KONCEPCE NA OCHRANU OSOBNÍCH ÚDAJŮ

Transkript

1 Verze.: 1.0 Strana 1 / 15 KONCEPCE NA OCHRANU OSOBNÍCH ÚDAJŮ platnosti: Číslo dle rozdělovníku: Zpracoval : Funkce : Jméno : : Podpis : Pověřenec pro ochranu osobních Ing. Veronika Součková Schválil : Usnesení č. 173/2018 Rozdělovník výtisků č. podoba Vlastník (funkce) / umístění 1 elektronická Všichni zaměstnanci Fyzická Asistentka starostky Ing. Veronika Součková Jméno Podpis Pozn: elektronická verze je umístěna na adrese Společný/Vnitřní předpisy

2 Verze.: 1.0 Strana 2 / 15 Seznam změn Změna číslo 1 Místo a charakter změny Jméno-podpis Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Seznam revizí Revize č. Revidoval (funkce) Revidoval (jméno) Podpis

3 Verze.: 1.0 Strana 3 / 15 Obsah: Rozdělovník výtisků... 1 Seznam změn... 2 Seznam revizí... 2 Obsah: Úvod Základní pojmy Zásada zákonnosti, korektnosti a transparentnosti Účelnost zpracování osobních Rozsah osobních zpracovávaných o subjektech Rozsah osobních zpracovávaných o zaměstnancích města Rozsah osobních zpracovávaných o uchazečích o zaměstnání Přesnost shromažďovaných osobních Zásady archivace osobních Zabezpečení osobních Organizační opatření na zabezpečení osobních Technická opatření Práva subjektů a jejich uplatnění Práva subjektů Kontaktní údaje správce a pověřence Postup při uplatnění práv subjektů Pověřenec pro ochranu osobních Postup pro ohlášení případu narušení bezpečnosti Pravidla pro hodnocení bezpečnostního incidentu Porušení povinnosti mlčenlivosti Závěrečná ustanovení... 15

4 Verze.: 1.0 Strana 4 / Úvod Obsahem této koncepce je popis jaké osobní údaje jsou Městem Osek zpracovávány (dále jen město), za jakým účelem a jak je zajištěno dodržování zásad nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních a o volném pohybu těchto a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních ) (dále jen nařízení GDPR ). Upravuje pravidla pro zachování zákonnosti, korektnosti, transparentnosti, účelové omezení, minimalizaci, přesnost, omezené uložení, důvěrnosti, integrity, dostupnosti a odolnosti systémů zpracovávajících osobní data/údaje v rámci organizace. Jejím účelem je zajistit soulad s GDPR a prokázání naplnění všech principů a požadavků GDPR. Koncepce se vztahuje na všechny osoby, které se podílejí na zpracování osobních, u nichž je správcem nebo zpracovatelem. Koncepce je vnitřním předpisem organizační a řídící povahy a je závazná pro všechny zaměstnance. Pro osoby, které se podílejí na zpracování osobních je tato koncepce závazná na základě smluvního nebo jiného vztahu Základní pojmy GDPR General Data Protection Regulation - nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne o ochraně fyzických osob v souvislosti se zpracováním osobních a o volném pohybu těchto a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních ) Osobní údaj veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt ) např. jméno, adresa, datum narození, rodné číslo, lokalizační údaje. Zvláštní kategorie osobních osobní údaje takového charakteru, že mohou subjekt sám o sobě poškodit ve společnosti, v zaměstnání, ve škole, nebo může zapříčinit jeho diskriminaci. Jde o údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, zdravotním stavu a sexuálním životě subjektu a genetický údaj subjektu ; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu. Zpracování osobní - jakákoliv operace s osobními údaji, jako je shromáždění, zaznamenání, uložení, pozměnění, nahlédnutí, použití, šíření, omezení, výmaz apod.

