GDPR

Ochrana osobních údajů – GDPR

Dne 25. května 2018 vstoupilo v účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Mateřská škola Jablonec nad Nisou – Jablonecké Paseky, Tichá 19, příspěvková organizace, jako správce a zpracovatel osobních údajů za účelem naplnění zásady transparentnosti ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen GDPR) informuje o základních aspektech zpracování osobních údajů, která probíhají v rámci činností naší organizace, o právech subjektů údajů a způsobech jejich uplatnění.

Správce osobních údajů:
Název organizace
Mateřská škola Jablonec nad Nisou – Jablonecké Paseky, Tichá 19, příspěvková organizace
Sídlo organizace: Tichá 19, Jablonec nad Nisou, 466 02
IČ: 72048166
Kontaktní telefon: +420734315540
Kontaktní e-mail:info@mspohoda.cz
ID datové schránky: puyk6g6
Web: www. mspohoda.cz

Pověřenec pro ochranu osobních údajů:
V souladu s článkem 37 odst. 1 písm. a) GDPR správce osobních údajů zřídil funkci pověřence (DPO – Data Protection Officer).
Titul: JUDr.
Jméno: Stanislav
Příjmení: Cenek
Kontaktní telefon: +420 602 438 259
Kontaktní e-mail: stanislav.cenek@gmail.com

Hlavním úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat správce osobních údajů.
Mezi další úkoly Pověřence náleží např.:
poskytování informací a poradenství správci a zaměstnancům správce, kteří se na zpracování osobních údajů podílejí,
monitorování souladu činností správce s GDPR,
poskytování poradenství na vyžádání, pokud jde o posouzení vlivu na ochranu osobních údajů,
spolupráce s Úřadem pro ochranu osobních údajů,
působení jako kontaktní místo pro subjekty údajů,
zpracování doporučení v oblasti úprav interních předpisů (směrnic),
realizace školení zaměstnanců, kteří provádějí zpracování osobních údajů,
poskytování metodické pomoci při realizaci inventury zpracování osobních údajů,
poskytování metodické pomoci při zpracování analýzy rizik,
poskytování metodické pomoci při návrhu technických a organizačních opatření v rámci nápravných opatření,
poskytování metodické pomoci při jednání s dodavateli software či technologií dotýkajících se problematiky zpracování osobních údajů.

Názvosloví – vymezení pojmů

Anonymní údaj
Údaj, který v původním tvaru, nebo po provedeném zpracování osobních údajů nelze vztáhnout k identifikované nebo identifikovatelné fyzické osobě.

Automatizované zpracování osobních údajů
Běžně rozšířená forma zpracování osobních údajů za použití výpočetní techniky, bez lidského zásahu.

Biometrický údaj
Osobní údaj technického charakteru zpracování osobních údajů fyzických či fyziologických znaků fyzické osoby, který umožňuje jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, DNA, apod.

Dozorový úřad
Úřad pro ochranu osobních údajů (zkráceně také ÚOOÚ) je v České republice nezávislým orgánem, který:
provádí dozor nad dodržováním zákonem stanovených povinností při zpracování osobních údajů,
přijímá podněty a stížnosti občanů na porušení zákona,
poskytuje konzultace v oblasti ochrany osobních údajů.

Důvěrnost
K informacím či datům mají přístup pouze oprávněné osoby.

GDPR
Právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. Jedná se o obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation), které je účinné od 25. května 2018.

Integrita
Informace či data nebyla změněna neoprávněnou osobou.

Identifikovaná nebo identifikovatelná fyzická osoba
Fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Osobní údaj
Každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů).
Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě, jelikož obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.

Pověřenec pro ochranu osobních údajů
Neboli DPO (z anglického Data Protection Officer) je pracovní pozice stanovená dle GDPR. Hlavním úkolem DPO je monitorování souladu zpracování osobních údajů správce s povinnostmi vyplývajícími z GDPR.

Právní důvody
Oprávnění správce osobní údaje zpracovávat.

Profilování
Jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.

Příjemce osobních údajů
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty.
Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem ČR, se za příjemce nepovažují. Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem EU či ČR. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci, ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování osobních údajů.

