GDPR

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

informační povinnost 

správcE vůči dotčeným subjektům údajů

  1. 1.
  2. 2.Cílem tohoto dokumentu je shrnutí základních informací o zásadách zpracování osobních údajů (dále také jako „OÚ“), kterými se naše organizace řídí a které přijala za účelem zajištění souladu ustanovením čl. 13 Nařízení parlamentu a Rady EU 2016/679 (dále jen „GDPR“), které je na území ČR účinné od 25. 5. 2018 a s přihlédnutím k ustanovení § 8 zákona o ochraně osobních údajů č. 110/2019 Sb., zákon o zpracování osobních údajů.

Kontaktní údaje správce osobních údajů
  1. 3.Název právnické osoby dle Zřizovací listiny
  1. 4.Střední škola obchodu a služeb, Teplice, příspěvková organizace
  1. 5.Adresa sídla právnické osoby

 

Fráni Šrámka 1350/1, 415 01 Trnovany, Teplice  
  1. 6.Telefonické spojení
  1. 7.420 417 813 212, 420 417 576 006, 
  1. 8.Oficiální e-mail právnické osoby
  1. 9.sekretariat@sssstp.cz
  1. 10.ID datové schránky
  1. 11.bs9crpu
  1. 12.ID správce osobních údajů

 
  1. 14.Titul, jméno, příjmení ředitele (statutární orgán)  

Mgr. Aleš Frýdl, MBA

(dále jako škola „Škola“)

  1. 15.Naše organizace podnikla veškeré nezbytné kroky k posílení bezpečnosti a důvěrnosti zpracovávaných údajů a ke splnění všech předepsaných povinností dle Metodiky Ministerstva školství, mládeže a tělovýchovy.
  2. 16.Většinu osobních údajů zpracováváme za účelem splnění zákonem předepsaných povinností, zejména dle zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon, zejména § 28), zákona 262/2006 Sb., zákoník práce, zákona č. 500/2004 Sb., správní řád, zákona zákonem č. 499/2004 Sb., o archivnictví a spisové službě. V případě, že provádíme zpracování, jehož účelem není splnění zákonem předepsaných povinností, plnění smlouvy nebo oprávněného zájmu, jedná se o zpracování osobních údajů, ke kterému od Vás potřebujeme výslovný, svobodný, konkrétní a informovaný souhlas subjektů údajů (např. zaměstnanci, zletilí žáci, zákonní zástupci žáků). V takovém případě se jedná zejména o zpracování osobních údajů, ke kterým nenáleží žádný z právních titulů a subjekt údajů bude požádán o souhlas. Poskytnutí takového souhlasu je zcela dobrovolné a souhlas lze kdykoli odvolat či využít další práva, která jsou přesně v písemném souhlasu popsána. Zákon č. 110/2019 Sb., o zpracování osobních údajů (tzv. adaptační zákon) blíže upravuje některé oblasti zpracování osobních údajů.
  3. 17.Informační povinnosti správce vůči dotčeným subjektům údajů můžeme rozdělit do několika situací, kdy je třeba subjektu údajů informace poskytnout:
  1. povinně zveřejňované informace;
  2. informace poskytované při získání osobních údajů od jejich subjektů;
  3. informace poskytované při získání osobních údajů od třetích osob;
  4. informace poskytované subjektu údajů v průběhu zpracování a při výkonu jeho práv.

 