5 Verze.: 1.0 Strana 5 / 15 Správce - právnická nebo fyzická osoba (v tomto případě ), které určuje účely a prostředky zpracování osobních. Zpracovatel -fyzická nebo právnická osoba, nebo subjekt, který zpracovává osobní údaje pro správce (správce si jej najímá - účetní, lékař, ). Pověřenec pro ochranu osobních (dále jen DPO ) osoba, která posuzuje činnost správce či zpracovatele, zda je v souladu s platnou právní úpravou, informuje je, radí, dává doporučení. 2. Zásada zákonnosti, korektnosti a transparentnosti 1. Byla provedena vstupní analýza, v rámci které byly zmapovány agendy. Pro zmapování pracovních postupů byly využity mapy procesů, které mělo město zpracován z doby, kdy bylo v organizaci zavedeno ISO 9001:2009. Mapové procesy byly v rámci vstupní analýzy aktualizovány. Bylo provedeno školení zaměstnanců v oblasti problematiky GDPR. 2. Osobní údaje jsou zpracovávány městem zákonným způsobem, tedy buď na základě zákona (právního předpisu), souhlasem subjektu, jehož údaje se zpracovávají nebo na základě oprávněného zájmu správce nebo třetí osoby. 3. Město zajišťuje průběžnou kontrolu, zda nedochází ke zpracování nad rámec zpracovaný zákonem, zda údaje, které získává, jsou pro jeho činnost nezbytné; zda všechny údaje jsou zpracovávány v souladu s právními předpisy. 4. Subjekty, jejichž osobní údaje jsou městem zpracovávány, jsou o tom informovány prokazatelným způsobem: o rozsahu a účelu zpracovávaných, zda jde o zpracovávání pro splnění právní povinnosti, zpracování na základě poskytnutého souhlasu nebo na základě oprávněného zájmu správce nebo třetí osoby, důvodech a lhůtách uložení informací, možnostech subjektu při odvolání souhlasu, obracet se na zpracovatele dat, na možnosti námitek, na právo požadovat omezení zpracování dat jejich opravu či výmaz.

6 Verze.: 1.0 Strana 6 / Pokud je pro zpracování osobních nezbytný souhlas, pak musí být informovaný, konkrétní a písemný. Zpracování osobních je možné provádět až po získání souhlasu. Písemná podoba souhlasu se uchovává po celou dobu zpracování. 6. Přílohou tohoto dokumentu jsou i záznamy o činnosti, kde jsou k jednotlivým agendám uvedeny právní důvody zpracování. 3. Účelnost zpracování osobních Osobní údaje jsou městem zpracovávány v souladu s čl. 6 GPDR, tj. pouze pro určité, výslovně vyjádřené a legitimní účely. Údaje shromážděné pro různé účely nelze spojovat, musí být evidovány a zpracovány odděleně Rozsah osobních zpracovávaných o subjektech 1. Rozsah zpracovávaných informaci je dán právními předpisy, které upravují samostatnou a přenesou působnost obcí. Jedná se např. o: zákon č. 128/2000 Sb., o obcích (obecní zřízení) zákon č. 133/2000 Sb., evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), zákon č. 301/2000 Sb., matrikách, jménu a příjmení a o změně některých souvisejících zákonů, zákona č. 111/2009 Sb., o základních registrech, zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, zákon č. 500/2004 Sb., Správní řád, zákon č. 565/1990 Sb., místních poplatcích, další právní předpisy jsou uvedeny v záznamech o činnostech. 2. Osobní údaje jsou získávány od subjektů /zákonných zástupců subjektů standardizovanými dotazníky a formuláři, které zajišťují, aby nebyly získávány údaje, které město ke své činnosti nepotřebuje. 3. Osobní údaje jsou také získávány ze základních registrů na základě zákona č.111/2009sb., o základních registrech. 4. Zpracovávané informace jsou omezeny jen na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, nelze požadovat údaje nepřiměřené, nerelevantní a pokud nejsou nezbytné.

