Směrnice O OCHRANĚ OSOBNÍCH ÚDAJŮ

Transkript

1 Směrnice O OCHRANĚ OSOBNÍCH ÚDAJŮ Účinnost od

2 O b s a h Část první - Úvod. 03 Článek 1 až 2 Část druhá - Principy zpracování osobních údajů. 04 Článek 3 až 8 Část třetí - Povinnosti Správce Článek 9 až 19 Část čtvrtá - Práva subjektu údajů a postup při jejich uplatnění Článek 20 až 26 Část pátá Souhlasy Článek 27 Část šestá Zvláštní kategorie osobních údajů. 17 Článek 28 Část sedmá Informační povinnost.. 18 Článek 29 až 30 Část osmá - Závěrečná ustanovení.. 19 stránka 2 (celkem 19)

3 ČÁST PRVNÍ ÚVOD Článek 1 Úvodní ustanovení 1. Město Písek je veřejnoprávní korporací, má vlastní majetek, vystupuje v právních vztazích svým jménem a nese odpovědnost z těchto vztahů vyplývající. Město Písek je účetní jednotka: Město Písek Velké náměstí Písek IČ: DIČ: CZ Tato směrnice je závazná pro všechny zaměstnance, kteří jsou zařazeni do Městského úřadu Písek, městské policie, organizační složky a ostatní zaměstnance, kteří se v rámci plnění svých úkolů dostanou do kontaktu s osobními údaji subjektů údajů (dále jen Správce ) Kontrolu dodržování směrnice zabezpečují vedoucí odborů, velitel městské policie a vedoucí organizační složky v rámci svých pravomocí daných organizačním řádem Městského úřadu Písek, organizačním řádem městské policie, kontrolním řádem a pracovními náplněmi. 3. Legislativní rámec: NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů. Dále jen GDPR ). Článek 2 Vymezení pojmů 1. Pro účely této směrnice se níže uvedenými pojmy rozumí: a. GDPR: General Data Protection Regulation b. Osobní údaj: veškeré informace o fyzické osobě (např. jméno, adresa, datum narození, rodné číslo ) na základě kterých lze tuto osobu identifikovat. c. Zvláštní kategorie údajů: osobní údaj takového charakteru, že může subjekt údajů sám o sobě poškodit ve společnosti, v zaměstnání, ve škole, nebo může zapříčinit jeho diskriminaci. Jde o údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. d. Zpracování osobních údajů: jakákoliv operace s osobními údaji, jako je shromáždění, zaznamenání, uložení, pozměnění, nahlédnutí, použití, šíření, omezení, výmaz apod. e. Správce: právnická nebo fyzická osoba (v tomto případě Městský úřad Písek v přenesené působnosti a město Písek v samostatné působnosti), která určuje účely a prostředky zpracování osobních údajů. stránka 3 (celkem 19)

4 f. Zpracovatel: fyzická nebo právnická osoba, nebo subjekt, který zpracovává osobní údaje pro Správce. g. Subjekt údajů: fyzická osoba, k níž se osobní údaje vztahují. h. Pověřenec pro ochranu osobních údajů: osoba, která posuzuje činnost Správce či zpracovatele, zda je v souladu s platnou právní úpravou, informuje je, radí, dává doporučení. ČÁST DRUHÁ PRINCIPY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Článek 3 Zákonnost, korektnost, transparentnost 1. Jakékoli osobní údaje jsou zpracovávány zákonným způsobem, tedy buď na základě zákona (právního předpisu), se souhlasem subjektu údajů, jehož údaje se zpracovávají a z dalších právních důvodů. Správce zajišťuje průběžnou kontrolu, zda nedochází ke zpracování nad rámec stanovený právním předpisem, zda údaje, které Správce získává, jsou pro jeho činnost nezbytné; zda všechny údaje jsou zpracovávány v souladu s právními předpisy. Údaje jsou poskytovány stručným, srozumitelným a snadno přístupným způsobem, za použití jednoznačných a jednoduchých jazykových prostředků. 2. Subjekty údajů, jejichž osobní údaje jsou Správcem zpracovávány, jsou informovány prokazatelným způsobem a. o rozsahu a účelu zpracovávaných údajů, b. zda jde o zpracovávání pro splnění právní povinnosti, nebo o zpracování na základě poskytnutého souhlasu, c. o důvodech a lhůtách uložení informací, d. o možnostech subjektu údajů při odvolání souhlasu, obracet se na zpracovatele dat, na možnosti námitek, na právo požadovat omezení zpracování dat jejich opravu či výmaz. 3. Pokud je pro zpracování osobních údajů nezbytný souhlas subjektu údajů, pak musí být informovaný, konkrétní, svobodný a jednoznačný. Zpracování osobních údajů je možné provádět až po získání souhlasu. Souhlas se uchovává po celou dobu zpracování údajů. Článek 4 Účelové omezení 1. Osobní údaje jsou shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely. Údaje shromážděné pro různé účely nelze spojovat, musí být evidovány a zpracovány odděleně. 2. Rozsah zpracovávaných informaci je dán a. platnými právními předpisy, stránka 4 (celkem 19)