  1. 18.Při poskytování informací je potřeba dodržet požadavky na stručnost, transparentnost, srozumitelnost a snadnou dostupnost informací. Měly by tedy být poskytovány odděleně od ostatních dokumentů, srozumitelným jazykem a nelze za ně účtovat poplatky.
  2. 19.ZÁKLADNÍ POJMY 
  3. 20.Osobní údaje (Čl. 4 odst. (1) GDPR) – veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „Subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor, nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. 
  4. 21.Zpracování (Čl. 4 odst. (2) GDPR) – jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. 
  5. 22.Správce osobních údajů (Čl. 4 odst. (7) GDPR) – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Evropské unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení. 
  6. 23.Zpracovatel osobních údajů (Čl. 4 odst. (8) GDPR) – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
  7. 24.KATEGORIE OSOBNÍCH ÚDAJŮ 
  8. 25.Osobním údajem je jakákoli informace, která́ se vztahuje k fyzické́ osobě̌, kterou je osoba schopná identifikovat. V souvislosti s poskytování středního vzdělávání a výchovy, školského poradenství, právního jednání a samosprávě, může ze Školy dojít ke zpracování osobních údajů:
  9. 26.A. Základní osobní identifikační údaje a adresní údaje
    B. Kontaktní́ údaje
    C. Údaje z komunikace mezi Školou a žákem (jeho zákonným zástupcem), zaměstnancem
  10. 27.Tyto údaje vznikají́ při komunikaci související́ s poskytováním středního vzdělávání a výchovy, školského poradenství, právního jednání a samosprávě mezi Školou a žákem (jeho zákonným zástupcem), zaměstnancem a třetí osobou. Jedná se o zápisy osobní komunikace v prostorách školy nebo jiném přímém kontaktu, písemnou a elektronickou komunikaci a Školou.
  11. 28.D. Údaje zpracované na základě souhlasu žáka (jeho zákonného zástupce), zaměstnance a třetí osoby
  12. 29.Zpracování těchto údajů není nezbytně nutné k plnění zákonných povinností, smluv nebo ochranu oprávněných zájmů Školy, ale jejich zpracování umožní Škole zlepšovat vzdělávací a výchovný proces, zaměřit se na to, co žáky (jejich zákonné zástupce), zaměstnance a třetí osoby opravdu zajímá, a případně žáky (jejich zákonné zástupce), zaměstnance a třetí osoby informovat o nabídkách na zlepšení vzdělávacího a výchovného procesu, které jsou pro ně vhodné. Tyto údaje jsou zpracovány jen v případě udělení souhlasu a mohou být zpracovány po dobu platnosti tohoto souhlasu.
  13. 30.E. Školní matrika je evidence žáků vedená na základě zákona podle § 28, odst. 2, školského zákona (dále jako „ŠZ“) v tomto rozsahu:
  • jméno a příjmení, rodné číslo, popřípadě datum narození, nebylo-li rodné číslo žákovi přiděleno, dále státní občanství, místo narození a místo trvalého pobytu, popřípadě místo pobytu na území České republiky podle druhu pobytu cizince nebo místo pobytu v zahraničí, nepobývá-li žák na území České republiky,
  • údaje o předchozím vzdělávání, včetně dosaženého stupně vzdělání,
  • datum zahájení vzdělávání ve škole,
  • údaje o průběhu a výsledcích vzdělávání ve škole, vyučovací jazyk,
  • údaje o znevýhodnění žáka uvedeném v § 16 ŠZ, údaje o mimořádném nadání, údaje o podpůrných opatřeních poskytovaných žákovi školou v souladu s § 16 ŠZ, a o závěrech vyšetření uvedených v doporučení školského poradenského zařízení,
  • údaje o zdravotní způsobilosti ke vzdělávání a o zdravotních obtížích, které by mohly mít vliv na průběh vzdělávání,
  • datum ukončení vzdělávání ve škole
  • jméno a příjmení zákonného zástupce, místo trvalého pobytu nebo bydliště, pokud nemá na území České republiky místo trvalého pobytu, a adresu pro doručování písemností, telefonické spojení.
  1. 31.Údaje z matriky jsou poskytovány na základě školského zákona (§ 28 odst. 5 ŠZ) Ministerstvu školství, mládeže a tělovýchovy a Krajskému úřadu v Ústí nad Labem pro statistické účely, přičemž údaje o znevýhodnění žáka se předávají anonymně.

Údaje ve školní matrice jsou zpracovávány po dobu stanovenou zákonem.

  1. 32.F. Další kategorie údajů jsou dále zpracovávány pro následující účely:
  • kniha úrazů a záznamy o úrazech (v rozsahu a po dobu stanoveném právním předpisem)
  • seznamy žáků pro účast na mimoškolních akcích, výletech apod. (v rozsahu jméno, příjmení, příp. označení skupiny, třídy, po dobu nezbytně nutnou – trvání akce)
  • seznamy žáků pro účast na soutěžích (v rozsahu jméno, příjmení, příp. označení skupiny, třídy, po dobu nezbytně nutnou – trvání soutěže, vyhlášení/zveřejnění výsledků)
  • kontaktní údaje zákonných zástupců (za účelem kontaktování zákonných zástupců školou, po dobu trvání školní docházky, příp. do vyřešení vzájemných závazků po ukončení docházky)
  1. 33.
  2. 34.G. Další kategorií jsou fotografie a videozáznamy
  • kamerový záznam z kamer hlídajících vchod školy (jsou-li nainstalovány), kde je oprávněným zájmem správce i samotných žáků ochrana majetku školy i žáků a bezpečí žáků
  • fotografie či videa na webových stránkách školy, na sociálních sítích školy
  • fotografie či videa na webových stránkách zřizovatele, na sociálních sítích zřizovatele
  • fotografie ve školních novinách či časopise, na nástěnce ve škole
  • zveřejnění děl žáků ve škole či na webových stránkách či sociálních sítích školy

Doba zpracování těchto údajů se liší dle konkrétního účelu zpracování (a tento účel nepřekročí) nebo podle doby, na kterou je k takovému zpracování udělen souhlas.

  1. 35.ÚĆELY, PRÁVNÍ DŮVODY A DOBY ZPRACOVÁNÍ OÚ 
  2. 36.Rozsah zpracovávaných údajů závisí na účelu zpracování. Pro některé účely je možné zpracovávat údaje přímo na základě smlouvy, oprávněného zájmu Školy nebo na základě zákona (bez souhlasu), pro jiné pouze na základě souhlasu.
  3. 37.A. Zpracovávání z důvodu plnění smlouvy, plnění zákonných povinností a z důvodu oprávněných zájmů Školy
  4. 38.Poskytnutí osobních údajů nutných pro plnění smlouvy, plnění zákonných povinností Školy a ochranu oprávněných zájmů Školy je povinné. Bez poskytnutí osobních údajů k těmto účelům by nebylo možné vzdělávací a výchovný proces zajistit. Ke zpracování osobních údajů pro tyto účely nepotřebuje Škola souhlas. Zpracování z důvodu plnění smlouvy a plnění zákonných povinností nelze odmítnout.
  5. 39.Osobní údaje pro tyto činnosti jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány či anonymizovány.
  6. 40.V případě jednání mezi Školou a potenciálním zaměstnancem o uzavření smlouvy, které nebylo završeno uzavřením pracovní smlouvy nebo dohod, je Škola oprávněna zpracovávat poskytnuté osobní údaje po dobu 3 měsíců od příslušného jednání.
  7. 41.B. Zpracovávání údajů subjektů údajů, které udělily souhlas se školským a marketingovým oslovením prostřednictvím elektronického kontaktu
  8. 42.U subjektů, které udělily souhlas se školským a marketingovým oslovením prostřednictvím elektronického kontaktu, zpracovává Škola s jejich souhlasem po dobu uvedenou v souhlasu kontakty, které jí subjekt dá k dispozici pro účely školského a marketingového oslovení s průzkumem prováděné Školou.

KATEGORIE PŘÍJEMCŮ OÚ

  1. 43.Škola při plnění svých závazků a povinností ze smluv a samosprávy využívá odborné a specializované služby jiných subjektů. Pokud tito dodavatelé zpracovávají osobní údaje předané od Školy, mají postavení zpracovatelů osobních údajů a zpracovávají osobní údaje pouze v rámci pokynů od zástupců Školy a nesmí je využít jinak. Jde zejména o vymáhání dlužných pohledávek, činnost znalců, advokátů, auditorů, správu IT systémů nebo jiná zastoupení. Každý takový subjekt Škola pečlivě vybírá a s každým uzavírá smlouvu o zpracování osobních údajů, ve které má zpracovatel stanoveny přísné povinnosti k ochraně a zabezpečení osobních údajů.
  2. 44.Zpracovateli jsou společnosti se sídlem jak na území České republiky. Škola v rámci plnění svých zákonných povinností předává osobní údaje správním orgánům a úřadům stanoveným platnou legislativou.

POVINNĚ zveřejňované informace

  1. 45.GDPR obsahuje podrobnou úpravu povinně zveřejňovaných informací. V podstatě se informační povinnost soustřeďuje jednak na informace o správci, jednak na základní stavy v „životním běhu“ zpracování OÚ daného subjektu údajů správcem – tedy na získání OÚ, výkon práv subjektu údajů, ukončení zpracování a likvidaci OÚ. 

Zpřístupnění informací na internetových stránkách

  1. 46.V případě, že správce má internetové stránky, je dobré zde zpřístupnit povinně poskytované informace, a to tak, aby je mohl subjekt údajů snadno vyhledat, aby byly odlišeny od ostatních informací a aby byly srozumitelné. Pokud Správce internetové stránky nemá, je potřeba, aby informace zveřejnil jiným způsobem, který bude pro subjekty údajů snadno přístupný.

Přijetí OÚ od subjektu údajů

  1. 47.Ve chvíli, kdy správce přijímá OÚ od jejich subjektu, je potřeba, aby nejdříve zjistil, zda k jejich zpracování nepotřebuje souhlas. Dále musí správce v okamžiku získání OÚ poskytnout subjektu údajů následující informace:
    1. totožnost a kontaktní údaje správce a jeho případného zástupce;
    2. případně kontaktní údaje pověřence pro ochranu osobních údajů;
    3. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
    4. oprávněné zájmy správce nebo třetí strany v případě, že je zpracování nezbytné pro účely oprávněných zájmů Správce nebo třetí strany;
    5. případné příjemce nebo kategorie příjemců osobních údajů;
    6. případný úmysl správce předat osobní údaje do třetí země nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
  1. 48.V případě, že je to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne Správce subjektu údajů rovněž informace o:
          1. době, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, o kritériích použitých pro stanovení této doby;
          2. existenci práva požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů, jejich opravu nebo výmaz, popřípadě omezení zpracování a o existenci práva vznést námitku proti zpracování, jakož i práva na přenositelnost údajů;
          3. pokud je zpracování založeno na souhlasu subjektu údajů, existenci práva odvolat kdykoli souhlas, aniž je tím dotčena zákonnost zpracování založená na souhlasu uděleném před jeho odvoláním;
          4. existenci práva podat stížnost u ÚOOÚ;
          5. skutečnosti, zda poskytování osobních údajů je zákonným či smluvním požadavkem nebo požadavkem, který je nutné uvést do smlouvy, zda má subjekt údajů povinnost osobní údaje poskytnout a o možných důsledcích neposkytnutí těchto údajů;
          6. skutečnosti, že dochází k automatizovanému rozhodování, včetně profilování, a přinejmenším v těchto případech podat smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro subjekt údajů.
  1. 49.V případě, že subjekt údajů již uvedené informace má, není třeba mu je poskytovat znovu. 

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO OCHRANU ŽIVOTNĚ DŮLEŽITÉHO ZÁJMU SUBJEKTU ÚDAJŮ NEBO JINÉ FYZICKÉ OSOBY

 

Zpracování osobních údajů je považováno za zákonné, pokud je nezbytné pro ochranu životně důležitého zájmu subjektu údajů nebo jiné fyzické osoby. Zpracování osobních údajů na základě životně důležitého zájmu jiné fyzické osoby by mělo v zásadě proběhnout pouze tehdy, pokud zjevně nemůže být založeno na jiném právním základě. Některé druhy zpracování mohou sloužit jak důležitým důvodům veřejného zájmu, tak životně důležitým zájmům subjektu údajů, například je-li zpracování nezbytné pro humanitární účely, včetně monitorování epidemií/pandemií a jejich šíření (například epidemie koronaviru SARS-CoV-2). Za těchto okolností není potřeba se opírat o souhlas subjektu údajů se zpracováním.

V souvislosti se zaměstnáváním může být zpracování osobních údajů nezbytné pro naplnění zákonných povinností zaměstnavatele, týkajících se třeba zdraví a bezpečnosti na pracovišti nebo veřejného zájmu, jakým je kontrola onemocnění či jiného ohrožení zdraví. Zaměstnavatel může například vyžadovat od návštěvníků nebo zaměstnanců konkrétní informace o jejich zdraví, zejména měřit teplotu při vstupu do provozních a jiných prostor. Takto získané osobní údaje nebudou ukládány a předávány třetím osobám. Při zpracování těchto osobních údajů budou dodržovány zásady proporcionality a minimalizace údajů. Subjekty údajů budou o zpracování jejich osobních údajů řádně a včas informovány.   

Zaměstnavatel je povinen postupovat tak, aby předcházel rizikům, odstraňoval je nebo minimalizoval (tzv. prevenční povinnost). Zaměstnavatel je tedy v situaci ohrožení povinen přijmout potřebná ochranná opatření odpovídající daným okolnostem. Je přirozeně vhodné postupovat v součinnosti s orgány ochrany veřejného zdraví, kterým je také zaměstnavatel v některých situacích povinen ohlásit skutečnosti stanovené právní úpravou.

Zaměstnavatel musí v rámci preventivní povinnosti vhodným způsobem informovat o rizicích ostatní zaměstnance. Takové riziko může spočívat v tom, že na pracovišti se vyskytuje nebo vyskytovala nakažená osoba. Skutečnosti o konkrétní osobě sděluje zaměstnavatel pouze v rozsahu nezbytném k ochraně zdraví, vždy tak, aby nebyla dotčena důstojnost a integrita této osoby, pokud možno, sděluje pouze anonymní informace.

Informace o zpracování osobních údajů budou obsahovat politiku zaměstnavatele jakožto správce údajů ohledně zpracování osobních údajů návštěvníků a/nebo zaměstnanců o jejich zdraví (zejména údajů o tělesné teplotě při vstupu do provozních a jiných prostor zaměstnavatele), a dále též postupy zaměřené na informování ostatních zaměstnanců o relevantních zdravotních rizicích.  

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S TESTOVÁNÍM ŽÁKŮ NA PŘÍTOMNOST VIRU SARS-CoV-2

Na základě mimořádných opatření vydávaných Ministerstvem zdravotnictví (aktuální přehled platných opatření zde: https://koronavirus.mzcr.cz/category/mimoradna-opatreni/page/1/, dále jen „Mimořádné opatření MZČR“) je Škola povinna umožnit žákům osobní přítomnost na vzdělávání jen za splnění stanovených podmínek. V souvislosti s tímto testováním je Škola nucena zpracovávat osobní údaje s tímto související.

  1. KATEGORIE ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ A ÚČEL JEJICH ZPRACOVÁNÍ

Žáci, kteří se testují ve škole antigenními testy nebo za součinnosti poskytovatele zdravotních služeb PCR testy:

Jméno, příjmení, třída, datum testování, druh testu, výsledek testu, dále také telefonní číslo na zákonného zástupce. 

Žáci, kteří se netestují na základě doložení očkování:

Jméno, příjmení, třída, informace o tom, kdy byl žák očkován vakcínou proti onemocnění covid-19

Žáci, kteří se netestují na základě doložení prodělání nemoci v posledních 180 dnech:

Jméno, příjmení, třída, informace o tom, kdy byl žák poprvé pozitivně testováno na SARS-Cov-2

Žáci, kteří se netestují na základě doložení jiného testu:

Jméno, příjmení, třída, datum testování, druh testu, výsledek testu

Žáci, kteří se netestují a na základě toho nosí ochranu dýchacích cest:

Osobní údaje těchto žáků se nad rámec běžného zpracovávání ve škole nezpracovávají.

  1. Právní titul zpracování OÚ

Zpracování osobních údajů k plnění právní povinnosti uložené školám Mimořádným opatřením MZČR.

Účelem zpracování těchto osobních údajů je zajištění splnění povinnosti uložené školám Ministerstvem zdravotnictví ČR k dosažení bezpečného návratu žáků do škol, k ochraně proti šíření nákazy onemocnění covid-19. 

  1. PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ TŘETÍM SUBJEKTŮM

Žáci, kteří se testují za součinnosti poskytovatele zdravotních služeb PCR testy:

Žák použije školou poskytnutou testovací sadu a vzorek je předáván k vyhodnocení poskytovateli zdravotních služeb; v takovém případě se poskytovatel stává zpracovatelem osobních údajů v rozsahu nezbytně nutném k přiřazení výsledku testu k identifikačním údajům dítěte, zpravidla následujících osobních údajů:

jméno, příjmení, datum narození, rodné číslo, bydliště, telefon, email, státní příslušnost, údaj o zdravotním pojištění, údaj o zdravotním stavu, email zákonného zástupce, telefon zákonného zástupce.