7 Verze.: 1.0 Strana 7 / Rozsah osobních zpracovávaných o zaměstnancích města 1. Rozsah je dán požadavky právních předpisů, zejména zákoníku práce a zákona o úřednících územně samosprávných celků; 2. Rozsah je stanoven tak, aby zpracovávané údaje spolehlivě a věrohodně prokazovaly vznik, průběh a ukončení pracovně právního vztahu zaměstnance, včetně poskytování platu; dále splnění povinností vůči třetím osobám (např. zdravotní pojišťovny, Česká správa sociálního zabezpečení, finanční úřad) a předpisů o archivaci Rozsah osobních zpracovávaných o uchazečích o zaměstnání 1. Po uchazečích jsou vyžadovány pouze údaje nezbytné pro posouzení vhodnosti uchazečů v rámci výběrového řízení (kvalifikace, zdravotní způsobilost, apod.). 2. Rozšiřující informace jsou požadovány až po případném rozhodnutí o uzavření pracovně právního vztahu. 3. Neúspěšným uchazečům jsou vráceny jimi zaslané dokumenty a jejich osobní údaje jsou vymazány, pokud neudělí souhlas se zpracováním osobních. 4. Přesnost shromažďovaných osobních 1. Zásada přesnosti shromažďovaných osobních je v oblasti působnosti města upravena také zákonem č. 111/2009 Sb., o základních registrech. Orgány veřejné moci mají povinnost využívat při své činnosti referenční údaje obsažené v příslušném základním registru. V rozsahu, v jakém je oprávněn tyto údaje využívat podle tohoto zákona nebo podle jiných právních předpisů, a to aniž by ověřoval jejich správnost. 2. V případě, že orgán veřejné moci, který není editorem daného údaje v základním registru, při své činnosti zjistí nesoulad referenčních vedených v základním registru se skutečným stavem, anebo vznikne-li u něj oprávněná pochybnost o správnosti referenčního údaje, uvědomí o tom neprodleně editora daného referenčního údaje. 3. V případě, že se nejedná o údaje ze základního registru a v případě zjištění, že se jedná o chybné či nepřesné údaje je provedena bezodkladná změna. 4. Zaměstnancům je pracovním řádem stanovena povinnosti změny osobních neprodleně nahlásit.

8 Verze.: 1.0 Strana 8 / Zásady archivace osobních 1. Osobní údaje jsou uchovávány pouze po nezbytnou dobu. Město má zpracován spisový a skartační plán, který je pravidelně aktualizován. Spisový a skartační řád mimo skartačních lhůt a postupů také i oběh dokumentů. 2. Úložné doby, které nejsou stanoveny předpisy, stanovuje město následovně. Dokumenty zaslané uchazeči o pracovní místa jsou těmto uchazečům vráceny bez zbytečného odkladu po skončení výběrového řízení, pokud neexistuje zákonná lhůta, ve které se může neúspěšný uchazeč dožadovat přijetí nebo pokud uchazeč podepsal souhlas se zpracováním. 3. Na konci úložné doby jsou data přezkoumána a odstraněna, pokud neexistuje oprávněný důvod pro jejich další uchování. Postup skartace je uveden ve spisovém a skartačním řádu. 4. Údaje nelze uchovávat poté, co pomine právní základ, poté, co je naplněn účel zpracování. 5. Na dodržování spisového a skartačního řádů dohlíží DPO. 6. Zabezpečení osobních 1. Osobní data jsou zpracovávána způsobem, který zajistí náležité zabezpečení osobních, včetně jejich ochrany pomocí technických a organizačních opatření před neoprávněným přístupem k m, náhodnou ztrátou, zničením, nebo poškozením. 2. Město provedlo analýzu zpracovávaných osobních v rámci agend. K tomuto účelu byly vytvořeny formuláře Katalogový list agendy (vzor formuláře v příloze č. 1.). Také byla provedena kontrola síťové infrastruktury. 3. Bylo provedeno vyhodnocení rizik. Pro hodnocení rizik bylo využito metody ze Systémové analýzy působnosti obcí z hlediska obecného nařízení o ochraně osobních, kterou nechalo zpracovat Ministerstvo vnitra ČR (dále jen MVČR). Z posouzení vyplynula technická a organizační opatření, která zabezpečují ochranu osobních. Ta jsou stanovena zejména ve vnitřních směrnicích města: Organizační řád Pracovní řád,