5 b. platnými smlouvami, c. veřejným zájmem, d. výkonem veřejné moci, e. oprávněným zájmem Správce, f. zpracováním nezbytným pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, g. zvláštními účely, které vyplynou z provozu Správce. Při těchto účelech jsou informace od subjektů údajů zpracovávány výhradně na základě poskytnutého souhlasu. 3. Rozsah osobních údajů zpracovávaných o zaměstnancích je dán požadavky právních předpisů, zejména zákoníku práce aj.; a je stanoven tak, aby zpracovávané údaje spolehlivě a věrohodně prokazovaly vznik, průběh a ukončení pracovně právního vztahu zaměstnance, včetně poskytování platu; dále splnění povinností vůči třetím osobám (např. zdravotní pojišťovny, Česká správa sociálního zabezpečení, finanční úřad) a předpisů o archivaci. 4. Rozsah osobních údajů zpracovávaných o uchazečích o zaměstnání: po uchazečích jsou vyžadovány pouze údaje nezbytné pro posouzení vhodnosti uchazečů (kvalifikace, zdravotní způsobilost, apod.). Další rozšiřující informace jsou požadovány až po případném rozhodnutí o uzavření pracovně právního vztahu. Neúspěšným uchazečům jsou vráceny jimi zaslané dokumenty a jejich osobní údaje jsou vymazány, pokud zde není jiný právní důvod zpracování. 5. Rozsah osobních údajů zpracovávaných o veřejnosti, novinářích, zastupitelích je dán požadavky právních předpisů, platných smluv aj. Článek 5 Minimalizace údajů 1. Zpracovávané informace jsou omezeny jen na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, nelze požadovat údaje nepřiměřené, nerelevantní a pokud nejsou nezbytné. Údaje nelze uchovávat poté, co pomine právní základ, poté, co je naplněn účel zpracování. Zaměstnanci jsou při získávání údajů subjektů údajů povinni používat výhradně Správcem schválené formuláře a jiné dokumenty. 2. Zvýšená pozornost je věnována zpracování zvláštní kategorii údajů. Tyto údaje jsou Správcem zpracovávány jen v nezbytném rozsahu a při zvýšeném zabezpečení. 1. Přesnost údajů je zajištěna Článek 6 Přesnost a. ověřováním údajů poskytnutých subjektem údajů, například porovnáním s osobními doklady, b. pravidelnými opakovanými kontrolami, c. aktivním dotazováním, stránka 5 (celkem 19)

6 d. uplatněním práva na opravu subjektem údajů. Článek 7 Omezení uložení 1. Osobní údaje jsou uloženy pouze po nezbytnou dobu. Ta vychází zejména ze zákona o archivnictví, dalších relevantních předpisů a skartačního plánu, který je součástí spisového a skartačního řádu. 2. Na konci úložné doby jsou data přezkoumána a odstraněna, pokud neexistuje oprávněný důvod pro jejich další uchování. 3. Listinné dokumenty jsou zničeny pomocí skartovacích kancelářských zařízení a dále prostřednictvím certifikovaných společností zabývající se skartací a archivací dokumentů. 4. Dokumenty uložené v elektronické podobě jsou zničeny a. fyzickou destrukcí nosičů, pokud jde o CD, DVD, b. použitím software zabezpečující vymazání. V tomto případě nesmí jít o pouhé smazání dokumentů, protože i poté by byla možná obnova smazaných souborů, musí jít o opakované přepsání původních souborů novými údaji. Článek 8 Integrita a důvěrnost 1. Osobní data jsou Správcem zpracovávána způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí technických a organizačních opatření před neoprávněným přístupem k údajům, náhodnou ztrátou, zničením, nebo poškozením. 1. Povinnosti zaměstnanců jsou: ČÁST TŘETÍ POVINNOSTI SPRÁVCE Článek 9 Technické opatření a. zabezpečit spisy s osobními údaji v uzamykatelných prostorách budou dokumenty s osobními údaji umístěny do zamčených skříní, kartoték, spisoven (pouze u spisů s osobními údaji fyzických osob a fyzických osob podnikajících), b. v době jejich přítomnosti i nepřítomnosti umožnit přístup do kanceláře pouze oprávněným osobám, stránka 6 (celkem 19)

7 c. zamykat kanceláře v nepřítomnosti zaměstnanců na pracovišti (i v krátkodobé nepřítomnosti) a zamezit vniknutí třetí neoprávněné osobě. Dveře musejí být v nepřítomnosti oprávněné osoby uzamčeny a okna uzavřeny, d. odhlásit se z PC v případě nečinnosti, e. nepracovat s osobními údaji na ploše, je nutné vše zabezpečit a ukládat do příslušných zabezpečených složek, f. zavést pravidla čistého stolu, g. nutnost dodržovat bezpečnostní pravidla při manipulaci s vlastním zařízením zaměstnance (mobilní telefon, počítač - zabezpečení displeje zámkem/otiskem prstu, ochrana PC heslem apod. 2. Další technická opatření: a. pseudonymizace, b. anonymizace, c. šifrování, d. antivirus a firewall, e. pravidelně aktualizované operační systémy ICT, f. logování, g. diferencované přístupy v ICT systémech, h. politika hesel, i. pravidla pro y - důsledná kontrola adresátů, patička u s žádostí o zaslání zpět, není-li adresován dané osobě, j. automatická archivace a likvidace ů po určité době, k. pravidelné zálohování a zabezpečení záloh. Článek 10 Záznamy o činnostech zpracování 1. O činnostech při zpracování jsou vedeny písemné záznamy, které jsou dostupné na webových stránkách města. 2. Záznamy jsou vedeny podle jednotlivých agend pověřencem pro ochranu osobních údajů. 3. Každý zaměstnanec má záznamy k dispozici v listinné nebo elektronické podobě. 4. Záznamy o činnostech obsahují následující údaje: a. identifikace Správce, b. identifikace pověřence pro ochranu osobních údajů, c. účely zpracování, d. popis kategorií subjektů údajů a kategorií osobních údajů, e. kategorie příjemců, f. případné předání do třetích zemí, stránka 7 (celkem 19)

8 g. lhůty pro výmaz, h. popis opatření. 5. Správce poskytne na požádání záznamy dozorovému úřadu. 1. Organizace zajišťuje: Článek 11 Organizační opatření a. úvodní proškolení všech zaměstnanců při nabytí účinnosti směrnice GDPR, b. vstupní školení všech nových zaměstnanců při vzniku jejich pracovněprávního vztahu, c. periodická školení 2. Dále zajišťuje preventivní školení postupu: a. při výskytu případů porušení zabezpečení osobních údajů a při změně pravidel pro zabezpečení osobních údajů daných touto směrnicí, nebo směrnicemi, na které se odkazuje, b. při ukončování pracovněprávního vztahu zaměstnanců jsou poučeni o tom, že jejich povinnosti při ochraně osobních údajů trvají i po ukončení pracovněprávního vztahu k organizaci. 3. Každý zaměstnanec je povinen seznámit se s ochranou osobních údajů při přijetí do pracovního poměru. Dále je povinen podepsat protokol o vstupním proškolení, který mu bude Správcem předložen v podobě přílohy pracovní smlouvy. 4. Správce je povinen každého nově příchozího zaměstnance proškolit. 5. Spisový a skartační řád Městského úřadu Písek:: a. je nutné postupovat dle skartačního řádu v případě dokumentů, u nichž uplynula skartační či archivační doba, b. skartovat veškeré dokumenty s osobními údaji, u kterých skončil účel jejich zpracování, a není zde žádný právní důvod jejich dalšího zpracování, c. u dokumentů, u kterých skončil účel jejich zpracování a které je nutné si nadále ponechat, je nezbytné stanovit následný účel zpracování a podřadit jej pod některý z výčtu právních důvodů. 6. Klíčový režim: klíč od uzamykatelného prostoru i od uzamykatelných uložišť bude mít u sebe pouze oprávněná osoba a tyto klíče bude mít stále u sebe. Vedoucí odboru má k dispozici klíče od všech uzamykatelných prostorů v rámci odboru a je povinen stanovit svého zástupce v této záležitosti. 7. Správce je povinen každý subjekt údajů seznámit s informacemi dle článku 13 a 14 GDPR. Informační povinnost Správce je upravena v části sedmé této směrnice. stránka 8 (celkem 19)

9 Článek 12 Zajištění počítačové (kybernetické) bezpečnosti 1. Kybernetická bezpečnost je zajišťována na všech počítačích: a. instalací antivirových programů, firewallu, b. stanovením přístupových práv, hesel, zákazu sdílení hesel několika osobami, c. pravidelné zálohování dat tak, aby nedošlo k jejich ztrátě při případném odcizení či poruše počítače a byla zajištěna schopnost obnovy dat v případě fyzických či technických incidentů, d. zajištění automatických bezpečnostních aktualizací používaného software, e. při jakékoli likvidaci hardware musí být znemožněna možnost získání uložených osobních údajů, f. používání pouze silných hesel (heslo o délce minimálně osmi znaků, vždy musí jít o kombinaci malých a velkých písmen a čísel, případně zvláštních znaků), g. mazání a neotvírání nevyžádané pošty, odmazávání SPAM v ové schránce i v počítačích, h. pravidelný servis a výpočetní techniky je zaměřen i na kontrolu oblasti bezpečnosti dat, i. je prováděno pravidelné testování přijatých technických a organizačních opatření, j. pravidelným školením zaměstnanců v této oblasti. 2. Skenování: 3. Kopírování: při skenování dokumentů do společné složky je nutné vše neprodleně vymazat. a. při tisku a kopírování je nutné ihned vyzvedávat vytištěné či okopírované dokumenty z tiskárny, b. dokumenty s osobními údaji přednostně tisknout na tiskárnách v kancelářích, c. každý zaměstnanec je povinen zamykat místnost s kopírovacím zařízením. Článek 13 Provozování kamerového systému 1. Kamerové systémy jsou nainstalovaný na budovách ve vlastnictví města pro zajištění bezpečnosti obyvatel a veřejného pořádku. 2. Informace o kamerových systémech jsou uveřejněny na internetových stránkách města. 3. Provoz je zajišťován v souladu s informacemi Úřadu pro ochranu osobních údajů. 4. Kamerové systémy mají záznamové zařízení s uchováním dat po dobu 10 dní. Poté jsou data vymazány z datového uložiště. stránka 9 (celkem 19)

10 Článek 14 Směrnice, vnitřní předpisy 1. Vydané vnitřní předpisy města jsou průběžně doplňovány o problematiku GDPR. 2. Postup v oblasti ochrany osobních údajů se řídí vždy touto směrnicí. 3. Ostatní interní předpisy města musí být vždy v souladu se směrnicí o ochraně osobních údajů. Článek 15 Zpracovatelské smlouvy a úprava ostatních smluv 1. Správce je povinen uzavřít s každým zpracovatelem zpracovatelskou smlouvu nebo dodatek zpracovatelské smlouvy. 2. Náležitost zpracovatelské smlouvy nebo dodatku: a. předmět zpracování, doba trvání zpracování, povaha a účel zpracování, typ osobních údajů, kategorie osobních údajů, povinnosti a práva Správce, b. informace, že zpracování probíhá na základě doložených pokynů Správce, c. povinnost mlčenlivosti, d. závazek přijmout vhodná technická a organizační opatření dle článku 32 GDPR, e. podmínka pro zapojení dalšího zpracovatele, f. závazek zohlednění povahy zpracování a nápomoci Správci včetně nápomoci dle článku 32 a 36 GDPR, g. na pokyn Správce je zpracovatel povinen vymazat osobní údaje nebo je vrátit Správci a kopie vymaže, h. zpracovatel je povinen poskytnout správci součinnost k doložení uvedených povinností. Článek 16 Postup ohlašování případů porušení zabezpečení Úřadu pro ochranu osobních údajů 1. V případě, kdy dojde k porušení zabezpečení osobních údajů je Správce povinen bez zbytečného odkladu tj. do 72 hodin od doby, kdy se o této skutečnosti dozvěděl, nahlásit porušení zabezpečení Úřadu pro ochranu osobních údajů. 2. Vyhodnotí-li Správce, že je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody subjektu údajů, nemusí porušení ohlašovat. 3. Správce je povinen v této záležitosti vést evidenci porušení zabezpečení ochrany osobních údajů ve formě schválených šablon. Vedení těchto evidencí je přeneseno na vedoucí jednotlivých odborů nebo jím pověřenou osobu. 4. Ohlášení se prování ve formě formuláře, který jsou vedoucí odboru nebo jím pověřená osoba povinni mít u sebe v listinné nebo elektronické podobě. stránka 10 (celkem 19)

11 5. Vedoucí odboru nebo jím pověřená osoba zaznamená neprodleně porušení zabezpečení do šablony a ohlásí tuto skutečnost pověřenci pro ochranu osobních údajů bez zbytečného odkladu. 6. Pověřenec pro ochranu osobních údajů je odpovědný za ohlášení porušení zabezpečení Úřadu pro ochranu osobních údajů ve stanovené lhůtě. V případě nedodržení stanovené povinnosti ve formě zaznamenání porušení zabezpečení do šablony a nahlášení této skutečnosti pověřenci, dopadá odpovědnost na vedoucího odboru nebo jím pověřenou osobu. 7. Náležitosti šablony: a. popis povahy případu, kategorií a množství dotčených subjektů údajů, b. kontaktní údaje pověřence pro ochranu osobních údajů, c. popis pravděpodobných důsledků, d. popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit porušení nebo zmírnit důsledky. 8. Náležitosti formuláře: a. identifikační údaje Správce, b. identifikace pověřence pro ochranu osobních údajů, c. typ oznámení, d. hlavní údaje k porušení zabezpečení, e. doplňující informace. 9. Správce je povinen seznámit zaměstnance s touto povinností. 10. Vedoucí oboru je povinen nahlásit pověřenci pro ochranu osobních údajů kontaktní osobu, která s ním bude jednat v této záležitosti. Článek 17 Postup oznamování případů porušení zabezpečení subjektu údajů 1. V případě, kdy dojde k porušení zabezpečení osobních údajů je Správce povinen bez zbytečného odkladu tj. do 72 hodin od doby, kdy se o této skutečnosti dozvěděl, oznámit porušení zabezpečení subjektu údajů. 2. Vyhodnotí-li Správce, že je nepravděpodobné, že by porušení mělo za následek vysoké riziko pro práva a svobody subjektu údajů, nemusí porušení ohlašovat. 3. Správce je povinen v této záležitosti vést evidenci porušení zabezpečení ochrany osobních údajů ve formě schválených šablon. Vedení těchto evidencí je přeneseno na vedoucí jednotlivých odborů nebo jím pověřenou osobu. 4. Oznámení se prování ve formě formuláře, který jsou vedoucí odboru nebo jím pověřená osoba povinni mít u sebe v listinné nebo elektronické podobě. 5. Vedoucí odboru nebo jím pověřená osoba zaznamená neprodleně porušení zabezpečení do šablony a ohlásí tuto skutečnost pověřenci pro ochranu osobních údajů bez zbytečného odkladu. 6. Pověřenec pro ochranu osobních údajů je odpovědný za oznámení porušení zabezpečení subjektu údajů ve stanovené lhůtě. V případě nedodržení stanovené stránka 11 (celkem 19)

12 povinnosti ve formě zaznamenání porušení zabezpečení do šablony dopadá odpovědnost na vedoucího odboru nebo jím pověřenou osobu. 7. Náležitosti šablony: a. popis povahy případu, kategorií a množství dotčených subjektů údajů, b. kontaktní údaje pověřence pro ochranu osobních údajů, c. popis pravděpodobných důsledků, d. popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit porušení nebo zmírnit důsledky. 8. Náležitosti formulář: a. identifikační údaje Správce, b. identifikace pověřence pro ochranu osobních údajů, c. typ oznámení, d. hlavní údaje k porušení zabezpečení, e. doplňující informace. 9. Správce je povinen seznámit zaměstnance s touto povinností. 10. Vedoucí oboru je povinen nahlásit pověřenci pro ochranu osobních údajů kontaktní osobu, která s ním bude jednat v této záležitosti. Článek 18 Pověřenec pro ochranu osobních údajů 1. Pro Městský úřad Písek a jím zřízené příspěvkové organizace byl jmenován pověřenec pro ochranu osobních údajů, který je zaměstnancem města. S příspěvkovými organizacemi je uzavřena Smlouva o výkonu funkce pověřence GDPR. 2. Kontaktní údaje pověřence pro ochranu osobních údajů je Správce povinen uveřejnit na internetových stránkách a sdělit je dozorovému úřadu. 3. Povinnosti pověřence pro ochranu osobních údajů: a. poskytování informací a poradenství Správci a příspěvkovým organizacím, b. monitorování souladu s GDPR, c. poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho uplatňování dle článku 35 GDPR, d. spolupráce s dozorovým úřadem, e. působení jako kontaktní místo pro dozorový orgán. 4. Pověřenec pro ochranu osobních údajů je také kontaktní osobou pro subjekty osobních údajů. 5. Pověřenec pro ochranu osobních údajů řeší uplatňování práv subjektů údajů v součinnosti s kontaktními osoba věcně příslušných odborů. Článek 19 stránka 12 (celkem 19)

13 Posouzení vlivu a předchozí konzultace s Úřadem pro ochranu osobních údajů 1. Správce je povinen posoudit vliv městského kamerového systému na ochranu osobních údajů zaznamenaných osob, jelikož zákon č. 553/1991 Sb., o obecní policii pouze umožňuje provozování kamerového systému, avšak nejedná se o povinnost ze zákona. ČÁST ČTVRTÁ PRÁVA SUBJEKTU ÚDAJŮ A POSTUP PŘI JEJICH UPLATNĚNÍ Článek 21 Právo na přístup 1. Subjekt údajů má právo získat od Správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k informacím dle článku 15 GDPR. 2. Správce je povinen poskytnout kopii zpracovávaných osobních údajů. Za další kopie je Správce oprávněn účtovat poplatek na základě administrativních nákladů. 3. Uplatňování práv subjektů údajů vyřizuje pověřenec pro ochranu osobních údajů případně jeho zástupce. 4. V případě uplatňování práv ze strany subjektů údajů je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Pověřenec pro ochranu osobních údajů, v záležitosti vyřízení žádosti subjektu údajů, kontaktuje neprodleně po obdržení žádosti osoby, vedoucího odboru nebo jím určené osoby. 6. Kontaktní osoby jsou povinny poskytnout součinnost pověřenci pro ochranu osobních údajů ve lhůtě 7 dnů. 7. Na základě shromážděných dat od kontaktních osob vyhotoví pověřenec pro ochranu osobních údajů odpověď ve lhůtě stanové GDPR. Článek 22 Právo na opravu a doplnění 1. Subjekt údajů má právo na to, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelu zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. 2. Správce je povinen na základě upozornění subjektu údajů opravit či doplnit jím udávané nepřesné údaje stránka 13 (celkem 19)

14 3. V případě provedené opravy informuje o těchto změnách příjemce osobních údajů a ostatní správce. 4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci o ochraně osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Po vyhodnocení oprávněného nároku budou údaje opraveny nebo doplněny zaměstnanci zpracovávajícími dotčené osobní údaje. Článek 23 Právo na výmaz 1. Subjekt údajů má právo na to, aby Správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů uvedených v článku 17 GDPR. 2. Pokud Správce osobní údaje zveřejnil a je povinen je podle článku 17 GDPR odst. 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či repliky. 3. V případě provedeného výmazu informuje o těchto změnách příjemce osobních údajů a ostatní správce. 4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Po vyhodnocení oprávněného nároku budou údaje vymazány zaměstnanci zpracovávajícími dotčené osobní údaje. Článek 24 Právo na omezení zpracování 1. Subjekt údajů má právo na to, aby Správce omezil zpracování v případech uvedených v článku 18 GDPR. stránka 14 (celkem 19)

15 2. V případě provedeného omezení zpracování informuje o těchto skutečnostech příjemce osobních údajů a ostatní správce. 3. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 4. Po vyhodnocení oprávněného nároku bude omezeno zpracování osobních údajů provedeno zaměstnanci zpracovávajícími dotčené osobní údaje. Článek 25 Právo na přenositelnost 1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu Správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě že: a. zpracování je založeno na souhlasu podle článku 6 odst. 1 písm. a) nebo článku 9 odst. 2 písm. a), b. zpracování je založeno na smlouvě podle článku 6 odst. 1 písm. b), c. a zpracování se provádí automatizovaně (pomocí výpočetní techniky). 2. Subjekt údajů má právo na to, aby osobní údaje byly předány přímo jedním Správcem správci druhému, je-li to technicky proveditelné. 3. Toto právo se nevztahuje na zpracování nezbytné pro plnění úkolů ve veřejném zájmu nebo při výkonu veřejné moci, kterým je Správce pověřen. 4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Po vyhodnocení oprávněného nároku bude postupováno dle článku 20 GDPR. Článek 26 Právo vznést námitku 1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě článku 6 odst. stránka 15 (celkem 19)

16 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. 2. V případě uplatňování práv ze strany subjektů údajů je postupováno následovně: - při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, - při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, - při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 3. Po vyhodnocení oprávněného nároku bude postupováno dle článku 21 GDPR, ČÁST PÁTÁ SOUHLASY Článek 27 Výčet situací a postupy při vyžadování souhlasu se zpracováním a při odvolání souhlasu 1. Souhlas musí být konkrétní, jednoznačný, svobodný a informovaný. Udělení souhlasu muže být následující: a. výslovné, b. nevýslovné. 2. Správce musí být po celou dobu trvání souhlasu schopen doložit, že subjekt údajů souhlas udělil. 3. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišen (např. Smlouva). 4. Subjekt údajů má právo svůj souhlas kdykoliv odvolat. O této možnosti musí být subjekt údajů předem informován. Odvolání souhlasu musí být stejně snadné, jako jeho udělení. 5. Souhlas může být odvolán: a. v papírové podobě, b. elektronicky, c. ústně o čemž bude proveden záznam. 6. Správce vyžaduje po subjektu údajů souhlas pouze tehdy, je-li to nezbytně nutné. 7. Správce je oprávněn souhlas vyžadovat tehdy, pokud zde není jiný právní důvod shromáždění nebo zpracování osobních údajů dle článku 6 GDPR. stránka 16 (celkem 19)

17 8. Náležitosti souhlasu: a. identifikace Správce, b. identifikace pověřence pro ochranu osobních údajů, c. údaje subjektu údajů, d. účel zpracování, e. rozsah zpracovávaných osobních údajů, f. oprávněný zájem Správce, g. příjemce nebo kategorie příjemců, h. případný úmysl Správce poskytnou údaje do třetích zemí, i. doba trvání souhlasu, j. existence práv subjektu údajů, k. právo souhlas kdykoliv odvolat, l. informaci o tom, že osobní údaje budou zpracovávány automatizovaně, m. podpis, datum a místo, 9. Souhlas může být vyžadován v těchto následujících případech: a. zaměstnanci: pořizování fotografií, uveřejňování fotografií, uveřejňování kontaktních údajů, b. uchazeči o zaměstnání: souhlas se zpracováním osobních údajů pro budoucí oslovení, c. zastupitelé a radní: uveřejňování soukromých kontaktních údajů, d. veřejnost: při získávání osobních údajů nad rámec důvodů zpracování uvedených v článku 6 odst. 1. písm. b - f GDPR, e. děti: při vyžadování souhlasu pro marketingové účely u dětí od 16 let. ČÁST ŠESTA ZVLÁŠTNÍ KATEGORIE OSOBNÍCH ÚDAJŮ Článek 28 Nakládání se zvláštní kategorií osobních údajů 1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. 2. Zvláštní kategorii osobních údaje může Správce zpracovávat v případech uvedených v článku 9 GDPR. stránka 17 (celkem 19)

18 3. Do zvláštní kategorie osobních údajů řadíme také osobní údaje dětí. ČÁST SEDMÁ INFORMAČNÍ POVINNOST Článek 29 Informační povinnost dle článku 13 GDPR 1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným, a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace dle článku 13 a 14 GDPR a učiní veškerá sdělení dle článku 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. 2. Informace jsou poskytovány písemně nebo jinými prostředky, ve vhodných případech v elektronické formě. 3. Správce je povinen poskytnout subjektu údajů v okamžiku získání jeho osobních údajů informace dle článku 13 GDPR. 4. Informační povinnost provede Správce prostřednictvím zásad ochrany osobních údajů (dále jen zásady ) následovně: a. žádosti: zásady budou vyvěšeny na internetových stránkách a v prostorách Správce a odkazy na ně budou zakomponovány do jednotlivých žádostí, b. smlouvy: zásady budou ke smlouvám přikládány v papírové podobě, c. rozhodnutí, výzvy k doplnění atd.: zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, d. ohlášení: zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, e. matrika: zásady budou přikládány k relevantním dokumentům v papírové podobě, f. legalizace, vidimace, informační systémy veřejné správy: zaměstnanec seznámí subjekt údajů se zásadami a místem uložení zásad ústně. Subjekt údajů se bude moci se zásadami seznámit na konkrétním místě v papírové podobě. Zaměstnanec je povinen mít zásady k dispozici pro případné jejich vyžádání, g. výběrová řízení na nové zaměstnance: zásady budou zakomponovány přímo do vyhlášeného výběrového řízení, případně může být zakomponován odkaz na zásady vyvěšené na internetových stránkách, h. pozvánky: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do pozvánky, i. odsouzení (veřejně prospěšné práce): zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, j. pracovní smlouvy: zásady budou ke smlouvám přikládány v papírové podobě, stránka 18 (celkem 19)

19 k. osobní dotazník: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány osobního dotazníku, l. formuláře: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do formulářů, m. vyhlášky: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do vyhlášek, 5. V každém relevantním dokumentu bude poučení o informační povinnosti Správce. 6. Informační povinnost při elektronické komunikaci: a. datová zpráva: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do datové zprávy, b. odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do u. 7. Pokud subjekt údajů dané informace má a do té míry, v níž je má, Správce není povinen mu je opakovaně poskytovat. Článek 30 Informační povinnost dle článku 14 GDPR 1. V případě, že osobní údaje nebyly získány od subjektu údajů, poskytne Správce subjektu údajů informace dle článku 14 GDPR. 2. Správce poskytne subjektu údajů informace následujícím způsobem: a. v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány, b. nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace, c. nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci, 3. Pokud subjekt údajů dané informace má nebo se ukáže, že poskytnutí takové informace není možné a dále v případech uvedených dle článku 14 GDPR, Správce není povinen mu je poskytovat. 4. Informační povinnost provede Správce prostřednictvím zásad ochrany osobních údajů nebo telefonicky. ČÁST OSMÁ ZÁVĚREČNÁ USTANOVENÍ 1. Tímto dokumentem nejsou dotčeny postupy vyplývající z právních předpisů a ostatních vnitřních norem Správce. 2. Tuto směrnici schválila rada města dne.. pod číslem usnesení.. a nabývá účinnosti dnem stránka 19 (celkem 19)