V případě, že se škola dozví o tom, že žák byl pozitivně testován na přítomnost viru SARS-Cov-2, ukládá Mimořádné opatření škole předat příslušné Krajské hygienické stanici jeho údaje a údaje žáků, kteří byli v době stanovené v Mimořádném opatření v kontaktu s žákem, jehož výsledek testování byl pozitivní.

Získání OÚ od třetí osoby

  1. 50.Získá-li Správce osobní údaje od někoho jiného, než od jejich subjektu, nemá subjekt údajů možnost tuto skutečnost sám zjistit. Správce je tedy povinen mu při přijetí takovýchto OÚ sdělit obdobné informace jako v případě, že by OÚ získal přímo od něj. Informace musí být subjektu údajů poskytnuty nejpozději do jednoho měsíce od jejich získání, při první komunikaci se subjektem údajů, případně ve chvíli, kdy je poprvé zpřístupní jinému příjemci. Záleží, která z těchto situací nastane dříve.

Výjimky z informační povinnosti

  1. 51.Existují výjimky, kdy Správce informační povinnost nemá, a to v případě, že:
    1. subjekt údajů již uvedené informace má;
    2. se ukáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí; to platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely s výhradou podmínek a záruk uvedených v čl. 89 odst. 1 GDPR nebo pokud je pravděpodobné, že uplatnění informační povinnosti by znemožnilo nebo výrazně ztížilo dosažení cílů uvedeného zpracování. V takových případech přijme správce vhodná opatření na ochranu práv, svobod a oprávněných zájmů subjektu údajů, včetně zpřístupnění daných informací veřejnosti;
    3. je získávání nebo zpřístupnění výslovně stanoveno právem Evropské unie nebo členského státu, které se na správce vztahuje a v němž jsou stanovena vhodná opatření na ochranu oprávněných zájmů subjektu údajů; nebo OÚ musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství upravenou právem Evropské unie nebo členského státu, včetně zákonné povinnosti mlčenlivosti.

Výkon práv subjektů údajů

  1. 52.Během zpracovávání OÚ Správcem může nastat několik situací, kdy je potřeba poskytnout subjektu údajů informace. Předně to je případ, kdy chce správce OÚ dále zpracovávat k jiným účelům, než pro nějž byly získány, o čemž musí předem subjekt údajů informovat a v souvislosti s novým účelem zpracování mu poskytnout i další informace jako při získání OÚ.
  2. 53.Dále GDPR předepisuje zpřístupňování určitých informací v případě, že se subjekt údajů rozhodne využít svá práva, která mu GDPR přiznává.

Splnění informační povinnosti vůči SÚ

  1. 54.Plnění všech informačních povinností vůči dotčeným subjektům údajů je jedním z klíčových úkolů při implementaci GDPR. Je možné předpokládat, že na plnění těchto povinností se bude rovněž zaměřovat ÚOOÚ při svých kontrolách.  

Aktivní vyhledávání informací o Správci

  1. 55.Správce má povinnost co nejvíce usnadnit subjektům údajů získání informací o sobě a o tom, kde subjekt údajů nalezne informace a poučení týkající se zpracování jeho OÚ ze strany správce. Vhodným řešením může být např. dedikovaná stránka na webu Správce pro účely GDPR.

Získání informací o Správci z jeho internetových stránek

  1. 56.V případě, že má správce internetové stránky, je dobré zpřístupnit povinně poskytované informace zde, a to tak, aby je mohl subjekt údajů snadno vyhledat, aby byly odlišeny od ostatních informací a aby byly srozumitelné. Pokud správce internetové stránky nemá, je potřeba, aby informace zveřejnil jiným způsobem, který bude pro subjekty údajů snadno přístupný.

Upozornění pro příjemce informací

  1. 57.Předávající správce by měl dotčené subjekty údajů, kterým předává informace v rámci plnění svých informačních povinností, poučit o tom, že není odpovědný za další nakládání s předanými informacemi a že je na subjektu údajů zajistit bezpečnost těchto dat.

Informační povinnost pro zpracování osobních údajů upravená zákonem

  1. 58.V případě, že správce provádí zpracování, které je nezbytné pro splnění povinnosti, která je správci uložena právním předpisem nebo úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen a je povinen poskytnout subjektu údajů informace, může tyto informace v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů poskytnout zveřejněním způsobem umožňujícím dálkový přístup.
  2. 59.INFORMACE O PRÁVECH SUBJEKTŮ
  3. 60.A. Právo na přístup k osobním údajům 
  4. 61.Podle článku 15 Nařízení bude mít subjekt údajů právo na přístup k osobním údajům, které zahrnuje jednak právo získat od Správce, zejména potvrzení, zda zpracovává osobní údaje, informace o účelech zpracování a v případě, že nebudou nepříznivě dotčena práva a svobody jiných osob i kopii osobních údajů.
  5. 62.B. Právo na opravu nepřesných údajů
  6. 63.Podle článku 16 Nařízení bude mít subjekt údajů právo na opravu nepřesných osobních údajů, které o něm bude Správce zpracovávat. Obchodní partner a zaměstnanec, má rovněž povinnost oznamovat změny svých osobních údajů a doložit, že k takové změně došlo. Zároveň je povinen Správce poskytnout součinnost, bude-li zjištěno, že osobní údaje, které o něm Správce zpracovává, nejsou přesné. 
  7. 64.C. Právo na výmaz
  8. 65.Podle článku 17 Nařízení bude mít subjekt údajů právo na výmaz osobních údajů, které se ho týkají, pokud Správce neprokáže oprávněné důvody pro zpracování těchto osobních údajů. Správce má nastaveny mechanismy pro zajištění automatické anonymizace či výmazu osobních údajů v případě, že již nejsou potřeba k účelu, pro nějž byly zpracovávány. 
  9. 66.D. Právo na omezení zpracování
  10. 67.Podle článku 18 Nařízení bude mít subjekt údajů do doby vyřešení podnětu právo na omezení zpracování, pokud bude popírat přesnost osobních údajů, důvody jejich zpracování nebo pokud podá námitku proti jejich zpracování, a to písemně na adresu sídla Správce.
  11. 68.E. Právo na oznámení opravy, výmazu nebo omezení zpracování 
  12. 69.Podle článku 19 Nařízení bude mít subjekt údajů právo na oznámení ze strany Správce v případě opravy, výmazu nebo omezení zpracování osobních údajů. Dojde-li k opravě nebo výmazu osobních údajů, budeme informovat jednotlivé příjemce, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Na základě žádosti subjekt údajů můžeme poskytnout informaci o těchto příjemcích.
  13. 70.F. Právo na přenositelnost osobních údajů 
  14. 71.Podle článku 20 Nařízení bude mít subjekt údajů právo na přenositelnost údajů, které se ho týkají a které poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo požádat Správce o předání těchto údajů jinému správci.
  15. 72.Pokud nám v souvislosti se smluvní povinností nebo na základě souhlasu poskytne subjekt údajů osobní údaje a jejich zpracování se provádí automatizovaně, má právo od nás získat takové údaje ve strukturovaném, běžně používaném a strojově čitelném formátu. Bude-li to technicky proveditelné, lze údaje předat i Vámi určenému správci, bude-li řádně určena osoba jednající za příslušného správce a bude možné ji autorizovat.
  16. 73.G. Právo vznést námitku 
  17. 74.Podle článku 21 Nařízení bude mít subjekt údajů právo vznést námitku proti zpracování jeho osobních údajů z důvodu oprávněného zájmu Správce.
  18. 75.H. Právo na odvolání souhlasu 
  19. 76.Souhlas se zpracováním osobních údajů pro výchovné a vzdělávací účely účinný od 25. 5. 2018 je možné kdykoliv po tomto datu odvolat. Odvolání je zapotřebí učinit výslovným, srozumitelným a určitým projevem vůle, a to na sídle Správce.
  20. 77.Souhlas s marketingovým oslovením udělený ke konkrétnímu elektronickému kontaktu je možné kdykoli odvolat na sídle Správce.
  21. 78.CH. Právo obrátit se na Úřad pro ochranu osobních údajů
  22. 79.Subjekt údajů má právo obrátit se na Úřad pro ochranu osobních údajů (www.uoou.cz).
  23. 80.POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ
  24. 81.Od 25. 5. 2018 je k dispozici tento kontakt na pověřence pro ochranu osobních údajů ve smyslu nařízení: MOPRO CS s.r.o., pověřenec pro ochranu osobních údajů, kontaktní osoba pan Radek Hykyš, e-mail gdpr@gdpr-ochanadat.cz.