9 Verze.: 1.0 Strana 9 / 15 Spisový a skartační řád, Informační koncepce, Směrnice na užívání počítačových sítí a provozování programového vybavení. 4. Město má zpracovány záznamy o činnostech. Záznamy tvoří přílohu této koncepce. 5. Pokud má zpracování osobních zcela nebo zčásti provádět třetí osoba (zpracovatel), musí s ní Město uzavřít smlouvu v písemné formě (včetně formy elektronické), která stanoví předmět, dobu, povahu a účel zpracování, kategorie osobních, kategorie subjektů a práva a povinnosti zpracovatele. Před zapojením zpracovatele do zpracování osobních zajistí Město uzavření smlouvy se zpracovatelem v souladu s Nařízením GDPR Organizační opatření na zabezpečení osobních 1. Organizační řád stanovuje zásady činnosti úřadu, je zde popsána organizační struktura vč. jednotlivých odboru a jejich odpovědnosti a působnost. V organizačním řádu je také obsažena role DPO. 2. Pracovní řád je vypracován v souladu s 306 zákoníku práce. Do pracovního řádu byly doplněny povinnosti zaměstnanců při zpracování osobních. Byla doplněna práva zaměstnanců z pohledu GDPR. 3. Spisový a skartační řád byl doplněn o termín zvláštní skupina dokumentů, jedná se o dokumenty, které obsahují citlivé údaje. 4. Po dokončení obnovy informační infrastruktury bude odpovídajícím způsobem aktualizována Informační koncepce a Směrnice na užívání počítačových sítí a provozování programového vybavení. 5. Město má v souladu s čl. 30 GDPR zpracovány záznamy o činnostech, které tvoří přílohu této koncepce. 6. Zaměstnanci města a jeho organizačních složek jsou pravidelně školeni v oblasti ochrany osobních. Školení zaměstnanců zajišťuje DPO. 7. Organizační opatření při zabezpečení budovy - systém klíčů, oprávnění ke vstupu, minimální standard bezpečnosti, systém řízení zaměstnanců, technické parametry místností.

10 Verze.: 1.0 Strana 10 / Technická opatření 1. Technická opatření při zabezpečení budovy - mechanické a elektronické zábrany, rozsah a povaha počítačového systému organizace, kamerový systém. 2. Počítačová (kybernetická) bezpečnost je zajišťována na všech počítačích Města a jeho organizačních složek: instalací antivirových programů, firewallu, stanovením přístupových práv, hesel, zákazu sdílení hesel několika osobami, pravidelné zálohování dat, tak aby nedošlo k jejich ztrátě při případném odcizení či poruše počítače a byla zajištěna schopnost obnovy dat v případě fyzických či technických incidentů, zajištění automatických bezpečnostních aktualizací používaného software, při jakékoli likvidaci hardware musí být znemožněna možnost získání uložených osobních, používání pouze silných hesel, mazání a neotvírání nevyžádané pošty, odmazávání SPAM v ové schránce i v počítačích, pravidelný servis a výpočetní techniky je zaměřen i na kontrolu oblasti bezpečnosti dat, je prováděno pravidelné testování přijatých technických a organizačních opatření, pravidelným školením zaměstnanců v této oblasti, šifrování, zavedení systému zajištění neustálé důvěrnosti, integrity a odolnosti systémů a služeb zpracování, pravidelné zálohování. 7. Práva subjektů a jejich uplatnění Město jako správce osobních je odpovědné za zpracovávání osobních, tuto odpovědnost nemůže přenést na jiný subjekt. Pro splnění této odpovědnosti má stanovena technická a organizační opatření k ochraně osobních. Zpracovává pouze takové osobní údaje, jež jsou pro její činnost nezbytné a také po nezbytně nutnou dobu Práva subjektů 1. Subjekty jsou informovány správcem osobních o zpracování prostřednictvím informací zveřejněných na webových stránkách