Pseudonymizace
Proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejné fyzické osoby, aniž by bylo nutné znát její totožnost. Pseudonymizované osobní údaje nejsou anonymizovanými údaji, proto se na ně stále vztahuje regulace GDPR.

Souhlas subjektu údajů
Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

Správce
Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.

Subjekt údajů
Identifikovaná nebo identifikovatelná fyzická osoba. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Uchovávání osobních údajů
Udržování údajů v takové podobě, která je umožňuje dále zpracovávat.

Zpracovatel
Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.

Zpracování osobních údajů
Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
Pro nakládání s osobními údaji způsobem, který není zpracováním osobních údajů, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník.

Zvláštní kategorie osobních údajů
Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zpracování genetických a biometrických osobních údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.

Principy zpracování osobních údajů

Mateřská škola Jablonec nad Nisou – Jablonecké Paseky, Tichá 19, příspěvková organizace, jako správce i zpracovatel se při zpracování osobních údajů řídí GDPR a dalšími právními předpisy upravujícími ochranu osobních údajů a stanovenými principy. Základní principy vycházející z GDPR jsou následující:
zákonnost, korektnost a transparentnost zpracování,
účelové omezení (zpracovávání jen pro určité a legitimní účely),
minimalizace osobních údajů (dochází ke zpracování pouze v nezbytně nutném rozsahu ve vztahu k danému účelu),
přesnost a aktuálnost (organizace dbá na to, aby nepřesné, chybné či neaktuální osobní údaje byly bezodkladně opraveny nebo vymazány),
omezené uložení (osobní údaje jsou v organizaci uloženy po dobu ne delší, než je nezbytně nutné pro účely, pro které jsou zpracovávány a dále dle schváleného spisového plánu správce pouze pro účely archivnictví v rozsahu stanoveném příslušnými právními předpisy),
integrita a důvěrnost (osobní údaje jsou zpracovávány způsobem, který zajistí jejich náležité zabezpečení pomocí vhodných technických a organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením).

Právní důvody zpracování
Mateřská škola Jablonec nad Nisou – Jablonecké Paseky, Tichá 19, příspěvková organizace zpracovává osobní údaje subjektů údajů, tj. fyzických osob, na základě následujících právních důvodů (titulů):

Plnění právní povinnosti  
Zpracování je nezbytné pro splnění právní povinnosti (dle zákona, vyhlášky ministerstva, nařízení EU, apod.), která se na správce vztahuje, např. agenda cestovních dokladů nebo občanských průkazů, stavební řízení, účetnictví.
Výkon veřejné moci nebo plnění úkolu ve veřejném zájmu
Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, např. provozování městského kamerového systému pro potřeby prevence kriminality a zajištění veřejného pořádku.

Plnění smlouvy
Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů, např. nákup a prodej nemovitostí, pronájem obecních bytů.

Oprávněný zájem
Zpracování je nezbytné pro splnění oprávněného zájmu správce. V případě oprávněného zájmu je nutné posoudit vždy konkrétní situaci, tedy určit, zda skutečně je zájem oprávněný, a za jakým účelem je nezbytné zpracovat osobní údaje.

Ochrana životně důležitého zájmu
Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, např. povodně, požáry, nehody.

Souhlas se zpracováním osobních údajů
Zpracování je nezbytné pro plnění účelu, který nelze zařadit pod právní důvody uvedené výše. Souhlas je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Souhlas se zpracováním osobních údajů musí být:

Srozumitelný
Vyjádření souhlasu musí být srozumitelné a od ostatních závazků a jiných skutečností odlišitelné, např. nesmí být součástí všeobecných podmínek, obchodní smlouvy.

Svobodný
Každý subjekt údajů poskytuje svůj souhlas dobrovolně a může svůj souhlas kdykoliv odvolat.

Konkrétní
Souhlas musí být natolik konkrétní, aby v něm subjekt údajů rozpoznal přesný účel zpracování osobních údajů. V případě, že účelů má být více, musí být uveden každý zvlášť a o každém musí mít subjekt údajů možnost se samostatně rozhodnout.

Informovaný
Aby bylo možno souhlas se zpracováním osobních údajů považovat za informovaný, je nutné subjektu údajů sdělit:

identitu správce,
účel jednotlivých způsobů zpracování,
jakých osobních údajů se zpracování bude týkat, a to alespoň podle jejich druhu,
informaci o možnosti souhlas kdykoliv odvolat,
zda osobní údaje budou předmětem automatizovaného rozhodování včetně profilování,
zda zpracovávané osobní údaje budou předávány třetím stranám.
Jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů

Práva subjektu údajů

Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů, mezi práva subjektu údajů náleží:

Právo na přístup k informacím
Subjekt údajů má právo na základě žádosti získat od správce informace, zda jsou jeho osobní údaje zpracovávány:
účely zpracování,
kategorie dotčených osobních údajů,
seznam příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
informace o plánované době, po kterou budou osobní údaje uloženy,
veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů,
skutečnost, že dochází k automatizovanému rozhodování, včetně profilování.

Právo na opravu
Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.

Právo na výmaz údajů („být zapomenut“)
Správce má povinnost zlikvidovat osobní údaje, pokud je splněna alespoň jedna z následujících podmínek:
osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
osobní údaje musí být vymazány, pokud pominul právní důvod jejich zpracování,
subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
osobní údaje byly zpracovávány protiprávně,
není dán rodičovský souhlas se zpracováním osobních údajů dětí.
Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze v rámci „práva být zapomenut“ žádat např. likvidaci všech osobních údajů po ukončení zaměstnání, jelikož se na správce vztahují zákonné povinnosti o dalším uchování osobních údajů.
Právo na omezení zpracování
Zahrnuje v sobě dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.

Právo na přenositelnost zpracování
Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů má právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že zpracování je založeno na souhlasu nebo na smlouvě.

Právo na námitku proti zpracování
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů.
Automatizované individuální rozhodování včetně profilování
Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo ČR, nebo pokud je založeno na výslovném souhlasu subjektu údajů.

Informační povinnost vůči subjektu údajů

Povinnosti správce v oblasti poskytování transparentních informací, sdělení a postupů pro výkon práv subjektů údajů jsou detailně upraveny v článcích 12, 13 a 14 GDPR.

Výjimka z povinnosti poskytnout informaci je přípustná pouze v tom případě, že subjekt údajů již těmito informacemi disponuje. Správce však musí být v případě potřeby schopen prokázat, že subjekt údajů byl skutečně informován o všech požadovaných informacích, tj. že došlo ke splnění informační povinnosti dle GDPR.

Do poskytovaných informací subjektu údajů patří:
totožnost a kontaktní údaje správce a jeho případného zástupce,
kontaktní údaje pověřence pro ochranu osobních údajů (DPO – Data Protection Officer),
právní důvod pro zpracování osobních údajů a účely zpracování,
příjemce nebo kategorie příjemců osobních údajů,
případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci.
Správce poskytne subjektu údajů v okamžiku získání osobních údajů další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování o:
době, po kterou budou osobní údaje uloženy,
právu požadovat od správce přístup, opravu nebo výmaz osobních údajů, popřípadě omezení zpracování,
právu vznést námitku proti zpracování a právu na přenositelnost údajů,
právu odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním,
právu podat stížnost u dozorového úřadu,
skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy. Zda má subjekt údajů povinnost osobní údaje poskytnout, a o možných důsledcích neposkytnutí těchto údajů, skutečnosti, že dochází k automatizovanému rozhodování včetně profilování.
Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu.
Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v článcích 13 a 14 GDPR, a učinil veškerá sdělení podle článků 15 až 22 a 34 GDPR o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. Informace poskytne písemně nebo jinými prostředky, ve vhodných případech v elektronické formě. Pokud si to subjekt údajů vyžádá, mohou být informace poskytnuty ústně, a to za předpokladu, že identita subjektu údajů je prokázána jinými způsoby.
Pokud se jedná o žádost podle článků 15 až 22 GDPR, musí být informace o přijatých opatřeních poskytnuta bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
Zásadně platí, že informace podle článků 13 a 14 GDPR a veškerá sdělení a úkony podle článků 15 až 22 a 34 GDPR se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce buď uložit přiměřený poplatek, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce.