1.146
Vzor – Směrnice o ochraně osobních údajů pro školy
PaedDr. František Havelka, PhD.
NahoruSměrnice o ochraně osobních údajů
I.
1.1 Název školy nebo školského zařízení podle zřizovací listiny, IČ (dále jen "škola") je správcem osobních údajů spadajících do působnosti této vnitřní směrnice.
Pověřencem pro ochranu osobních údajů je Jméno a příjmení, kontakt .....................................
1.2 Ochrana osobních údajů fyzických osob je školou Název podle zřizovací listiny (dále jen "škola"), zabezpečována v souladu právním řádem České republiky, a to zejména s nařízením Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, a se zákonem č. 110/2019 Sb., o zpracování osobních údajů, ve znění pozdějších předpisů, příp. dalších předpisů upravujících tuto problematiku.
NahoruII.
Zásady zpracování osobních údajů
2.1 Zákonnost zpracování osobních údajů
Název školy dle zřizovací listiny zpracovává osobní údaje zejména za účelem:
1) Zajištění vzdělávání – vybrat podle druhu a typu školy z následujícího
a) zápis k předškolnímu vzdělávání,
b) zajištění předškolního vzdělávání,
c) zápis k základnímu vzdělávání,
d) zajištění základního vzdělávání,
e) zájmové vzdělávání ve školní družině,
f) přijímací řízení do prvního ročníku vzdělávání ve střední škole,
g) zajištění středního vzdělávání,
h) zajištění odborného výcviku, učební, odborné nebo umělecké praxe,
i) přijímací řízení k vyššímu odbornému vzdělávání,
j) zajištění vyššího odborného vzdělávání,
k) přijímání uchazečů k základnímu uměleckému vzdělávání,
l) základní umělecké vzdělávání,
m) jazykové vzdělávání,
n) další vzdělávání pedagogických pracovníků,
o) vzdělávací program Erasmus+.
2) Zajištění služeb – vybrat podle skutečnosti
a) zajištění péče o děti s nařízenou ústavní výchovou,
b) poskytování poradenských služeb ve školách,
c) poskytování poradenských služeb v ŠPZ,
d) ubytování žáků školy v domově mládeže,
e) ubytování cizích osob za úplatu,
f) zajištění školního stravování,
g) evidence čtenářů školní knihovny.
3) Zajištění interních procesů a provozu organizace – vybrat podle skutečnosti
a) výběrová řízení na zaměstnance,
b) pracovněprávní a mzdová agenda,
c) evidence uchazečů o zaměstnání,
d) evidence úrazů,
e) poskytování informací dle zákona o svobodném přístupu k informacím,
f) ochrana majetku a osob,
g) prezentace příspěvkové organizace,
h) organizace škol v přírodě, zájezdů, exkurzí, sportovních pobytových kurzů atd.,
i) vydávání školních průkazů (ISIC atd.),
j) projekty, žádosti o dotace,
k) vedení účetnictví příspěvkové organizace,
l) smlouvy a objednávky služeb.
K těmto účelům zpracování jsou zpracovány podklady pro záznamy o činnostech zpracování.
Všechna zpracování jsou prováděna na základě stanoveného právního základu, který je uveden v příslušném záznamu o činnostech zpracování pro daný účel.
Odpovědnost za udržování aktuálnosti a úplnosti záznamů o činnostech mají příslušní vedoucí zaměstnanci, vždy v součinnosti s pověřencem pro ochranu osobních údajů, který zodpovídá za jejich evidenci a aktualizaci v součinnosti s příslušným vedoucím zaměstnancem.
2.2 Omezení účelem
Název školy dle zřizovací listiny shromažďuje osobní údaje jen pro předem vymezené, výslovně vyjádřené a legitimní účely.
Pro naplnění této zásady jsou uplatňována následující pravidla:
1) Pro každé zpracování je vždy předem stanoven konkrétní a legitimní účel.
2) Právní základ zpracování je vztažen vždy k jednotlivým účelům.