11 Verze.: 1.0 Strana 11 / Subjekt má právo na potvrzení o zpracování jeho, na přístup ke svým osobním m, na informaci o rozsahu zpracovávaných informací, na poskytnutí informací nejdéle do 1 měsíce od podání žádosti, na vysvětlení (při zamítnutí žádosti). Informace jsou poskytovány na základě písemné žádosti. Jsou poskytovány zpravidla bezplatně, kromě případů, kdy správce posoudí žádost jako zbytečně opakovanou, nepřiměřenou, nedůvodnou, nebo pokud nejde o oprávněný zájem žadatele. 3. Subjekt má právo na opravu, pokud jsou nepřesné, nebo neúplné, na provedení opravy nejdéle do jednoho měsíce, na vysvětlení, pokud oprava nebyla provedena. Správce předchází tomu, aby zpracovávané údaje byly neaktuální a postupuje v souladu se zákone č. 111/2009 Sb., o základních registrech. 4. Subjekt má právo, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán některý z důvodů stanovených obecným nařízením o ochraně osobních. 5. Subjekt má právo, aby správce omezil zpracování osobních v případech stanovených obecným nařízením o ochraně osobních. 6. Subjekt má právo vznést námitku proti zpracování osobních, které se jej týkají, pokud správce zpracovává osobní údaje z následujících důvodů: zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany, pro účely přímého marketingu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. 7. Subjekt má právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, dále má právo předat tyto údaje jinému správci, aniž by tomu správce bránil, a to v případech stanovených obecným nařízením o ochraně osobních. 8. Pokud je zpracování osobních založeno na souhlasu se zpracováním osobních poskytnutém subjektem, má tento subjekt právo tento souhlas kdykoliv odvolat.

12 Verze.: 1.0 Strana 12 / Pokud se subjekt domnívá, že došlo k porušení právních předpisů v souvislosti s ochranou jeho osobních, má právo podat stížnost u některého dozorového úřadu. Dozorovým úřadem je v České republice Úřad pro ochranu osobních Kontaktní údaje správce a pověřence 1. Subjekt může kontaktovat správce: osobně / písemně na adrese sídla správce: Zahradní 246, Osek pomocí ové adresy: osek@osek.cz pomocí datově schránky: gw3b3a7 telefonicky na tel. č.: Subjekt může kontaktovat správce prostřednictvím pověřence pro ochranu osobních : osobně / písemně na adrese sídla správce: Zahradní 246, Osek pomocí ové adresy: gdpr@osek.cz pomocí datově schránky: gw3b3a7 telefonicky na tel. č.: Postup při uplatnění práv subjektů 1. Kontaktní údaje na správce a pověřence pro ochranu osobních jsou uvedeny na webových stránkách 2. Pro zajištění ochrany osobních při uplatňování práv subjektu je požadováno ověření totožnosti subjektu, aby se zabránilo předání informací neoprávněné osobě. 3. V případě kontaktování správce písemně na adrese sídla, bude vyžadován ověřený podpis na žádosti či dokumentu, kterým jsou práva uplatňována. 4. V případě elektronického kontaktu prostřednictvím ové pošty musí být opatřen zaručeným elektronickým podpisem. Pokud tomu tak nebude, bude subjekt, aby ve stanovené lhůtě prokázal svou totožnost. Subjekt bude vyzván, aby se dostavil na podatelnu v sídle správce nebo aby žádost podal prostřednictvím své datové schránky, případně, aby ji zaslal v ověřeným podpisem na sídlo správce.

13 Verze.: 1.0 Strana 13 / Pověřenec pro ochranu osobních 1. Nařízení GDPR v článku 39 popisuje úkoly, které má pověřenec ve své funkci vykonávat. Pověřenec má zejména za úkol poskytovat Správci a jejím zaměstnancům poradenství při zpracování osobních tak, aby byl zajištěn soulad se všemi relevantními předpisy, při jejichž tvorbě by měl být konzultován. 2. Pověřenec dále vypracovává posudek při vyhotovení posouzení vlivu na ochranu osobních, spolupracuje a je kontaktním místem pro ÚOOÚ. 3. Provádí školení pracovníky v oblasti ochrany osobních. 4. Správce může pověřence pověřit dalšími úkoly, je však nutné, aby nedocházelo ke střetu zájmů a aby na hlavní úkoly byl vydělen dostatečný čas a prostředky. Typicky je dalším vhodným úkolem zpracovávání a správa záznamů o činnostech zpracování, které mohou sloužit jako účinný důkaz souladu s GDPR, nebo zajištění plnění informační povinnosti v rámci zasílání aktualizovaných znění vnitřních předpisů dotčeným osobám. Není vyloučeno ani zapojení pověřence do jiných úkolů, které primárně s osobními údaji nesouvisí, vždy však za dodržení požadavku, že nedojde ke střetu zájmů. 9. Postup pro ohlášení případu narušení bezpečnosti 1. Při zjištění, že bylo porušeno zabezpečení osobních, nebo při podezření, že bylo porušeno toto zabezpečení, je každý subjekt (správce, zpracovatel, pověřenec, zaměstnance ) povinen informovat správce a pověřence. Ti ve vzájemné součinnosti posoudí, zda skutečně došlo k porušení zabezpečení, vyhodnotí závažnost a podle závažnosti (bez rizika, nízké riziko, vysoké riziko). 2. Bezpečnostní událostí se rozumí jakékoliv porušení zabezpečení osobních, které může spočívat zejména v: neoprávněném přístupu nebo zveřejnění osobních ; neoprávněné nebo nahodilé ztrátě nebo zničení osobních ; ztrátě nebo krádeži zařízení nebo jiného prostředku použitého při zpracování; hackerský útok včetně zneužití lidského faktoru; lidské pochybení; přírodní katastrofa např. požár, záplava; selhání zařízení nebo jiného prostředku použitého při zpracování.

14 Verze.: 1.0 Strana 14 / Specifikace bezpečnostní události zahrnuje: popis bezpečnostního incidentu a jeho povahy; jméno oznamovatele; kategorie dotčených ; počet dotčených Subjektů ; počet a kategorie dotčených záznamů osobních ; dotčený informační systém nebo jiný prostředek zpracování; čas, kdy k incidentu došlo; čas zjištění incidentu; odhad pravděpodobných důsledků bezpečnostního incidentu; skutečnost, zda byly dotčené osobní údaje šifrované. 4. Po vyhodnocení specifikace bezpečností události správce ve spolupráci s pověřencem pro ochranu osobních, zda se jedná o bezpečnostní událost nebo o bezpečnostní incident. 5. V případě ohodnocení události na bezpečnostní incident, ohlásí správce incident dozorovému orgánu. 6. Město zajistí provedení nápravných opatření, využívá k tomu doporučení dozorového orgánu Pravidla pro hodnocení bezpečnostního incidentu Vyhodnocení závažnosti pro ohlášení bezpečnostní události slouží formulář Hlášení bezpečností události, který je přílohou č. 2 této koncepce, následně se proveden vyhodnocení do formuláře Záznam bezpečnostních událostí - příloha č.3. Kategorie I méně závažné porušení zabezpečení osobních Narušení aktiva nebude mít vliv na fungování správce a práv subjektů. Jedná se například o výmaz dat z počítače, které je možno obnovit ze zálohy. Chybné zveřejnění, které lze opravit či odebrat.

