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,

- zajistit, aby osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,

- zajistit, že dodavatel bude organizaci bez zbytečného odkladu nápomocen při plnění povinností organizace, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl.

33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzultace dle čl. 36 nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje organizaci,

- po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí organizaci a vymaže existující kopie apod.,

- poskytnout organizaci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené organizaci právními předpisy,

- umožnit kontrolu či audit prováděné organizací nebo příslušným orgánem dle právních předpisů,

- poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví organizace, součinnost potřebnou pro plnění zákonných povinností organizace spojených s ochranou osobních údajů a jejich zpracováním,

- poskytnuté osobní údaje chránit v souladu s právními předpisy

6. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů.

6.1 Organizace nakládá a zpracovává pouze osobní údaje:

- související s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků, se sociálním a zdravotním pojištěním (např. dosažené vzdělání, délka praxe, funkční zařazení apod.),

- související s jednoznačnou identifikací zákonných zástupců klientů v souladu se zákonem (jméno, příjmení, bydliště, kontakt, např. telefonní číslo pro případ nutného kontaktu organizace se zákonným zástupcem v rámci ochrany zdraví, bezpečnosti a práv klienta, další údaje nezbytné např. pro vydání správního rozhodnutí apod.),

- související s identifikací klienta ze zákona (datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, údaj o zákonném zástupci, soudní rozhodnutí vztahující se

k přidělení klienta do výchovy, nutný zdravotní údaj apod.),

- nezbytné pro plnění právní povinnosti, ochranu oprávněných zájmů organizace nebo ve veřejném zájmu,

- k jejichž zpracování získala souhlas subjektu údajů.

6.2 Osobní údaje se uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich zpracování, včetně archivace.

6.3 K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě zákona.

Do jednotlivých dokumentů organizace, které obsahují osobní údaje, mohou nahlížet:

- do osobního spisu zaměstnance: ředitel organizace, personalista a ekonom. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce,

příslušný orgán Policie České republiky, Národní bezpečnostní úřad a zpravodajské služby. Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele (§ 312 zákoníku

práce),

- do osobních spisů klienta: ředitel organizace a jeho zástupce, vedoucí jednotlivých oddělení a pracovníci na oddělení (v rozsahu dané pracovní náplně)

- do údajů o zdravotním stavu klienta, zpráv o vyšetření ve zdravotnických zařízeních a do lékařských zpráv – ředitel organizace, vedoucí sociální pracovník, všeobecná sestra

- do spisu, vedeném ve správním řízení: účastníci správního řízení, ředitel organizace, zástupce ředitele, osoba, která je zmocněna s úředním spisem pracovat po dobu řízení.

7. Xxxxxxx k zpracováním osobních údajů

7.1 Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (ze zákona vyplývá i oprávněný zájem, plnění právní povinnosti, plnění smlouvy, veřejný zájem) je nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být poučený, informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje (určené např. druhově), na konkrétní dobu a pro konkrétní účel.

7.2 Souhlas se získává pro zpracování osobních údajů jen tehdy, pokud je jejich zpracování nezbytně nutné a právní předpisy jiný důvod pro toto zpracování nestanoví.

7.3 Souhlas se poskytuje podle účelu např. na dobu konání akce, na dobu trvání pobytu klienta v organizaci apod. Udělený souhlas může být v souladu s právními předpisy odvolán.

8. Povinnosti organizace, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji.

8.1 Každý zaměstnanec organizace je povinen počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných organizací. Pracovníci jsou povinni především: dodržovat povinnost mlčenlivosti vždy a všude, neponechávat dokumenty obsahující osobní údaje volně přístupné (metoda čistého pracovního stolu při opuštění pracovny či kanceláře, nástěnky v kancelářích neobsahují jmenné seznamy, seznamy kontaktních telefonních čísel zaměstnanců, klientů a jejich zákonných zástupců, dalších osob, neponechávat tiskárny při tisku bez dozoru. Při komunikaci se zákonnými zástupci klientů využívat oficiální komunikační prostředky (služební pevnou linku či mobilní telefon, e-mail obsahující doménu organizace

8.2 Dále je každý zaměstnanec organizace povinen

- zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců, klientů, jejich zákonných zástupců a dalších osob, které organizace zpracovává,

- pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů, zneužití osobních nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost řediteli organizace či jinému příslušnému zaměstnanci.

8.3 Ředitel organizace je povinen

- informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji v organizaci, a to bez zbytečného odkladu,

- zajistit, aby zaměstnanci organizace byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,

- zajišťovat, aby zaměstnanci organizace byli podle možností a potřeb organizace vzděláváni nebo proškolováni o ochraně osobních údajů

- zajistit, aby organizace byla schopna řádně doložit plnění povinností organizace při ochraně osobních údajů, které vyplývají z právních předpisů.

9. Odpovědné osoby

1. Osobou odpovědnou za dodržování povinností Nařízení je u zaměstnavatele statutární zástupce příspěvkové organizace Xx. Xxxxx Xxxxxxxxxx.

2. Osobou pověřenou implementací GDPR je: Xxxx Xxxxxxxxx

3. Pro účely kontaktování pověřené osoby v případech dotazů, námitek a žádostí souvisejících s bezpečností, ochranou a zpracováním osobních údajů a hlášení bezpečnostních událostí a incidentů se stanovují tyto kontaktní údaje:

e-mailová adresa: xxxx.xxxxxxxxx@xxxxxxxxxxx.xx

Za vyřízení zákonných žádostí a námitek došlých na uvedený e-mail je odpovědná/ý Xxxx Xxxxxxxxx.

4. V ostatních případech je za dodržení povinností uvedených v této směrnici odpovědný zaměstnanec, který OÚ zpracovává a kterého zaměstnavatel pověřil úkoly spojenými s ochranou OÚ v rámci jeho organizační struktury. Zpracováním osobních údajů jsou pak zejména pověřeni zaměstnanci účetního a personálního oddělení.

- ředitel organizace: přístup k veškerým zpracovávaným údajům zaměstnanců či klientů

- zástupce organizace (vedoucí sociální pracovník): přístup k veškerým zpracovávaným údajům zaměstnanců či klientů

- ekonom, účetní – přístup k veškerým zpracovávaným údajům zaměstnanců a u klientů u údajů týkajících se vyúčtování služeb

- pokladní (provozář) – přístup ke zpracovávaným údajům klientů v rámci stravování a u zaměstnanců v rámci stravování, vyúčtování cestovních náhrad a evidence pracovních oděvů

- všeobecná sestra – přístup k veškeré ošetřovatelské dokumentaci klientů a u zaměstnanců evidence vstupních prohlídek

- pracovníci v sociálních službách a fyzioterapeutka – přístup k osobním údajům klientů a jejich zákonných zástupců, k údajům potřebných ke kvalitně poskytovaným službám klientům

5. Pověřencem pro ochranu osobních údajů je jmenován od 10. 8. 2019: Xx. Xxxxx Xxxxxx

Kontaktní e-mail: xxxxx.xxxxxx@xxxx-xxx.xx

Kontaktní telefonní číslo: tel: x000 000 000 000, mob.: x000 000 000 000

Tato směrnice v plném rozsahu ruší veškeré dosud vydané směrnice upravující zpracování a ochranu osobních údajů.

V Benešově u Semil dne 10. 8. 2019

……………………………………………… Xx. Xxxxx Xxxxxxxxxx – ředitelka organizace