3) Osobní údaje jsou zpracovávány pouze pro daný účel a je zakázáno je využívat pro jiné účely, vyjma situace, kdy k jejich dalšímu využití udělil subjekt údajů souhlas nebo v dalších případech stanovených odstavcem 4 čl. 6 GDPR.
4) Údaje shromážděné pro různé účely je zakázáno spojovat, jsou evidovány a zpracovávány odděleně, vyjma účelů, jejichž spojení umožňuje zvláštní zákon anebo pro účely archivace ve veřejném zájmu.
Odpovědnost za dodržování této zásady mají všichni vedoucí zaměstnanci, v jejichž působnosti a agendách se osobní údaje zpracovávají.
Odpovědnost za kontrolu této zásady má pověřenec pro ochranu osobních údajů.
2.3 Minimalizace údajů a omezení uložení
Název školy dle zřizovací listiny zpracovává osobní údaje pouze pro stanovený účel a pouze po nezbytně dlouhou dobu.
Pro naplnění této zásady jsou uplatňována následující pravidla:
1) Je zakázáno shromažďovat a zpracovávat:
a) nepřiměřené osobní údaje (každý zpracovávaný osobní údaj musí být pro daný účel nezbytný),
b) nerelevantní osobní údaje (každý zpracovávaný osobní údaj musí mít odpovídající právní základ).
Toto pravidlo je u stávajících účelů zpracování zavedeno tím, že v záznamech o činnostech zpracování jsou vyjmenovány kategorie údajů, které jsou verifikovány pověřencem pro ochranu osobních údajů v součinnosti s odpovědnými vedoucími zaměstnanci.
U případných budoucích účelů zpracování bude, v souladu s pravidly standardní ochrany, pravidlo uplatňováno stejným způsobem a před zahájením zpracování opět verifikováno pověřencem pro ochranu osobních údajů.
Odpovědnost za dodržování této zásady mají všichni vedoucí zaměstnanci a zaměstnanci, v jejichž působnosti a agendách se osobní údaje zpracovávají.
Odpovědnost za verifikaci a kontrolu této zásady má pověřenec pro ochranu osobních údajů.
2) Osobní údaje jsou uchovávány v listinné i elektronické podobě pouze po omezenou dobu, odpovídající účelu zpracování. Po ukončení této doby jsou likvidovány nebo mazány v souladu s pravidly a lhůtami stanovenými ve vnitřním předpisu č. xx "Spisový a skartační řád", nebo ve lhůtě stanovené odpovědným vedoucím zaměstnancem, která je uvedena v záznamu o činnostech zpracování.
Odpovědnost za dodržování této zásady mají u listinné podoby všichni vedoucí zaměstnanci, v jejichž působnosti a agendách se osobní údaje zpracovávají.
Odpovědnost za dodržování této zásady u elektronické podoby má zaměstnanec nebo osoba (fyzická osoba podnikající nebo právnická osoba na základě uzavřeného smluvního vztahu), odpovídající za správu a provoz informačních technologií.
Odpovědnost za kontrolu této zásady má pověřenec pro ochranu osobních údajů
3) Osobní údaje jsou přístupné jen co nejmenšímu počtu osob.
Toto pravidlo je zavedeno tím, že jsou určena a zavedena pravidla pro řízení přístupu k osobním údajům v listinné i elektronické podobě a dále pro zveřejňování, sdílení a předávání informací.
Odpovědnost za dodržování této zásady mají všichni vedoucí zaměstnanci a zaměstnanci. Odpovědnost za kontrolu této zásady má pověřenec pro ochranu osobních údajů.
2.4 Přesnost osobních údajů
Název školy dle zřizovací listiny zpracovává pouze přesné osobní údaje. Zásady aktualizace zpracovávaných dat jsou nastaveny způsobem odpovídajícím kritičnosti jejich možných dopadů na subjekty údajů.
1) Zaměstnanec odpovědný za přípravu a uzavření pracovní smlouvy poučuje každého zaměstnance o povinnosti hlásit případné změny všech jím předaných osobních údajů.
2) Zákonní zástupci jsou poučeni o této povinnosti vždy při zahájení školního roku a tato povinnost je zahrnuta i ve školním řádu.
Odpovědnost za stanovení způsobu ověřování přesnosti dat mají všichni vedoucí zaměstnanci, v jejichž působnosti a agendách se osobní údaje zpracovávají. Odpovědnost za kontrolu této zásady má pověřenec pro ochranu osobních údajů.
2.5 Korektnost a transparentnost při zpracování osobních údajů
Při zpracování osobních údajů v působnosti Název školy dle zřizovací listiny jsou subjekty údajů transparentně informovány těmito způsoby:
1) základní informace na webových stránkách Název školy dle zřizovací listiny dostupná všem subjektům údajů dálkovým přístupem,
2) doplňující informace o zpracování osobních údajů poskytované k jednotlivým účelům zpracování před zahájením shromažďování osobních údajů,
3) písemná informace o zpracování osobních údajů pro účely pracovněprávní agendy poskytovaná novým zaměstnancům,
4) informace zaměstnancům o dohledu nad užíváním informačních a komunikačních technologií na pracovišti,
5) informace zaměstnancům o monitoringu docházky,
6) informace o monitoringu objektů a prostor kamerovými systémy.
U Název školy dle zřizovací listiny jsou stanoveny postupy pro výkon těchto práv subjektu údajů:
1) právo na přístup k osobním údajům,
2) právo na opravu nepřesných osobních údajů,
3) právo na výmaz (být zapomenut),
4) právo na omezení zpracování,
5) právo na přenositelnost,
6) právo vznést námitku proti zpracování osobních údajů,
7) právo nebýt předmětem automatizovaného individuálního rozhodování.
Výkon práv subjektů údajů u Název školy dle zřizovací listiny koordinuje pověřenec pro ochranu osobních údajů ve spolupráci s příslušnými vedoucími zaměstnanci, do jejichž působnosti příslušný požadavek na uplatnění práva spadá.
Za výkon práv subjektů údajů u Název školy dle zřizovací listiny jsou odpovědní pověřenec pro ochranu osobních údajů a vedoucí zaměstnanci.
2.6 Důvěrnost, integrita a dostupnost osobních údajů
U Název školy dle zřizovací listiny jsou za účelem ochrany osobních údajů přijata technická a organizační opatření odpovídající kontextu a účelům zpracování osobních údajů.
Veškerá technická a organizační opatření jsou přijata na základě provedené analýzy informačních rizik, která byla provedena na základě:
1) posouzení hrozeb působících na aktiva, v rámci kterých jsou zpracovávány osobní údaje,
2) posouzení hrozeb pro práva a svobody subjektů údajů.
Na základě závěrů z provedené analýzy rizik byla implementována přiměřená organizační a technická opatření pro zajištění odpovídající úrovně ochrany zpracovávaných osobních údajů.
Za stanovení a aktuálnost technických a organizačních opatření vyplývajících z analýzy rizik odpovídá zaměstnanec nebo osoba (fyzická osoba podnikající nebo právnická osoba na základě uzavřeného smluvního vztahu), odpovídající za správu a provoz informačních a komunikačních technologií a příslušní vedoucí zaměstnanci. – doplnit podle skutečnosti.
Za kontrolu dodržování stanovených technických a organizačních opatření odpovídá pověřenec pro ochranu osobních údajů v součinnosti s vedoucími zaměstnanci.
NahoruIII.
Povinnosti osob při zpracování osobních údajů
3.1 Správce osobních údajů
Správce osobních údajů je povinen:
1) Stanovit oprávněným osobám povinnosti ke zpracování osobních údajů. Těmto povinnostem odpovídají jejich oprávnění přístupu k osobním údajům.
2) Stanovit oprávněným osobám postupy při zpracování osobních údajů v jimi zajišťovaných agendách a činnostech a vytvořit jim k tomu podmínky včetně zajištění prostředků pro zpracování osobních údajů.
3) Bez zbytečného odkladu, nejpozději ale do 30 dní, zajistit práva subjektů údajů, jejichž osobní údaje Název školy dle zřizovací listiny zpracovává.
4) Před zahájením shromažďování osobních údajů poskytnout subjektům údajů informace o zpracování osobních údajů u Název školy dle zřizovací listiny.
5) Jiným subjektům předávat osobní údaje pouze v případech, pokud takové předání ukládá nebo umožňuje zvláštní zákon, nebo se souhlasem dotčených osob.
6) Zajistit realizaci opatření při zabezpečení osobních údajů.
7) Ve smlouvách se zpracovateli osobních údajů zakotvit náležitosti v rozsahu požadavků čl. 28 GDPR.
8) Zajistit oprávněným osobám podmínky pro ukládání médií s osobními údaji a vyžadovat jejich používání, včetně stanovení pravidel pro ukládání dokumentů uchovávaných po dobu skartační lhůty ve spisovně. Současně zajistit evidenci těchto médií a stanovit pravidla pro jejich zapůjčování a pořizování kopií. Kopírování médií obsahující zvláštní kategorie osobních údajů je zakázáno, výjimky povoluje ředitel Název školy dle zřizovací listiny.
9) Provádět kontrolní činnost k ochraně osobních údajů a v případě zjištěných nedostatků přijímat opatření k jejich odstranění.
3.2 Pověřenec pro ochranu osobních údajů
Pověřenec pro ochranu osobních údajů je povinen:
1) Pro zabezpečení komunikace zajistit:
a) Kontaktní místo pro subjekty údajů, které se na něj mohou obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle GDPR,
b) kontaktní místo pro ÚOOÚ v záležitostech zpracování, včetně předchozí konzultace podle čl. 36 GDPR a případné vedení konzultací v jakékoli jiné věci,
c) kontaktní místo pro zpracovatele, jiné správce a dozorové úřady cizích zemí.
2) Za účelem komunikace s pověřencem je zřízena e-mailová adresa: poverenec.oou@..............cz .
V rámci trvalého monitoringu souladu s GDPR a dalšími souvisejícími právními předpisy a vnitřními normami upravujícími ochranu osobních údajů:
a) ověřovat rizika pro práva a svobody subjektů údajů,
b) ověřovat a aktualizovat informace určené subjektům údajů,
c) vyhodnocovat účinnost opatření a připravovat návrhy nezbytných změn,
d) koordinovat výkon práv subjektů údajů a zajišťovat jejich informovanost o průběhu a řešení jejich požadavku na uplatnění práva do stanovené lhůty,
e) v součinnosti s vedením Název školy dle zřizovací listiny zajistit:
-
ohlašování případů porušení zabezpečení osobních údajů ÚOOÚ (bez zbytečného odkladu, a to nejpozději do 72 hodin od zjištění porušení zabezpečení),
-
oznamování případů porušení zabezpečení osobních údajů subjektům údajů (bez zbytečného odkladu),
f) vést dokumentaci o všech případech porušení zabezpečení osobních údajů,
g) připravovat v součinnosti s vedoucími zaměstnanci návrhy smluv o zpracování osobních údajů,
h) informovat, radit a vydávat doporučení v oblasti zpracování a ochrany osobních údajů vedoucím zaměstnancům a zaměstnancům,
i) řídit kontrolní činnost zaměřenou na zpracování a ochranu osobních údajů, v případě zjištění nedostatků informovat příslušného vedoucího zaměstnance a ředitele Název školy dle zřizovací listiny za účelem sjednání nápravy.
3) Při dohledu nad zpracovatelskými operacemi:
a) vést celkovou evidenci záznamů o činnostech zpracování a provádět její aktualizaci na návrh vedoucích zaměstnanců,
b) monitorovat a případně aktualizovat požadavky na zabezpečení osobních údajů,
c) v součinnosti s příslušnými vedoucími zaměstnanci průběžně ověřovat, zda jsou stávající technická a organizační opatření dostatečná, případně předložit řediteli Název školy dle zřizovací listiny návrh k úpravě existujících opatření.
4) Při vzniku potřeby nové zpracovatelské operace, nebo změny již existující, vyjádřit své stanovisko k návrhu nové nebo změně zpracovatelské operace ve smyslu:
A) dodržení zásad zpracování osobních údajů a zvláštních kategorií osobních údajů uvedených v čl. 5 – čl. 11 GDPR, zejména:
a) dodržení zásad zpracování osobních údajů dle čl. 5 GDPR,
b) definici právního základu pro zpracování dle čl. 6 GDPR,
c) v případě, že právním základem zpracování je souhlas subjektu údajů se zpracováním, stanovit podmínky jeho vyjádření, prokazatelnosti a postupů v případě jeho odvolání dle čl. 7 GDPR,
d) v případě, že budou zpracovávány zvláštní kategorie osobních údajů, zajistit jejich zpracování v souladu s čl. 9 GDPR, tj. zejména:
-
deklarovat zákonnost zpracování,
-
stanovit právní základ zpracování,
-
v případě, že se bude jednat o zpracování těchto údajů na základě uděleného výslovného souhlasu, v případě vyhodnocení nezbytnosti tohoto zpracování vydat písemný souhlas k tomuto zpracování.
B) vyhodnocení rizik pro práva a svobody subjektů údajů:
a) v případě, že riziko bude vyhodnoceno jako vysoké, posoudit právní základ nového zpracování a vyjádřit se ke skutečnosti, zda provést či neprovést posouzení vlivu na ochranu osobních údajů,
b) v případě kladného vyjádření zajistit provedení posouzení vlivu zamýšlené zpracovatelské operace na ochranu osobních údajů a případně zahájit konzultační činnost s ÚOOÚ,
c) o stanovisku ÚOOÚ neprodleně informovat ředitele Název školy dle zřizovací listiny,
d) přijetí opatření na zabezpečení osobních údajů, přičemž bude vycházet z posouzení rizika zpracování pro práva a svobody subjektů údajů. Bude vyhodnocena vhodnost nasazení opatření dle článku čl. 32 GDPR k:
-
případnému šifrování osobních údajů,
-
zajištění důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování osobních údajů,
-
obnovitelnosti a zajištění dostupnosti osobních údajů,
-
testování, posuzování a hodnocení účinnosti zavedených bezpečnostních opatření.
5) Při zániku zpracovatelské operace, nebo jakékoli její části, vyjádřit své stanovisko ve smyslu:
a) doby uchování osobních údajů za účelem archivace, pokud není určena platným Spisovým a skartačním řádem,
b) kategoriemi osobních údajů, které budou pro případnou archivaci ve veřejném zájmu uchovány,
c) způsobu likvidace zbývajících osobních údajů v elektronické i listinné podobě.
6) Rozvíjet znalosti a metodicky vést vzdělávání zaměstnanců zpracovávajících osobní údaje z problematiky ochrany osobních údajů.
7) Poskytovat poradenství a informace vedení Název školy dle zřizovací listiny vedoucím zaměstnancům a oprávněným osobám, a to zejména:
a) formou poradenství na vyžádání,
b) formou trvalého monitoringu informací z dostupných zdrojů (stanoviska ÚOOÚ a evropských orgánů, judikáty, rozhodovací praxe atd.), jejich následného vyhodnocení a předání návrhů řediteli Název školy dle zřizovací listiny pro případné zlepšení či aktualizaci,
c) formou konzultací s ÚOOÚ.
3.3 Vedoucí zaměstnanci
Vedoucí zaměstnanci jsou povinni:
1) V součinnosti s pověřencem pro ochranu osobních údajů:
a) vést a dle potřeby aktualizovat záznamy o činnostech zpracování v rozsahu své působnosti,
b) před zahájením shromažďování osobních údajů zajistit informovanost subjektů údajů,
c) vést evidenci souhlasů subjektů údajů v rámci příslušného záznamu o činnosti zpracování,
d) hodnotit efektivitu a účinnost přijatých organizačních a technických opatření,
e) zajistit v součinnosti s pověřencem výkon práv subjektů údajů,
f) v případě, že některá zpracovatelská operace nebo její část je zajišťována zpracovatelem a zmocnění ke zpracování nevyplývá z právního předpisu, vyjadřovat se ke smlouvám o zpracování osobních údajů.
2) Neprodleně oznamovat pověřenci pro ochranu osobních údajů:
a) vznik nové zpracovatelské operace, změny nebo zánik již existující zpracovatelské operace nebo jakékoli její části,
b) změnu v příslušném právním předpise, který je buď právním základem pro zpracování osobních údajů ve zpracovatelské operaci, nebo je jím zpracovatelská operace regulována,
c) porušení nebo podezření na porušení zabezpečení osobních údajů u jimi řízeného organizačního celku.
3) V případě doručení žádosti na uplatnění výkonu některého práva subjektu údajů, předat tuto žádost pověřenci pro ochranu osobních údajů.
4) Stanovit podřízeným zaměstnancům postupy při zpracování osobních údajů v jimi zajišťovaných agendách a činnostech a vytvořit jim k tomu podmínky včetně zajištění prostředků pro zpracování osobních údajů.
5) Seznámit podřízené zaměstnance s jejich konkrétními povinnostmi při zpracování a ochraně osobních údajů v rámci agend a činností vykonávaných v souladu s pracovní náplní.
6) Zajistit podřízeným zaměstnancům podmínky pro uchovávání nosičů osobních údajů v uzamykatelných úschovných objektech nebo v uzamčených místnostech s vyloučeným nekontrolovaným vstupem neoprávněných osob.
7) Zajišťovat přidělení uživatelských oprávnění do aplikací a datových zdrojů pro své podřízené, a to v rozsahu nezbytně nutném pro splnění jejich pracovních povinností vyplývajících z pracovních náplní.
8) Zajistit, aby dokumenty, jejichž původcem je jim podřízený organizační celek a které jsou zveřejňovány nebo zpřístupňovány např. dálkovým způsobem, obsahovaly pouze takové osobní údaje, které vyžaduje nebo umožňuje zvláštní zákon, dle kterého ke zveřejnění dochází.
9) Zajistit účast zaměstnanců v rámci jejich průběžného vzdělávání na kurzech zaměřených k problematice zpracování a ochrany osobních údajů.
10) Při zpracování osobních údajů plnit povinnosti oprávněné osoby dle této směrnice.
11) Kontrolovat dodržování stanovených technických a organizačních opatření k zajištění ochrany osobních údajů.
3.4 Oprávněné osoby
Oprávněné osoby jsou při zpracování osobních údajů a pro zajištění jejich ochrany povinny:
1) Zachovávat mlčenlivost o osobních údajích a o přijatých opatřeních k jejich ochraně, o nichž se v souvislosti se svým zaměstnáním nebo plněním smlouvy dozvěděly, a to i po skončení svého pracovního poměru u Název školy dle zřizovací listiny nebo platnosti smlouvy.
2) Zpracovávat osobní údaje za podmínek a v rozsahu jim stanoveném v souladu s platnými přístupy do informačních systémů a SW aplikací.
3) Osobní údaje shromažďovat pouze pro určité, výslovně vyjádřené a legitimní účely v rozsahu:
a) stanoveném zvláštními zákony,
b) pouze nezbytně nutném, není-li rozsah zpracovávaných osobních údajů stanoven pro konkrétní účel (agendu nebo činnost) zvláštním zákonem.
4) Při shromažďování osobních údajů poskytovat subjektům údajů informace o zpracování jejich údajů v rozsahu čl. 13 a čl. 14 GDPR.
5) Při shromažďování osobních údajů od subjektů údajů vyžadovat jejich souhlas se zpracováním pouze v případě, že nebyl nalezen jiný zákonný důvod pro zpracování těchto osobních údajů, kterým je:
a) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů,
b) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
c) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
d) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,
e) zpracování je nezbytné pro…