15 Verze.: 1.0 Strana 15 / 15 Kategorie II závažné porušení zabezpečení osobních Narušení aktiva bude mít dopad na fungování správce. Sankce v rámci Nařízení GDPR nebudou uplatněny. Jedná se například o ztrátu listinných dokumentů, ve kterých jsou obsaženy údaje, které nemají zásadní vliv na subjekt Kategorie III velmi závažné porušení zabezpečení osobních Narušení aktiva bude mít zásadní dopad na fungování správce a mohou být uplatněny sankce v rámci Nařízení GDPR. Jedná se například o ztrátu dat jak v listinné tak elektronické podobě, kterou nelze obnovit. Hackerský útok. 10. Porušení povinnosti mlčenlivosti 1. Odpovědnost za přestupek podle zákona o ochraně osobních vzniká fyzické osobě v případě, kdy jako zaměstnanec správce nebo zpracovatele osobních (nebo v jiné obdobné pozici) poruší povinnost mlčenlivosti ohledně osobních, s nimiž přišla při výkonu své pracovní činnosti do styku. Fyzická osoba se může dále dopustit přestupku podle zákona o ochraně osobních, pokud v roli správce či zpracovatele osobních nedodrží některou z povinností stanovených zákonem o ochraně osobních nebo pokud poruší zákaz zveřejnění osobních stanovený jiným právním předpisem. 2. Vědomé porušení povinnosti mlčenlivosti, neoprávněné zveřejnění, sdělení, zpřístupnění a přisvojení osobních zaměstnancem bude posouzeno dle zákona č. 262/2006 Sb., Zákoník práce jako zvlášť hrubé porušení pracovních povinností. 3. Při neoprávněném nakládání s osobními údaji může jít o trestný čin podle 180 zákona č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů jde o neoprávněné zveřejnění, zpracování, sdělení, zpřístupnění, přisvojení osobních, porušení mlčenlivosti. 4. Porušení povinností vyplývajících z této koncepce představuje závažné porušení pracovní kázně a může založit odpovědnost za škodu vzniklou Správci v souvislosti s tímto porušením. 11. Závěrečná ustanovení Kontrola dodržování ustanovení této koncepce bude prováděna prostřednictvím pověřence pro ochranu osobních.

16 Pořadové číslo katalogového listu 1 Odbor Účel zpracování Právní základ (souhlas, plnění smlouvy, splnění právní povinnosti, ochranna životně důležitých zájmů ubjektu, úkol ve veřejném zájmu, oprávněný zájem správce) Kategorie osobních Zvláštní kategorie ( např. rasový etnický původ, náboženské vyznání, členství v odborech, biometrické údaje, zdravotní stav...) Souhlas subjektu /ano/ne / ze zákona (číslo ) Kategorie subjektu Zdroje osobních Kategorie příjemců Doba uchování Druh zpracování Oznamovací povinnost ÚOOÚ - ano/ne Registrace ÚOOÚ, datum a číslo registrace Způsob zpracování soubor (server/lokální PC) program/aplikace správce aplikace KATALOGOVÝ LIST AGENDY

17 Přílohač.2Koncepcenaochranuosobních Hlášeníporušenízabezpečeníosobních MěstoOsek,Zahradní246,41705Osek Jménooznamovatele: Časadatumzjištěníporušenízabezpečeníosobních: Dotčenýinformačnísystémnebojinýprostředekzpracování: Popisporušenízabezpečeníosobních: Neoprávněnýpřístupnebozveřejněníosobních. Ztrátanebozničeníosobních. Ztrátanebokrádežzařízenínebojinéhoprostředkupoužitéhopřizpracování. Selhánízařízenínebojinéhoprostředkupoužitéhopřizpracování. Lidsképochybení. Přírodníkatastrofanapř.požár,záplava. Kyberneticképorušenízabezpečení: Kybernetickýútoknebojináudálostvedoucíkprůnikudosystémunebo komezenídostupnosti. Způsobenýškodlivýmsoftwaremnebokódem. Způsobenýpoškozenímbezpečnostníhoopatření. Spojenýsprojevemtrvalepůsobícíchhrozeb. Ostatní:

18 Příloha č. 3 Záznam o bezpečnostní události, Zahradní 246, Osek Každý subjekt je povinen při zjištění, že došlo k porušení zabezpečení osobních oznámit tuto skutečnost správci a pověřenci pro ochranu osobních. V případě, že není možné poskytnout veškeré informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. Jméno a kontaktní údaje pověřence pro ochranu osobních nebo jiného kontaktního místa, které může poskytnout bližší informace: Ing. Veronika Součková, gdpr@osek.cz, tel.: Jméno oznamovatele: Čas a datum zjištění porušení zabezpečení osobních : Čas a datum vzniku porušení zabezpečení osobních : Dotčený informační systém nebo jiný prostředek zpracování:

19 Přílohač.3Koncepcenaochranuosobních Popisporušenízabezpečeníosobních: Neoprávněnýpřístupnebozveřejněníosobních. Ztrátanebozničeníosobních. Ztrátanebokrádežzařízenínebojinéhoprostředkupoužitéhopřizpracování. Selhánízařízenínebojinéhoprostředkupoužitéhopřizpracování. Lidsképochybení. Přírodníkatastrofanapř.požár,záplava. Kyberneticképorušenízabezpečení: Kybernetickýútoknebojináudálostvedoucíkprůnikudosystémunebo komezenídostupnosti. Způsobenýškodlivýmsoftwaremnebokódem. Způsobenýpoškozenímbezpečnostníhoopatření. Spojenýsprojevemtrvalepůsobícíchhrozeb. Ostatní:

20 Přílohač.3Koncepcenaochranuosobních Kategoriedotčenýchosobních: Osobníúdaje(Veškeréinformaceoidentifikovatelnéneboidentifikovatelnéfyzické osobějakonapř.jméno,příjemní,adresa,datumnarození,rodnéčíslo) Zvláštníkategorieosobních (Osobníúdaje,kterévypovídajíorasovémči etnickém původu, politických názorech, náboženském vyznání čifilozofickém přesvědčení,členstvívodborech,zdravotnímstavučiosexuálnímživotěnebosexuální orientacifyzickéosoby,genetickéabiometrickéúdaje) Dotčenéosobníúdajebylyšifrovány: Ano Ne Početdotčenýchzáznamůosobních(odhad): Početdotčenýchsubjektů(odhad): Popisdůsledkůporušenízabezpečeníosobních:

21 Přílohač.3Koncepcenaochranuosobních Kategorieporušenízabezpečeníosobních: KategorieI -ménězávažné porušenízabezpečeníosobních(narušeníaktiva nebudemítvlivnafungovánísprávceaprávsubjektů.) KategorieI závažnéporušenízabezpečeníosobních(narušeníaktivabudemít dopadnafungovánísprávce.sankcevrámcinařízenígdprnebudouuplatněny.) Kategorie I velmizávažnéporušenízabezpečeníosobních(narušeníaktiva budemítzásadnídopadnafungovánísprávcea mohoubýtuplatněnysankcevrámci NařízeníGDPR.) Porušenízabezpečeníosobníchbylooznámendotčenýmsubjektům: Ano Ne,čas: Jezajištěno,žezasaženéúdajebylynečitelnénebonebylypřiřaditelné konkrétním osobám (tedy například fyzické osoby nejsou identifikovatelnédíkyprovedenípseudonymizaceneboosobníúdaje nejsoučitelnédíkypoužitémušifrováníapod.), Jsoupřijatynáslednáopatření,kterázajistí,ževysokérizikosejiž pravděpodobněneprojeví(tedynapříkladosobníúdajenejsouvdržení třetíosoby), Oznámeníbyvyžadovalonepřiměřenéúsilí.Vtakovémtopřípadědojde místotohokveřejnému oznámenínebopodobnémuopatření,sjehož pomocíbudousubjektyinformoványstejněúčinnýmzpůsobem. Porušenízabezpečeníosobníchbylohlášendozorovémuúřadu: Ano Ne,čas: Přijatá nápravná opatření, která vedou kvyřešeníčizmírnění následků porušení zabezpečeníosobních: