ZPRÁVA O STAVU OCHRANY OSOBNÍCH ÚDAJŮ VE VZTAHU K POŽADAVKŮM GDPR

Podobné dokumenty
Základní umělecká škola, Krnov, Hlavní náměstí 9, příspěvková organizace, PSČ , IČO

INFORMOVÁNÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S OBSAZOVÁNÍM PRACOVNÍCH POZIC A ZAMĚSTNÁVÁNÍM OSOB

Krajský úřad Karlovarského kraje

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Domov Čujkovova, Ostrava-Zábřeh, příspěvková organizace

Zpráva pro uživatele

Informace o zpracování osobních údajů. Úvodní informace

Informace o zpracování osobních údajů

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Mateřská škola Ostrava, Hornická 43A, příspěvková organizace

Informace o zpracování osobních údajů

Osobní údaje zpracováváme na základě různých právních titulů, které můžeme rozdělit do těchto kategorií:

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH ISPOP, SEPNO, HNVO a EnviHELP

GDPR ochrana osobních údajů

Zásady ochrany osobních údajů společnosti Ostravské výstavy, a.s.

Níže jsou uvedeny zásady naší společnosti pro zpracování osobních údajů.

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro účely plnění povinností organizace dle:

1. Státní fond rozvoje bydlení (dále jen Fond ) je právnickou osobou.

Základní škola a Mateřská škola Ostrava-Krásné Pole, Družební 336, příspěvková organizace

GDPR ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

základním, středním, vyšším odborném a jiném vzdělávání, ve znění pozdějších předpisů (dále jen Školský zákon ) a souvisejících právních předpisů;

Řád: 15/2018 Účinnost od: Číslo jednací: ZS_Curie 435/2018 Datum zpracování: Vypracoval:

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

MATEŘSKÁ ŠKOLA OSTRAVA DUBINA, F. FORMANA 13, příspěvková organizace

Informace o zpracování osobních údajů

Informace k ochraně osobních údajů

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Informace o zpracování osobních údajů. pro uživatele sociálních služeb

Změny: 1. Působnost. 2. Vymezení odpovědnosti

Základní škola a mateřská škola Ostrava Zábřeh, Kosmonautů 13, příspěvková organizace Kosmonautů 2218/13, Ostrava - Zábřeh

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH ISPOP, SEPNO, HNVO a EnviHELP

DODATEČNÉ INFORMACE K ZADÁVACÍM PODMÍNKÁM Č. III ZE DNE

Posuzování zdravotní způsobilosti k řízení motorových vozidel jako součásti výkonu práce

NÁVODNÁ STRUKTURA MÍSTNÍHO AKČNÍHO PLÁNU VZDĚLÁVÁNÍ

Varování podle - použití a dopady. Adam Kučínský ředitel odbor regulace

SMĚRNICE č. 5 ŠKOLENÍ ZAMĚSTNANCŮ, ŽÁKŮ A DALŠÍCH OSOB O BEZPEČNOSTI A OCHRANĚ ZDRAVÍ PŘI PRÁCI (BOZP)

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT, metodik ICT. Plán práce 2015/2016

Želešice - vodovodní řád pro zónu k podnikání

Oznámení o vyhlášení výběrového řízení na služební místo vedoucího inspektora Oblastního inspektorátu práce pro hlavní město Prahu

Strategické rámce správy a rozvoje klasifikace DRG v roce 2013

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

CELOŽIVOTNÍ VZDĚLÁVÁNÍ V SOCIÁLNÍCH SLUŽBÁCH III. 3 OSNOVA VZDĚLÁVACÍHO PLÁNU ORGANIZACE B. 1 SOUČASNÝ STAV A STRUKTURA PRACOVNÍKŮ

Vnitřní předpis města Náchoda pro zadávání veřejných zakázek malého rozsahu (mimo režim zákona č. 137/2006 Sb., o veřejných zakázkách)

OBCHODNÍ ZÁSADY SiMyCo s.r.o.

Zpracování údajů je založeno na souhlasu subjektu pro následující účely:

Základní škola Ostrava Mariánské Hory, Gen. Janka 1208, příspěvková organizace, PSČ , tel

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

PORADA ŘEDITELŮ MŠ/ZŠ

Výzva č. 3/2017 Dotační program na podporu projektů prevence kriminality v roce 2017

UNIVERZITA PARDUBICE. Směrnice č. 29/2005. Vnitřní kontrolní systém na Univerzitě Pardubice

Veřejné zakázky v oblasti obrany nebo bezpečnosti Pohled Úřadu pro ochranu hospodářské soutěže (?)

PODROBNÉ PODMÍNKY OZNÁMENÍ O ZAHÁJENÍ KONCESNÍHO ŘÍZENÍ

PŘÍLOHA D Požadavky na Dokumentaci

Postup pro provedení auditu oblasti zpracovávání osobních údajů pro příspěvkové organizace a obchodní společnosti zřízené či založené

Informace o zpracování osobních údajů. pro zaměstnance

PODPORA VYBUDOVÁNÍ A PROVOZU ZAŘÍZENÍ PÉČE O DĚTI PŘEDŠKOLNÍHO VĚKU PRO PODNIKY I VEŘEJNOST MIMO HL. M. PRAHU / V HL. M. PRAZE

Informace o zpracování osobních údajů. pro zaměstnance

Dohoda o výkonu pěstounské péče

DOBRÁ ŠKOLA Ústeckého kraje 2013/2014

1. Seminář k obsahu zákoníku práce, dalším souvisejícím právním úpravám a k sociálnímu dialogu (seminář je určen pro vedoucí zaměstnance)

Pokyn č. GFŘ - D - 9

Základní škola, Ostrava-Poruba, I. Sekaniny 1804, příspěvková organizace

ŽÁDOST O POSKYTNUTÍ STIPENDIA NADAČNÍ FOND PRO PODPORU MĚSTSKÉ NEMOCNICE, A.S. VE DVOŘE KRÁLOVÉ NAD LABEM

Obchodní Zásady GALATEA GROUP, a.s.

VNITŘNÍ PRAVIDLA ODLEHČOVACÍ SLUŽBY

Zásady zpracování a ochrany osobních údajů (pro subdodavatele a zákazníky)

Postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji

1. Shrnutí povinností pro poskytovatele i žadatele EU dotací. Povinnost odkrýt vlastnickou strukturu a skutečné vlastníky, tzn.

INSPEKČNÍ POSTUP ATESTACE DLOUHODOBÉHO ŘÍZENÍ ISVS

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Příloha č. 2 Popis podporovaných aktivit

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Pravidla on-line výběrových řízení ENTERaukce.net

uzavřená podle 1746 odst. 2 občanského zákoníku níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami

Co dál po registraci Žádosti o dotaci z PRV???

Technická specifikace předmětu plnění. VR Organizace dotazníkového šetření mobility obyvatel města Bratislavy

VÝZVA K PODÁNÍ NABÍDKY A K PROKÁZÁNÍ SPLNĚNÍ KVALIFIKACE

Trvání soutěže: Soutěž trvá od okamžiku vyhlášení na sociální síti FACEBOOK dne do konce dne

Portál veřejné správy

Město Tábor. Pravidla projektového řízení

Projektový manuál: SME Instrument Brno

Smlouva o obchodním zastoupení

Výzva. Prioritní osa 5 Národní podpora územního rozvoje Oblast intervence 5.1 Národní podpora využití potenciálu kulturního dědictví


PŘÍLOHA 11 SMLOUVY O ZPŘÍSTUPNĚNÍ ÚČASTNICKÉHO VEDENÍ. Sankce

Mateřská škola speciální, Praha 8, Štíbrova 1691

ZADÁVACÍ DOKUMENTACE

Š K O L N Í R O K / ZÁKLADNÍ ŠKOLA PROSTĚJOV, E. VALENTY 52. Mgr. Radomír Palát koordinátor ICT. Plán práce 2012/2013

Vyzýváme Vás k podání cenové nabídky k veřejné zakázce malého rozsahu nazvané

Tento projekt je spolufinancován. a státním rozpočtem

ÚŘAD PRO OCHRANU HOSPODÁŘSKÉ SOUTĚŽE ROZHODNUTÍ

65 51 H/01 Kuchař číšník. Téma "2012_SOP_ kuchař, číšník" samostatná odborná práce

SPECIFICKÁ PRAVIDLA PRO ŽADATELE A PŘÍJEMCE

Povinně zveřejňované informace

OBNOVU KULTURNÍCH PAMÁTEK POŠKOZENÝCH POVODNĚMI

Výzva k podání nabídky na veřejnou zakázku: Právní služby a poradenství pro Regionální radu regionu soudržnosti Jihovýchod

Transkript:

Matiční gymnázium, Ostrava, Dr. Šmerala 25 Srvnávací analýza připravensti MGO na GDPR Č.j.: GMAT/1641/2018 Účinnst d: Spisvý znak: Skartační znak: Změny: ZPRÁVA O STAVU OCHRANY OSOBNÍCH ÚDAJŮ VE VZTAHU K POŽADAVKŮM GDPR MATIČNÍ GYMNÁZIUM, OSTRAVA, PŘÍSPĚVKOVÁ ORGANIZACE

Obsah 1. VÝSLEDKY SROVNÁVACÍ ANALÝZY PŘIPRAVENOSTI MGO NA GDPR 4 1.1 Úvd 4 1.2 Klíčvá zjištění v připravensti MGO na GDPR 4 1.3 Identifikace zpracvání 5 1.4 Zjištění navrhvaných právních základů 5 1.5 Psuzení stavu dkumentace 5 1.6 Stav infrmací zveřejněných na webvých stránkách 7 1.7 Psuzení stavu stávajících interních systémů 7 1.8 Mapvání sbních údajů v systémech 7 1.9 Stav pdávaných infrmací 7 1.10 Stav zpracvatelských smluv 8 1.11 Stávající pdmínky pr řízení bezpečnstních incidentů 8 1.12 Stav agendy DPO 8 1.13 Stav stávajících patření ke zpracvání a chraně sbních údajů 8 2. ZÁKLADNÍ USTANOVENÍ 9 2.1 Umístění a chrana dkumentu 9 2.2 Verze dkumentu 9 2.3 Účel analýzy 9 2.4 Seznam rlí 10 2.5 Hdncení stavu chrany sbních údajů 10 2.6 Aktuální stav v registru zpracvání sbních údajů 10 2.7 Srvnávací analýza 11 2.8 Dpadvá analýza 11 3. GAP ANALÝZA 13 3.1 Cíl prvedení analýzy 13 3.2 Způsb psuzení 13 3.3 Vstupní infrmace 13 3.4 Kntrly dzrvým úřadem v suvislsti s GDPR 14 4. VÝSLEDKY GAP ANALÝZY 16 4.1 Základní přehled identifikvaných zpracvání 16 4.2 Identifikvaná zpracvání 16 4.2.1 Správní řízení 16 4.2.2 Maturitní zkušky 19 4.2.3 Šklní matrika a vzdělávání 22 4.2.4 Agenda výchvnéh pradce a šklníh metdika prevence 25 4.2.5 Šklní akce a zájezdy 28 4.2.6 Prjektvá činnst 30 4.2.7 Pjistné událsti a úrazy 33 4.2.8 Persnální a platvá agenda 36 4.2.9 Inventarizace 39 4.2.10 Příprava a uzavírání smluvních vztahů 42 4.3 Infrmační pvinnst 45 4.3.1 Plnění infrmační pvinnsti správce pdle GDPR 45 4.3.2 Mžné řešení infrmační pvinnsti pdle GDPR 45 4.3.3 Dpručujeme další infrmace dle čl. 13 GDPR, zejména: 46 4.4 Stav zpracvatelských smluv 47 Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 1

4.5 Přijatá technická a rganizační patření 48 4.6 Persnální bezpečnst 48 4.7 Fyzická bezpečnst 49 4.8 Administrativní bezpečnst 49 4.9 Bezpečnst IT aplikací a systémů 50 4.10 Opatření pr likvidaci sbních údajů 50 4.11 Dpručení pr plnění pvinnstí správce při zabezpečení zpracvání sbních údajů v rzsahu pžadavků čl. 32 GDPR 51 4.12 Kntrlní činnst 52 5. NÁVRHY ŘEŠENÍ 54 5.2 Pvěřenec pr chranu sbních údajů 54 5.3 Pstavení pvěřence pr chranu sbních údajů 54 5.4 Dpručení persnálníh bsazení 55 5.5 Vlastní zaměstnanec 55 5.6 Externista na základě smluvy pskytvání služeb 55 5.6.1 Vlastní zaměstnanec s externí pdpru 55 5.7 Návrh katalgu činnstí pvěřence pr chranu sbních údajů 56 5.8 Záznamy činnstech zpracvání 57 5.9 Záznamy činnstech vedené správcem 58 5.10 Záznamy činnstech vedené zpracvatelem 58 5.11 Návrh prcesů k hlášení narušení bezpečnsti sbních údajů 59 5.11.1 Řešení bezpečnstníh incidentu 60 5.12 Návrh rzhdvacíh prcesu při uplatňvání práv subjektů údajů 60 5.12.1 Práv být infrmván zpracvání sbních údajů 60 5.12.2 Práv na přístup k sbním údajům 61 5.12.3 Práv na pravu nepřesných sbních údajů 62 5.12.4 Práv na výmaz (být zapmenut) 62 5.12.5 Práv na mezení zpracvání 63 5.12.6 Práv na přensitelnst 63 5.12.7 Práv vznést námitku 64 5.12.8 Práv nebýt předmětem autmatizvanéh individuálníh rzhdvání, včetně prfilvání 65 5.12.9 Splečná ustanvení k rzhdvacím prcesům 65 5.13 Návrh rzhdvacíh prcesu pr realizaci psuzení vlivu na chranu sbních údajů 66 5.13.1 Návrh rzhdvacíh prcesu 66 5.13.2 Metdika pr případné psuzení vlivu na chranu sbních údajů 67 5.14 Návrh metdiky a pstupu pr realizaci záměrné chrany 69 5.14.1 Vznik nvých zpracvatelských perací neb změna již existujících 69 5.14.2 Zánik zpracvatelské perace neb jakékli její části 69 5.15 Návrh metdiky a pstupu pr realizaci standardní chrany 70 5.15.1 Základní pravidla fyzické bezpečnsti 70 5.15.2 Základní pravidla persnální bezpečnsti 70 5.15.3 Základní pravidla administrativní bezpečnsti 71 5.15.4 Základní pravidla bezpečnsti IT 71 5.16 Návrh prcesů k zajištění pravidelnéh testvání a vyhdncvání účinnsti přijatých technických a rganizačních patření 71 6. ANALÝZA A ŘÍZENÍ RIZIK 72 6.1 Analýza rizik metdická výchdiska 72 6.2 Klasifikace rizik a jejich dpadů 73 6.3 Hdncení rizik 74 Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 2

6.4 Eliminace rizik 78 7. ZÁVĚR A DOPORUČENÍ K DALŠÍMU POSTUPU 81 7.1 Nutné krky dalšíh pstupu 81 7.2 Infrmace zveřejněné na webvých stránkách MGO 82 7.3 Psuzení stavu stávajících interních systémů 82 7.4 Stávající pdmínky pr řízení bezpečnstních incidentů 83 8. PŘÍLOHA DOPORUČENÍ KE KAMEROVÉMU SYSTÉMU 84 9. POUŽITÉ TERMÍNY, ZKRATKY A POJMY 86 Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 3

1. VÝSLEDKY SROVNÁVACÍ ANALÝZY PŘIPRAVENOSTI MGO NA GDPR 1.1 ÚVOD Listina základních práv Evrpské unie a Smluva fungvání Evrpské unie (EU) přiznávají každému práv na chranu sbních údajů (dále též OÚ ), které se jej týkají. K zajištění tht práva byl přijat NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES (becné nařízení chraně sbních údajů, v anglickém jazyce General Data Prtectin Regulatin GDPR). Ačkliv cíle a zásady směrnice 95/46/ES, z níž vychází i zákn České republiky č. 101/2000 Sb., chraně sbních údajů a změně některých záknů, ve znění pzdějších předpisů (dále též ZOOÚ ), nadále platí, nezabránil t rztříštěnsti v prvádění chrany údajů v celé EU, právní nejisttě ani rzšířenému pcitu veřejnsti, že v suvislsti s chranu fyzických sb existují značná rizika, zejména pkud jde činnsti prváděné nline prstřednictvím infrmačních technlgií. Práva jedntlivců k chraně jejich sbních údajů jsu nvým nařízením výrazně psílena. Cílem srvnávací analýzy s pžadavky GDPR (dále jen srvnávací analýza ) byl prvést strukturvané srvnání existujícíh stavu chrany sbních údajů na Matičním gymnáziu, Ostrava, příspěvkvá rganizace, Dr. Šmerala 25, 728 04 Ostrava (dále jen MGO) se stavem pžadvaným nařízením GDPR. Byl psuzen stávající stav plnění pžadavků na zpracvání sbních údajů na MGO a tut analýzu byla stanvena metdika dalšíh pstupu pr chranu sbních údajů fyzických sb v suvislsti s jejich zpracváním a chranu. Při prvádění srvnávací analýzy jsme vycházeli výhradně z infrmací, které máme dle sučasné legislativy k dispzici a v kmpetenci řešení. Analyzvané smluvy lze becně charakterizvat jak smluvy mezi ddavatelem a dběratelem ppisující charakter dhdy bez ustanvení, pžadvaných nařízením GDPPR z hlediska zpracvání sbních údajů na knkrétní bdbí. Na základě analýzy budeme uzavírat ddatky ke smluvám řešící pžadavky GDPR zejména upřesnit udělení suhlasu se zpracváním sbních údajů na bdbí se specifikvaným termínem uknčení udělení suhlasu. 1.2 KLÍČOVÁ ZJIŠTĚNÍ V PŘIPRAVENOSTI MGO NA GDPR V rámci analýzy připravensti na GDPR byla prvedena GAP analýza suladu s tímt nařízením. Byl psuzen stávající stav zpracvání sbních údajů a stávající míra plnění pžadavků GDPR. MGO musí: vytvřit katalg (záznamy) zpracvání; vést interní záznamy činnstech zpracvání; jmenvat pvěřence pr chranu sbních údajů; uzavřít zpracvatelské smluvy; dplnit na www stránkách právní chranu sbních údajů; Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 4

upravit prces udělvání suhlasu na www stránkách se zpracváním sbních údajů; upravit plitiku sledvání uživatelů na webu ckies; zavést prcesy stanvené GDPR v rámci rganizace jak: práv na přístup; práv na výmaz; práv námitky; práv pzastavení; práv na infrmace; práv přensitelnsti. přijmut technická a rganizační patření snižující rizika pr subjekty údajů; pršklit zaměstnance SŠ z hlediska chrany sbních údajů; upravit retenční dby (dba uchvání) údajů a zavést d spisvéh řádu; vypracvat analýzu rizik zpracvání; kde je třeba, vytvřit Balanční testy; kde je třeba, vytvřit Psuzení vlivu pr chranu sbních údajů; zavést prces hlášení prušení zabezpečení sbních údajů; zavést systém řízení incidentů z phledu GDPR. 1.3 IDENTIFIKACE ZPRACOVÁNÍ Celkvě byl identifikván 11 prcesů zpracvání v rámci MGO, které byly kategrizvány d 11 scénářů zpracvání. 1.4 ZJIŠTĚNÍ NAVRHOVANÝCH PRÁVNÍCH ZÁKLADŮ Na MGO lze ze šesti mžných právních základů zpracvání běžných sbních údajů využít čtyři. Udělení suhlasu subjektem údajů, zpracvání zalžené na právním základu veřejnéh zájmu správce, zpracvání pstavené na právních pvinnstech správce a zpracvání vycházející z plnění smluvy. 1.5 POSOUZENÍ STAVU DOKUMENTACE MGO prvedla analýzu následující dkumentace vztahující se k chraně sbních údajů: Organizační řád včetně přílh Smluva Bakaláři včetně přílh a ddatků Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 5

Frmulář DPP Frmulář pracvní smluvy Mzdvý list Osbní dtazník žáka, zaměstnance (vstupní) Frmulář Suhlas se zpracváním sbních údajů pr ptřeby MGO Směrnice chraně sbních údajů Smluva Vema a. s. Smluva Elanr s. r.. Smluva T-mbile Registrace na web4yu.cz Suhlas rdičů nezletilých žáků s činnstí výchvnéh pradce Suhlas rdičů nezletilých žáků se scimetrickými analýzami vztahů uvnitř třídních klektivů Suhlas rdičů nezletilých žáků s půsbením šklníh psychlga Suhlas s puštěním budvy Vyjádření žáka/záknnéh zástupce suhlas se zpracváním OÚ Dpručený rzsah dkumentace vhdné z hlediska nařízení GDPR, průběžně aktualizvané a dstupné pr případ kntrly ze strany ÚOOÚ by měl bsahvat: GAP Analýzu suladu s GDPR; Ppis identifikvaných zpracvání; Katalg těcht zpracvání; Analýzu rizik scénářů zpracvání z hlediska subjektů údajů; Ppis přijatých patření; Důkazy prkazující aktivní přístup k řešení chrany sbních údajů jak například ptvrzení prkazující pršklení zaměstnanců SŠ v tét blasti; Dplňující dkumenty, pkud jsu třeba, jak Balanční testy u zpracvání zalžených na právněných zájmech; neb Psuzení vlivu na chranu sbních údajů u zpracvání vyhdncených jak kritické; Ppisy prcesů veducích k naplnění práv subjektů údajů; Vzrvé dkumenty: Zpracvatelské smluvy; Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 6

Udělvané suhlasy; Dhdu mlčenlivsti. 1.6 STAV INFORMACÍ ZVEŘEJNĚNÝCH NA WEBOVÝCH STRÁNKÁCH Sučasné webvé stránky z hlediska GDPR nesplňují pžadavky na internetvé řešení kladené. Vytvření dkumentace pr webvu sekci Ochrana OÚ bude zpracvána a ddána centrálně zřizvatelem (d 11. 5. 2018. Dále budu věřeny suhlasy udělené zaměstnanci i klienty pr zveřejnění ftgrafií na internetvých stránkách. 1.7 POSOUZENÍ STAVU STÁVAJÍCÍCH INTERNÍCH SYSTÉMŮ Sučasná infrastruktura a systémy na MGO becně splňují většinu pžadavků GDPR na bezpečnst zpracvání sbních údajů. Nvě budu dplněny primárně prcesní věci, tzn. definván systém řízení kntinuity činnstí, vytvřena dpvídající sada dkumentů a zapracvána případná patření vyplývající z nalezených rizik zpracvání. 1.8 MAPOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH V prcesu pr řízení a uspkjení práv subjektů na výmaz, pzastavení či přens budeme nuceni učinit dílčí úpravy v architektuře infrmačních systémů rganizace. Jde větší či menší zásahy, které je nutné udělat, aby dšl k centralizaci zpracvání sbních údajů v rámci systémů. Bude tak výrazně jedndušší řešit případné změny na základě vyžadvaných práv pr výmaz, pzastavení zpracvání či přens údajů. Pskytvatelům aplikací a infrmačních systémů byl plžen závazný dtaz na připravenst jimi ddaných či spravvaných infrmačních systémů a aplikací pr MGO. Zpracvatelské firmy ptvrdily připravenst IS deklarace ddavatelů Ddavatel Aplikace / IS Deklarace připravensti Elanr spl. s r.. IS FAUST (účetní s.) bude připraven d účinnsti nařízení GDPR ICZ a.s. Spisvá služba e-spis LITE bude připraven d účinnsti nařízení GDPR Vema, a.s. persnální a mzdvý IS Vema bude připraven d účinnsti nařízení GDPR TESCO SW a.s. IS FaMa+ bude připraven d účinnsti nařízení GDPR BAKALÁŘI sftware, s. r. Bakaláři bude připraven d účinnsti nařízení GDPR 1.9 STAV PODÁVANÝCH INFORMACÍ MGO v sučasné dbě v abslutní většině případů plní pvinnst infrmvansti vůči subjektům údajů v suladu se záknem chraně sbních údajů. Správce je pvinen infrmace pskytnut nejpzději Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 7

mmentem prvníh kntaktu neb d jednh měsíce a infrmace pskytnut subjektu údajů, když jsu vyžádány. 1.10 STAV ZPRACOVATELSKÝCH SMLUV Zpracvatelské smluvy a ddatky bsahují z hlediska ptřeb stanvených nařízením GDPR puze velmi becná ustanvení. MGO prvede revize smluv a případně uzavře se zpracvateli ddatečné zpracvatelské smluvy bsahující ustanvení pvinnsti zpracvatele stanvené nařízením GDPR v dstatečném rzsahu. Prvedení změn ve vzrvých ddavatelských smluvách bude zřizvatelem prveden centrálně. Bude se jednat dplnění nvých plžek hledně zpracvání sbních údajů a mlčenlivsti hledně sbních údajů. Vzrvé dlžky budu centrálně ddány zřizvatelem. 1.11 STÁVAJÍCÍ PODMÍNKY PRO ŘÍZENÍ BEZPEČNOSTNÍCH INCIDENTŮ Prces řízení bezpečnstních incidentů z hlediska GDPR není na MGO definván. V sučasné dbě nejsu všechny aplikace a infrmační systémy technicky připravené na pkrytí veškerých pžadavků, které na tent prces nařízení GDPR klade. 1.12 STAV AGENDY DPO V sučasné dbě nemá MGO jmenvanéh pvěřence pr chranu sbních údajů. Vzhledem k pvinnsti státní správy a pdřízených rganizací jej jmenvat, jsme připraveni tut pvinnst splnit. Jmenvání pvěřence umžní snazší kmunikaci s rgány dhledu i subjekty údajů. Jmenvání pvěřence pr chranu sbních údajů zajistí v pčátcích účinnsti GDPR zřizvatel (18. 5. 2018). 1.13 STAV STÁVAJÍCÍCH OPATŘENÍ KE ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ Na základě námi prvedené srvnávací analýzy realizujeme další krky v blasti chrany sbních údajů, které budu eliminvat zjištěné neshdy s GDPR. Návrh dalších krků a metdiky uvádíme v kapitle č. 7. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 8

2. ZÁKLADNÍ USTANOVENÍ 2.1 UMÍSTĚNÍ A OCHRANA DOKUMENTU Dkument, který bsahuje neveřejné infrmace musí být uchváván, přenášen a distribuván v suladu s pravidly pr chranu infrmací, platnými v pdmínkách SŠ. Tyt infrmace nesmí být bez předchzíh svlení MGO pstupeny třetí straně. Nesmí být pužívány či rzmnžvány pr jiné účely než za účelem psuzení dkumentu. 2.2 VERZE DOKUMENTU Tabulka čísl 1 Verze dkumentu Autr Datum Verze Ppis změny 20. 2. 2018 1.0 Tvrba dkumentu 2.3 ÚČEL ANALÝZY Účelem analýzy je na základě zjištěnéh stavu na MGO zhdntit stávající kvalitu prcesů a patření z hlediska pžadavků GDPR a psudit plnění pžadavků GDPR. Naše analýzy dále bsahuje metdiky hdncení plnění pžadavků GDPR, ppis způsbu zpracvání zprávy srvnávací analýzy a návrhy splu s dpručeními, aby systém administrace MGO plně dpvídal pžadavkům GDPR. Zjištěná skutkvá pdstata bude služit jak pdklad pr plnění pvinnstí vyplývajících z Obecnéh nařízení chraně sbních údajů GDPR. Prvedená analýza stavu chrany sbních údajů na MGO napvídá, že je nutn realizvat následující: přijmut plán implementace pžadavků GDPR, včetně stanvenéh harmngramu a nezbytné alkace zdrjů; ustanvit p dbu implementace pžadavků GDPR funkci (rli) prjektvéh manažera GDPR; jmenvat pvěřence pr chranu sbních údajů; dplnit identifikace jedntlivých zpracvání sbních údajů, pkud djde k ddatečnému zjištění; na základě identifikace jedntlivých zpracvání určit dpvědné sby za tat zpracvání; prvést hdncení rizik zpracvání na základě dknčené identifikace; Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 9

na základě výsledku hdncení rizik vyhdntit, zda je u zpracvání s vyským rizikem nezbytné přistupit k vypracvání případnéh Psuzení vlivu na chranu sbních údajů; realizvat dpručené změny v dkumentaci, směrnicích a smluvách; přijmut případná dpručená patření směřující k zabezpečení chrany sbních údajů; pršklit zaměstnance MGO v blasti chrany sbních údajů; akceptvat pravidelný interní audit či jinu kntrlu nakládání s sbními údaji; pstupvat při implementaci dle navrhvaných metdik. 2.4 SEZNAM ROLÍ Tabulka čísl 2 Rle Správce Manažer GDPR Pvěřenec pr chranu sbních údajů (DPO) Manažer kybernetické bezpečnsti Seznam rlí Ppis Právně dpvědný za celkvu implementaci pžadavků spjených s GDPR včetně frmální validace SŠ Odpvídá za implementační plán, průběh implementace pžadavků GDPR, navrhuje prcesy, pstupy a metdiky, dpvídá za hdncení rizik Schvaluje navržené pstupy a prcesy, dává psudky k navrhvaným patřením a pstupům, kmunikuje se subjekty údajů a dhledvým rgánem, nastavuje lhůty, pvluje a schvaluje knkrétní pstupy Knzultační a infrmační rle, splupdílí se na identifikaci zdrjů rizik a hrzeb v blasti IT 2.5 HODNOCENÍ STAVU OCHRANY OSOBNÍCH ÚDAJŮ Základním cílem hdncení stavu chrany sbních údajů je zajistit d buducna její ptřebnu úrveň a zajistit prsazvání chrany sbních údajů na MGO. Přitm zajištěním chrany sbních údajů se rzumí sustavné snižvání rizik (ztráty, pškzení a zneužití údajů, pškzení práv subjektů údajů atd.) spjených se zpracváním sbních údajů v infrmačních systémech (dále též IS ) a dále bsažených v listinných dkumentech. Hdncení stavu chrany OÚ je charakterizván jak sustava rganizačních a technických patření, která zajišťují shrmáždění a vyhdncení infrmací stavu chrany OÚ dle předem stanvenéh rzsahu a pravidla pr jejich psuzvání a hdncení. 2.6 AKTUÁLNÍ STAV V REGISTRU ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ MGO není registrvána v registru zpracvání sbních údajů vedeném ÚOOÚ. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 10

2.7 SROVNÁVACÍ ANALÝZA V tét srvnávací analýze psuzujeme úrveň stavu chrany OÚ dle stanvenéh rzsahu GDPR. Skutečnsti zjištěné při srvnávací analýze nám pskytnu infrmace slabinách a nedstatcích v zajištění chrany OÚ MGO. Kritéria srvnávací analýzy vychází zejména z GDPR a suvisejících legislativních pžadavků. 2.8 DOPADOVÁ ANALÝZA V tét kapitle uvádíme speciální ustanvení GDPR, která se uplatňují při zpracvání sbních údajů na Matičním gymnáziu, Ostrava. Omezené využití právníh titulu právněných zájmů Jedním z právních titulů pr zpracvání sbních údajů jsu právněné zájmy příslušnéh správce či třetí strany. Tyt zájmy však nesmí převážit nad zájmy neb základními právy a svbdami subjektu údajů. Tt becné mezení, které je adresván všem správcům sbních údajů GDPR dplňuje ještě zákazem rgánům veřejné mci využít zmíněný právní titul pr zpracvání sbních údajů při plnění jejich úklů. Orgány veřejné mci však smí uvedený právní titul využít v případě, kdy vystupují jak účastník sukrmprávních vztahů. Omezení práva být zapmenut Práv být zapmenut uplatňují subjekty údajů v rámci mantinelů stanvených GDPR. Nejde tedy práv abslutní a jeh výkn se dvíjí d dalších skutečnstí. V případě specifik zpracvání sbních údajů krajem může být práv být zapmenut mezen také z důvdu splnění právní pvinnsti, která se na správce vztahuje, neb pr splnění klu prvedenéh ve veřejném zájmu neb při výknu veřejné mci, kterým je správce pvěřen, pkud je zpracvání sbních údajů v takvých případech nezbytné. Práv být zapmenut je mezen také v suvislsti s pvinnstí rganizace uchvávat dkumenty a umžnit výběr archiválií pdle zákna archivnictví a spisvé službě. Omezení práva na přensitelnst údajů Tt práv nelze realizvat u aktivit nezbytných pr splnění pvinnstí či úklu upravených záknem. Pvinnst jmenvat pvěřence pr chranu sbních údajů Pvinnst jmenvat pvěřence pr chranu sbních údajů platí pr všechny rgány veřejné mci a veřejné subjekty bez hledu na t, jaké sbní údaje a v jakém rzsahu zpracvávají. Pvěřenec zejména mnitruje sulad zpracvání sbních údajů s GDPR a dalšími suvisejícími právními předpisy a pskytuje pradenství v suvislsti se zpracváním sbních údajů správci neb zpracvateli a jejich zaměstnancům. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 11

Plnění infrmační pvinnsti zveřejněním Plnění infrmační pvinnsti tímt způsbem bude mžné puze tehdy, pkud budu zpracvávány sbní údaje v rámci úklů stanvených kraji právními předpisy neb při výknu veřejné mci. Snížení sankcí Zákna zpracvání sbních údajů také pr rgány veřejné mci a veřejné subjekty snižuje hrní hranici pkut, které lze ulžit za prušení pvinnstí stanvených GDPR, a t na 10 mil. Kč. Uplatnění správních sankcí nevylučuje uplatnění nárku v civilním řízení. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 12

3. GAP ANALÝZA 3.1 CÍL PROVEDENÍ ANALÝZY Cílem prvedení analýzy sučasnéh stavu zpracvání a chrany sbních údajů na MGO je vytvřit výchzí pdmínky pr implementaci Nařízení Evrpskéh parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES (becné nařízení chraně sbních údajů) General Data Prtectin Regulatin (dále jen GDPR ) při chraně sbních údajů na Matičním gymnáziu, Ostrava. 3.2 ZPŮSOB POSOUZENÍ V rámci srvnávací analýzy byl psuzván jednak stav plnění právních pvinnstí suvisejících se zpracváním sbních údajů a zárveň stav zavedení rganizačních (prcesních) a technických chranných patření vyžadvaných GDPR. Prcesy a patření GDPR byly psuzvány na základě prvnání sučasnéh stavu s legislativními pžadavky, a t dle pžadavků stanvených vedením MGO, kterými jsu: Identifikace zpracvání; Zjištění navrhvaných právních základů; Psuzení sučasnéh stavu dkumentace; Zjištění prbíhajících klíčvých iniciativ a základní návrh jejich zařazení d českéh prstředí; Stav infrmací zveřejněných na webvých stránkách MGO; Psuzení stavu stávajících interních systémů; Mapvání sbních údajů v systémech; Stav pdávaných infrmací; Stav zpracvatelských smluv; Stávající pdmínky pr řízení bezpečnstních incidentů; Stav agendy pvěřence (DPO); Stav stávajících patření ke zpracvání a chraně sbních údajů. V závěru GAP analýzy je ppsán návrh dalšíh pstupu. 3.3 VSTUPNÍ INFORMACE Pr prvedení srvnávací analýzy byly infrmace prcesech a patřeních získávány detailní kntrlu sučasnéh stavu v kntextu kmpatibility s bsahvým rámcem GPDR. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 13

Phled přes pžadavky GDPR: plnění jedntlivých pžadavků GDPR a hdncení stávajících patření pr chranu sbních údajů bezpečnstní plitika, rganizace bezpečnsti, bezpečnst lidských zdrjů, fyzická bezpečnst a bezpečnst prstředí, kryptgrafie, řízení kmunikací, řízení prvzu, řízení přístupu, akvizice, vývj a údržba infrmačních systémů, ddavatelské vztahy, zvládání bezpečnstních incidentů, řízení kntinuity činnstí rganizace a řízení suladu s pžadavky; Phled přes služby a interní systémy byl prveden na základě rganizační a řídící struktury MGO tent systém jasně vymezuje pzice a pvinnsti jedntlivých rganizačních článků ve vztahu ke GDPR. Zjištění stavu byl převážně prveden následujícími technikami: ze studia dstupných relevantních pdkladvých materiálů a metdických dpručení MŠMT ČR, z vedení strukturvaných rzhvrů s vybranými pracvníky na jedntlivých pzicích, z psuzvání a rzbru získávaných infrmací, ze zpracvání získaných infrmací d strukturvané pdby. Tabulka čísl 3 Jmén Přehled respndentů pr identifikaci jedntlivých zpracvání pzice Ředitelka škly 3.4 KONTROLY DOZOROVÝM ÚŘADEM V SOUVISLOSTI S GDPR Pvinnstí každéh členskéh státu Evrpské unie je zřídit dzrvý úřad. V sučasné dbě je v ČR takvým úřadem Úřad pr chranu sbních údajů a jeh pvinnsti a kmpetence jsu zaktveny ve stávajícím zákně chraně sbních údajů. Obdbné skutečnsti jsu zaktveny i v kap. VI GDPR Nezávislé dzrvé úřady. Pdle čl. 57 GDPR každý dzrvý úřad na svém území mj.: mnitruje a vymáhá uplatňvání GDPR, zabývá se pdanými stížnstmi, pršetřuje předmět stížnsti, prvádí šetření uplatňvání GDPR, mj. na základě infrmací bdržených d jinéh dzrvéh úřadu či jinéh rgánu veřejné mci. Z výše uvedenéh lze dvdit, že dzrvý rgán bude své kmpetence při vymáhání uplatňvání GDPR prvádět bdbným způsbem, jak stávající Úřad pr chranu sbních údajů, tj.: na základě plánu kntrlní činnsti, a Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 14

na základě pdání pdnětu. Zda bude MGO zahrnut d plánu kntrlní činnsti dzrvéh úřadu na rk 2018 či dále nelze predikvat, stejně tak nelze vylučit kntrlu dzrvým úřadem na základě pdnětu pdanéh například nespkjeným klientem neb zaměstnancem. Upřesnění výše uvedenéh je předmětem adaptačníh zákna, který má nahradit stávající zákn chraně sbních údajů. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 15

4. VÝSLEDKY GAP ANALÝZY Tat kapitla bsahuje výsledky srvnávací analýzy. Obsahuje zjištění identifikvaná prvnáním sučasnéh stavu chrany sbních údajů a pžadavků GDPR v rámci činnsti Matičníh gymnázia, Ostrava, příspěvkvá rganizace, Dr. Šmerala 25, Ostrava 7028 04. 4.1 ZÁKLADNÍ PŘEHLED IDENTIFIKOVANÝCH ZPRACOVÁNÍ V rámci interní kmplexní analýzy suladu pžadavků GDPR s aktuálním systémem nakládání s OÚ na MGO, byly identifikvány tyt zákny a vyhláškami vymezené administrativní perace zpracvání sbních údajů. Ty jsme pr přehlednst rzdělily d tzv. Základníh přehledu identifikvaných zpracvání: Obrázek čísl 1 Základní přehled identifikvaných zpracvání p. č. značení identifikvané zpracvání 1 4.2.1 Správní řízení 2 4.2.2 Maturitní zkušky 3 4.2.3 Šklní matrika a vzdělávání 4 4.2.4 Agenda výchvnéh pradce a šklníh metdika prevence 5 4.2.5 Šklní akce a zájezdy 6 4.2.6 Prjektvá činnst 7 4.2.7 Pjistné událsti a úrazy 8 4.2.8 Persnální a platvá agenda 9 4.2.9 Inventarizace 10 4.2.10 Příprava a uzavírání smluvních vztahů 4.2 IDENTIFIKOVANÁ ZPRACOVÁNÍ 4.2.1 SPRÁVNÍ ŘÍZENÍ Rzhdnutí ředitele škly (přijímací řízení, přestupy žáků, přerušení studia, pakvání rčníku), evidence a zpracvání žádstí a spisů, kmunikace s účastníky řízení a jejich zástupci, dtčenými sbami a rgány, dručvání dkumentů, vedení řízení ústních jednání, realizace prcesních úknů, vydání správních rzhdnutí, zalžení spisů. 4.2.1.1 ROLE Z HLEDISKA ZPRACOVÁNÍ Škla je v tmt zpracvání v pzici správce. Žádný další subjekt nebyl identifkván v pzici zpracvatele. 4.2.1.2 ÚČEL ZPRACOVÁNÍ Evidence a vydávání rzhdnutí na základě plnění právní pvinnsti. 4.2.1.3 KATEGORIE SUBJEKTŮ ÚDAJŮ A ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ: kategrie subjektů údajů: Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 16

klienti / zákazníci Jiné sby: zmcněnci, rdinní příslušníci, zájemci vzdělání, žadatelé / stěžvatelé kategrie sbních údajů: jmén příjmení titul rdné čísl datum narzení míst narzení vzdělání email telefn adresa pdpis 4.2.1.4 PRÁVNÍ ZÁKLAD, ROZSAH A SYSTEMATIČNOST ZPRACOVÁNÍ V tmt scénáři zpracvání sbních údajů je právním základem plnění právní pvinnsti. Rzsah zpracvávaných údajů se phybuje v řádu cca 500 rčně a nejedná se systematické zpracvání. Rzsah sbních údajů je přiměřený k účelu jejich zpracvání. 4.2.1.5 CHARAKTER OSOBNÍCH ÚDAJŮ A INFORMAČNÍ POVINNOST Uvedený scénář zpracvání sbních údajů bsahuje zvláštní kategrii sbních údajů: Rasvý / etnický půvd Zdravtní stav Při právním základu pstaveném na plnění právní pvinnsti nemusí tmt zpracvání subjekt údajů infrmvat, není třeba udělení suhlasu se zpracváním. Dle našeh názru v tmt scénáři škla plní své infrmační pvinnsti v suladu s GDPR. 4.2.1.6 POUŽITÁ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, TECHNIKY ZPRACOVÁNÍ A ULOŽENÍ ÚDAJŮ Užitá technická patření: Pseudnymizace není pužita; Generalizace není pužita; Annymizace není pužita; Šifrvání není pužit; Obnva dstupnsti je zavedena; Pravidelná testvání jsu prváděna. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 17

Užité techniky zpracvání: Prfilvání není pužit; Odvzvání není pužit. Ulžení sbních údajů týkajících se tht zpracvání je v: Listinné pdbě jak pmcná evidence Pmcných kancelářských aplikacích: wrd, excel Infrmačním systému v aplikacích: BAKALÁŘI, E-spis LITE ICZ, CZVV. 4.2.1.7 DOBA ZPRACOVÁNÍ JAK DLOUHO, ZÁLOHOVÁNÍ, VÝMAZ PO UPLYNUTÍ ÚČELU Dba zpracvání 5 10 let pdle dílčíh scénáře v suladu se spisvým a skartačním řádem. Dle našeh názru nastavení dby uchvání údajů dpvídá pžadavkům stanvených GDPR. 4.2.1.8 INTERNÍ ODPOVĚDNOST A VAZBY Za tent scénář zpracvání sbních údajů dpvídá ředitel škly. Předlžená identifikace dkladuje, že sbní data jsu sdílena s statními pracvníky škly, a t v suladu s rganizačním řádem MGO. 4.2.1.9 ŘÍZENÍ INCIDENTU, HLÁŠENÍ Dle prvedené analýzy aktuálníh stavu jsu případné incidenty řešeny a je stanven prces krekce případnéh prušení zabezpečení údajů. 4.2.1.10 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ BEZ OHLEDU NA PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ prava, přístup, mezení MSK (zřizvatel MGO) má tyt prcesy zavedeny a dkáže pskytnut přístup neb pravu údajů individuálně na základě žádsti v rzsahu změny údajů v infrmačním systému. 4.2.1.11 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ DLE PRÁVNÍHO ZÁKLADU VÝMAZ, NÁMITKY, PŘENOSITELNOST V rámci tht scénáře nemhu být práva výmazu, námitky a přensitelnsti uplatněna, prtže se jedná plnění právní pvinnsti ze strany správce. Práv na výmaz je implementván autmaticky v rámci nastavení dby zpracvání, případným žádstem výmaz by tak měl být vyhvěn puze vydáním ptvrzení tm, že MSK již údaje vymazal (nezpracvává) v rámci autmatických prcesů. 4.2.1.12 OPERACE PROVÁDĚNÉ NAD ÚDAJI Uchvávání Validace, kntrla Pužívání Předávání Nahlížení Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 18

4.2.1.13 POSKYTOVÁNÍ ÚDAJŮ TŘETÍM OSOBÁM SPOLEČNÍ SPRÁVCI, DŮVĚRYHODNOST ZPRACOVATELŮ, ZPRACOVATELSKÁ SMLOUVA Pr zajištění všech administrativních perací jsu vybrané údaje pskytvány třetím sbám na základě právní pvinnsti. 4.2.1.14 PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ Údaje nejsu předávány d třetích zemí. 4.2.1.15 SEZNAM NESHOD S GDPR Zpracvání sbních údajů je v suladu s nařízením GDPR. 4.2.1.16 ANALÝZA RIZIK dpad hrzba zranitelnst hdncení rizika náhdné neb prtiprávní zničení údajů 2 1 1 nízké ztráta údajů 2 1 1 nízké pzměňvání údajů 1 1 1 nízké neprávněné zpřístupnění předávaných údajů 1 1 1 nízké neprávněné zpřístupnění ulžených údajů 1 1 1 nízké neprávněné zpřístupnění jinak zpracvávaných údajů 1 1 1 nízké neprávněný přístup k údajům 1 1 1 nízké 4.2.2 MATURITNÍ ZKOUŠKY Údaje z přihlášek k maturitě předávané CVVZ, zpracvání maturitní dkumentace - seznamy žáků, rzpisy, prtkly, kmunikace, výkn zkušky, seznámení s výsledkem, zpracvání žádstí přezkumání, sučinnst s nadřízenými rgány. 4.2.2.1 ROLE Z HLEDISKA ZPRACOVÁNÍ Škla je v tmt zpracvání v pzici správce. V rli zpracvatele byl identifikván externí subjekt CVVZ. 4.2.2.2 ÚČEL ZPRACOVÁNÍ Evidence a administrativa maturitních zkušek, archivace výsledků MZ. 4.2.2.3 KATEGORIE SUBJEKTŮ ÚDAJŮ A ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ: kategrie subjektů údajů: klienti / zákazníci jiné sby: zmcněnci, žadatelé, stěžvatelé kategrie sbních údajů: titul jmén příjmení datum narzení míst narzení Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 19

rdné čísl vzdělání email telefn adresa pdpis 4.2.2.4 PRÁVNÍ ZÁKLAD, ROZSAH A SYSTEMATIČNOST ZPRACOVÁNÍ V tmt scénáři zpracvání sbních údajů je právním základem plnění právní pvinnsti. Rzsah zpracvání je cca 150 rčně. Jedná se zpracvání systematické. 4.2.2.5 CHARAKTER OSOBNÍCH ÚDAJŮ A INFORMAČNÍ POVINNOST Uvedený scénář zpracvání sbních údajů bsahuje zvláštní kategrii sbních údajů zdravtní stav. Zpracvání je nezbytné z důvdu významnéh veřejnéh zájmu na základě práva Unie neb členskéh státu. Při právním základu pstaveném na plnění právní pvinnsti nemusí tmt zpracvání subjekt údajů infrmvat, není třeba udělení suhlasu se zpracváním. Dle našeh názru v tmt scénáři škla plní své infrmační pvinnsti v suladu s GDPR. 4.2.2.6 POUŽITÁ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, TECHNIKY ZPRACOVÁNÍ A ULOŽENÍ ÚDAJŮ Užitá technická patření: Pseudnymizace není pužita; Generalizace není pužita; Annymizace není pužita; Šifrvání není pužit; Obnva dstupnsti je zavedena; Pravidelná testvání jsu prváděna. Užité techniky zpracvání: Prfilvání není pužit; Odvzvání není pužit. Ulžení sbních údajů týkajících se tht zpracvání je v: Listinné pdbě V pmcných kancelářských aplikacích V aplikacích E-spis LITE ICZ, BAKALÁŘI, CZVV - aplikace pr maturitní zkušky. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 20

4.2.2.7 DOBA ZPRACOVÁNÍ JAK DLOUHO, ZÁLOHOVÁNÍ, VÝMAZ PO UPLYNUTÍ ÚČELU Dba zpracvání je stanvena na 45 let v suladu se Spisvým a skartačním řádem. Dle našeh názru nastavení dby uchvání údajů dpvídá pžadavkům stanvených GDPR. 4.2.2.8 INTERNÍ ODPOVĚDNOST A VAZBY Za tent scénář zpracvání sbních údajů dpvídá ředitel škly. Předlžená identifikace dkladuje, že jsu sbní údaje sdíleny s statními pracvníky škly. 4.2.2.9 ŘÍZENÍ INCIDENTU, HLÁŠENÍ Dle prvedené identifikace v tmt scénáři zpracvání jsu incidenty řízeny a je stanven prces eskalace případnéh prušení zabezpečení údajů. 4.2.2.10 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ BEZ OHLEDU NA PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ prava, přístup, mezení Škla má tyt prcesy zavedeny a dkáže pskytnut přístup neb pravu údajů individuálně na základě žádsti v rzsahu změny údajů v infrmačním systému. 4.2.2.11 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ DLE PRÁVNÍHO ZÁKLADU VÝMAZ, NÁMITKY, PŘENOSITELNOST V rámci tht scénáře nemhu být práva výmazu, námitky a přensitelnsti uplatněna, prtže se jedná plnění právní pvinnsti. Práv na výmaz by měl být implementván autmaticky v rámci nastavení dby zpracvání, případným žádstem výmaz by tak měl být vyhvěn puze vydáním ptvrzení tm, že škla již údaje vymazal (nezpracvává) v rámci autmatických prcesů. 4.2.2.12 OPERACE PROVÁDĚNÉ NAD ÚDAJI Uchvávání Validace Pužívání Předávání Nahlížení 4.2.2.13 POSKYTOVÁNÍ ÚDAJŮ TŘETÍM OSOBÁM SPOLEČNÍ SPRÁVCI, DŮVĚRYHODNOST ZPRACOVATELŮ, ZPRACOVATELSKÁ SMLOUVA V tmt scénáři sbní údaje jsu pskytvány třetím sbám - CVVZ. 4.2.2.14 PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ Údaje nejsu pdle výsledků mapvání předávány d třetích zemí. 4.2.2.15 SEZNAM NESHOD S GDPR Zpracvání sbních údajů je v suladu s nařízením GDPR. 4.2.2.16 ANALÝZA RIZIK Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 21

dpad hrzba zranitelnst hdncení rizika náhdné neb prtiprávní zničení údajů 1 1 2 nízké ztráta údajů 1 1 2 nízké pzměňvání údajů 1 1 2 nízké neprávněné zpřístupnění předávaných údajů 1 1 2 nízké neprávněné zpřístupnění ulžených údajů 1 1 2 nízké neprávněné zpřístupnění jinak zpracvávaných údajů 1 1 2 nízké neprávněný přístup k údajům 1 1 2 nízké 4.2.3 ŠKOLNÍ MATRIKA A VZDĚLÁVÁNÍ Šklní matrika, evidence údajů žácích, zpracvání katalgů, studijních výkazů a třídních knih, agenda třídních učitelů. 4.2.3.1 ROLE Z HLEDISKA ZPRACOVÁNÍ Škla je v tmt zpracvání v pzici správce. V rli zpracvatele byly identifikvány externí subjekty: BAKALÁŘI MSK v rli zřizvatele 4.2.3.2 ÚČEL ZPRACOVÁNÍ Evidence a administrativa údajů vzdělávání. 4.2.3.3 KATEGORIE SUBJEKTŮ ÚDAJŮ A ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ: kategrie subjektů údajů: zaměstnanci klienti / zákazníci jiné sby: zmcněnci, rdinní příslušníci, žadatelé, stěžvatelé kategrie sbních údajů: titul jmén příjmení datum narzení míst narzení rdné čísl vzdělání email telefn adresa pdpis Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 22

4.2.3.4 PRÁVNÍ ZÁKLAD, ROZSAH A SYSTEMATIČNOST ZPRACOVÁNÍ V tmt scénáři zpracvání sbních údajů je právním základem plnění právní pvinnsti. Rzsah zpracvání je cca stvky měsíčně. Jedná se zpracvání systematické. 4.2.3.5 CHARAKTER OSOBNÍCH ÚDAJŮ A INFORMAČNÍ POVINNOST Uvedený scénář zpracvání sbních údajů bsahuje zvláštní kategrii sbních údajů : Rasvý / etnický půvd Zdravtní stav Zpracvání je nezbytné z důvdu významnéh veřejnéh zájmu na základě práva Unie neb členskéh státu. Při právním základu pstaveném na plnění právní pvinnsti nemusí tmt zpracvání subjekt údajů infrmvat, není třeba udělení suhlasu se zpracváním. Dle našeh názru v tmt scénáři škla plní své infrmační pvinnsti v suladu s GDPR. 4.2.3.6 POUŽITÁ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, TECHNIKY ZPRACOVÁNÍ A ULOŽENÍ ÚDAJŮ Užitá technická patření: Pseudnymizace není pužita; Generalizace není pužita; Annymizace není pužita; Šifrvání není pužit; Obnva dstupnsti je zavedena; Pravidelná testvání jsu prváděna. Užité techniky zpracvání: Prfilvání není pužit; Odvzvání není pužit. Ulžení sbních údajů týkajících se tht zpracvání je v: Listinné pdbě V pmcných kancelářských aplikacích V aplikacích E-spis LITE ICZ, BAKALÁŘI, CZVV - aplikace pr přijímací řízení. 4.2.3.7 DOBA ZPRACOVÁNÍ JAK DLOUHO, ZÁLOHOVÁNÍ, VÝMAZ PO UPLYNUTÍ ÚČELU Dba zpracvání je stanvena na 5-40 let pdle typu agendy v suladu se Spisvým a skartačním řádem. Dle našeh názru nastavení dby uchvání údajů dpvídá pžadavkům stanvených GDPR. 4.2.3.8 INTERNÍ ODPOVĚDNOST A VAZBY Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 23

Za tent scénář zpracvání sbních údajů dpvídá ředitel škly. Předlžená identifikace dkladuje, že jsu sbní údaje sdíleny s statními pracvníky škly. 4.2.3.9 ŘÍZENÍ INCIDENTU, HLÁŠENÍ Dle prvedené identifikace v tmt scénáři zpracvání jsu incidenty řízeny a je stanven prces eskalace případnéh prušení zabezpečení údajů. 4.2.3.10 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ BEZ OHLEDU NA PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ prava, přístup, mezení Škla má tyt prcesy zavedeny a dkáže pskytnut přístup neb pravu údajů individuálně na základě žádsti v rzsahu změny údajů v infrmačním systému. 4.2.3.11 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ DLE PRÁVNÍHO ZÁKLADU VÝMAZ, NÁMITKY, PŘENOSITELNOST V rámci tht scénáře nemhu být práva výmazu, námitky a přensitelnsti uplatněna, prtže se jedná plnění právní pvinnsti. Práv na výmaz by měl být implementván autmaticky v rámci nastavení dby zpracvání, případným žádstem výmaz by tak měl být vyhvěn puze vydáním ptvrzení tm, že škla již údaje vymazal (nezpracvává) v rámci autmatických prcesů. 4.2.3.12 OPERACE PROVÁDĚNÉ NAD ÚDAJI Uchvávání Validace Pužívání Předávání Nahlížení 4.2.3.13 POSKYTOVÁNÍ ÚDAJŮ TŘETÍM OSOBÁM SPOLEČNÍ SPRÁVCI, DŮVĚRYHODNOST ZPRACOVATELŮ, ZPRACOVATELSKÁ SMLOUVA V tmt scénáři sbní údaje jsu pskytvány třetím sbám CZVV. 4.2.3.14 PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ Údaje nejsu pdle výsledků mapvání předávány d třetích zemí. 4.2.3.15 SEZNAM NESHOD S GDPR Zpracvání sbních údajů je v suladu s nařízením GDPR. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 24

4.2.3.16 ANALÝZA RIZIK dpad hrzba zranitelnst hdncení rizika náhdné neb prtiprávní zničení údajů 1 1 2 nízké ztráta údajů 1 1 2 nízké pzměňvání údajů 1 1 2 nízké neprávněné zpřístupnění předávaných údajů 1 1 2 nízké neprávněné zpřístupnění ulžených údajů 1 1 2 nízké neprávněné zpřístupnění jinak zpracvávaných údajů 1 1 2 nízké neprávněný přístup k údajům 1 1 2 nízké 4.2.4 AGENDA VÝCHOVNÉHO PORADCE A ŠKOLNÍHO METODIKA PREVENCE Jednání s žáky a rdiči, pedaggy, řešení kázeňských prblémů, prevence rizik, chvání, zpracvání metdik, plánů pedaggické pdpry, splupráce, zpracvání individuálních studijních plánů. 4.2.4.1 ROLE Z HLEDISKA ZPRACOVÁNÍ Škla je v tmt zpracvání v pzici správce. V rli zpracvatele byl dentifikván externí subjekt BAKALÁŘI. 4.2.4.2 ÚČEL ZPRACOVÁNÍ Evidence a zpracvání údajů v blasti šklních činnstí. 4.2.4.3 KATEGORIE SUBJEKTŮ ÚDAJŮ A ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ: kategrie subjektů údajů: klienti / zákazníci jiné sby: zmcněnci, rdinní příslušníci, žadatelé, stěžvatelé kategrie sbních údajů: titul jmén příjmení datum narzení email telefn adresa 4.2.4.4 PRÁVNÍ ZÁKLAD, ROZSAH A SYSTEMATIČNOST ZPRACOVÁNÍ V tmt scénáři zpracvání sbních údajů je právním základem plnění právní pvinnsti. Rzsah zpracvání je cca 20 měsíčně. Jedná se zpracvání systematické. 4.2.4.5 CHARAKTER OSOBNÍCH ÚDAJŮ A INFORMAČNÍ POVINNOST Uvedený scénář zpracvání sbních údajů bsahuje zvláštní kategrii sbních údajů: Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 25

zdravtní stav. Zpracvání je nezbytné z důvdu významnéh veřejnéh zájmu na základě práva Unie neb členskéh státu. Při právním základu pstaveném na plnění právní pvinnsti nemusí tmt zpracvání subjekt údajů infrmvat, není třeba udělení suhlasu se zpracváním. Dle našeh názru v tmt scénáři škla plní své infrmační pvinnsti v suladu s GDPR. 4.2.4.6 POUŽITÁ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, TECHNIKY ZPRACOVÁNÍ A ULOŽENÍ ÚDAJŮ Užitá technická patření: Pseudnymizace je pužita; Generalizace jepužita; Annymizace není pužita; Šifrvání není pužit; Obnva dstupnsti je zavedena; Pravidelná testvání jsu prváděna. Užité techniky zpracvání: Prfilvání není pužit; Odvzvání není pužit. Ulžení sbních údajů týkajících se tht zpracvání je v: Listinné pdbě V pmcných kancelářských aplikacích V aplikacích E-spis LITE ICZ, BAKALÁŘI. 4.2.4.7 DOBA ZPRACOVÁNÍ JAK DLOUHO, ZÁLOHOVÁNÍ, VÝMAZ PO UPLYNUTÍ ÚČELU Dba zpracvání je stanvena p dbu 5-10 let v suladu se Spisvým a skartačním řádem. Dle našeh názru nastavení dby uchvání údajů dpvídá pžadavkům stanvených GDPR. 4.2.4.8 INTERNÍ ODPOVĚDNOST A VAZBY Za tent scénář zpracvání sbních údajů dpvídá ředitel škly. Předlžená identifikace dkladuje, že jsu sbní údaje sdíleny s statními pracvníky škly. 4.2.4.9 ŘÍZENÍ INCIDENTU, HLÁŠENÍ Dle prvedené identifikace v tmt scénáři zpracvání jsu incidenty řízeny a je stanven prces eskalace případnéh prušení zabezpečení údajů. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 26

4.2.4.10 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ BEZ OHLEDU NA PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ prava, přístup, mezení Škla má tyt prcesy zavedeny a dkáže pskytnut přístup neb pravu údajů individuálně na základě žádsti v rzsahu změny údajů v infrmačním systému. 4.2.4.11 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ DLE PRÁVNÍHO ZÁKLADU VÝMAZ, NÁMITKY, PŘENOSITELNOST V rámci tht scénáře nemhu být práva výmazu, námitky a přensitelnsti uplatněna, prtže se jedná plnění právní pvinnsti. Práv na výmaz by měl být implementván autmaticky v rámci nastavení dby zpracvání, případným žádstem výmaz by tak měl být vyhvěn puze vydáním ptvrzení tm, že škla již údaje vymazal (nezpracvává) v rámci autmatických prcesů. 4.2.4.12 OPERACE PROVÁDĚNÉ NAD ÚDAJI Sběr Uchvávání Validace Pužívání Předávání Nahlížení 4.2.4.13 POSKYTOVÁNÍ ÚDAJŮ TŘETÍM OSOBÁM SPOLEČNÍ SPRÁVCI, DŮVĚRYHODNOST ZPRACOVATELŮ, ZPRACOVATELSKÁ SMLOUVA V tmt scénáři sbní údaje jsu pskytvány třetím sbám. 4.2.4.14 PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ Údaje nejsu pdle výsledků mapvání předávány d třetích zemí. 4.2.4.15 SEZNAM NESHOD S GDPR Zpracvání sbních údajů je v suladu s nařízením GDPR. 4.2.4.16 ANALÝZA RIZIK dpad hrzba zranitelnst hdncení rizika náhdné neb prtiprávní zničení údajů 1 1 2 nízké ztráta údajů 1 1 2 nízké pzměňvání údajů 1 1 2 nízké neprávněné zpřístupnění předávaných údajů 1 1 2 nízké neprávněné zpřístupnění ulžených údajů 1 1 2 nízké neprávněné zpřístupnění jinak zpracvávaných údajů 1 1 2 nízké neprávněný přístup k údajům 1 1 2 nízké Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 27

4.2.5 ŠKOLNÍ AKCE A ZÁJEZDY Zpracvání seznamu účastníků šklní akce, zveřejňvání výsledků a umísťvání sutěžících, stanvení pdmínek akce, pučení BOZP, kntakty na rdiče, kmunikace, uzavírání pjištění, rganizace sutěží a akcí. 4.2.5.1 ROLE Z HLEDISKA ZPRACOVÁNÍ Škla je v tmt zpracvání v pzici správce. Účel zpracvání Evidence a zpracvání údajů v blasti šklních činnstí. 4.2.5.2 KATEGORIE SUBJEKTŮ ÚDAJŮ A ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ: kategrie subjektů údajů: zaměstnanci klienti / zákazníci jiné sby: zmcněnci, rdinní příslušníci, žadatelé, stěžvatelé kategrie sbních údajů: titul jmén příjmení datum narzení email telefn adresa pdpis adresa škly bankvní spjení umístění v sutěži 4.2.5.3 PRÁVNÍ ZÁKLAD, ROZSAH A SYSTEMATIČNOST ZPRACOVÁNÍ V tmt scénáři zpracvání sbních údajů je právním základem plnění právní pvinnsti. Rzsah zpracvání je cca 1 000 rčně. Jedná se zpracvání systematické. 4.2.5.4 CHARAKTER OSOBNÍCH ÚDAJŮ A INFORMAČNÍ POVINNOST Uvedený scénář zpracvání sbních údajů bsahuje zvláštní kategrii sbních údajů zdravtní stav. Zpracvání je nezbytné z důvdu významnéh veřejnéh zájmu na základě práva Unie neb členskéh státu. Při právním základu pstaveném na plnění právní pvinnsti nemusí tmt zpracvání subjekt údajů infrmvat, není třeba udělení suhlasu se zpracváním. Dle našeh názru v tmt scénáři škla plní své infrmační pvinnsti v suladu s GDPR. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 28

4.2.5.5 POUŽITÁ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, TECHNIKY ZPRACOVÁNÍ A ULOŽENÍ ÚDAJŮ Užitá technická patření: Pseudnymizace není pužita; Generalizace není pužita; Annymizace není pužita; Šifrvání není pužit; Obnva dstupnsti je zavedena; Pravidelná testvání jsu prváděna. Užité techniky zpracvání: Prfilvání není pužit; Odvzvání není pužit. Ulžení sbních údajů týkajících se tht zpracvání je v: Listinné pdbě V pmcných kancelářských aplikacích V aplikacích E-spis LITE ICZ, BAKALÁŘI. 4.2.5.6 DOBA ZPRACOVÁNÍ JAK DLOUHO, ZÁLOHOVÁNÍ, VÝMAZ PO UPLYNUTÍ ÚČELU Dba zpracvání je stanvena p dbu knání akce + 5 let v suladu se Spisvým a skartačním řádem. Dle našeh názru nastavení dby uchvání údajů dpvídá pžadavkům stanvených GDPR. 4.2.5.7 INTERNÍ ODPOVĚDNOST A VAZBY Za tent scénář zpracvání sbních údajů dpvídá ředitel škly. Předlžená identifikace dkladuje, že jsu sbní údaje sdíleny s statními pracvníky škly. 4.2.5.8 ŘÍZENÍ INCIDENTU, HLÁŠENÍ Dle prvedené identifikace v tmt scénáři zpracvání jsu incidenty řízeny a je stanven prces eskalace případnéh prušení zabezpečení údajů. 4.2.5.9 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ BEZ OHLEDU NA PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ prava, přístup, mezení Škla má tyt prcesy zavedeny a dkáže pskytnut přístup neb pravu údajů individuálně na základě žádsti v rzsahu změny údajů v infrmačním systému. 4.2.5.10 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ DLE PRÁVNÍHO ZÁKLADU VÝMAZ, NÁMITKY, PŘENOSITELNOST V rámci tht scénáře nemhu být práva výmazu, námitky a přensitelnsti uplatněna, prtže se jedná plnění právní pvinnsti. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 29

Práv na výmaz by měl být implementván autmaticky v rámci nastavení dby zpracvání, případným žádstem výmaz by tak měl být vyhvěn puze vydáním ptvrzení tm, že škla již údaje vymazal (nezpracvává) v rámci autmatických prcesů. 4.2.5.11 OPERACE PROVÁDĚNÉ NAD ÚDAJI Sběr Uchvávání Validace Pužívání Předávání Nahlížení 4.2.5.12 POSKYTOVÁNÍ ÚDAJŮ TŘETÍM OSOBÁM SPOLEČNÍ SPRÁVCI, DŮVĚRYHODNOST ZPRACOVATELŮ, ZPRACOVATELSKÁ SMLOUVA V tmt scénáři sbní údaje nejsu pskytvány třetím sbám. 4.2.5.13 PŘEDÁVÁNÍ ÚDAJŮ DO TŘETÍCH ZEMÍ Údaje nejsu pdle výsledků mapvání předávány d třetích zemí. 4.2.5.14 SEZNAM NESHOD S GDPR Zpracvání sbních údajů je v suladu s nařízením GDPR. 4.2.5.15 ANALÝZA RIZIK dpad hrzba zranitelnst hdncení rizika náhdné neb prtiprávní zničení údajů 1 1 2 nízké ztráta údajů 1 1 2 nízké pzměňvání údajů 1 1 2 nízké neprávněné zpřístupnění předávaných údajů 1 1 2 nízké neprávněné zpřístupnění ulžených údajů 1 1 2 nízké neprávněné zpřístupnění jinak zpracvávaných údajů 1 1 2 nízké neprávněný přístup k údajům 1 1 2 nízké 4.2.6 PROJEKTOVÁ ČINNOST Řízení a realizace prjektů, příprava žádsti, pdkladů k uzavření smluv, kmunikace s partnery, s pskytvatelem, přizvání pdkladů pr vyúčtvání a udržitelnst prjektů, pdklady pr materiály pr rgány kraje. 4.2.6.1 ROLE Z HLEDISKA ZPRACOVÁNÍ Škla je v tmt zpracvání v pzici správce. V rli zpracvatele nebyly identifikvány žádné další subjekty. Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 30

4.2.6.2 ÚČEL ZPRACOVÁNÍ Evidence a zpracvání údajů prjektech v blasti šklních činnstí. 4.2.6.3 KATEGORIE SUBJEKTŮ ÚDAJŮ A ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ: kategrie subjektů údajů: zaměstnanci klienti / zákazníci jiné sby: ddavatelé, smluvní partneři, rdinní příslušníci, žadatelé, stěžvatelé kategrie sbních údajů: titul jmén příjmení datum narzení email adresa čísl OP / CP věk pdpis čísl bankvníh spjení 4.2.6.4 PRÁVNÍ ZÁKLAD, ROZSAH A SYSTEMATIČNOST ZPRACOVÁNÍ V tmt scénáři zpracvání sbních údajů je právním základem plnění právní pvinnsti. Rzsah zpracvání je cca 50 rčně. Jedná se zpracvání systematické. 4.2.6.5 CHARAKTER OSOBNÍCH ÚDAJŮ A INFORMAČNÍ POVINNOST Uvedený scénář zpracvání sbních údajů bsahuje zvláštní kategrii sbních údajů zdravtní stav. Zpracvání je nezbytné z důvdu významnéh veřejnéh zájmu na základě práva Unie neb členskéh státu. Při právním základu pstaveném na plnění právní pvinnsti nemusí tmt zpracvání subjekt údajů infrmvat, není třeba udělení suhlasu se zpracváním. Dle našeh názru v tmt scénáři škla plní své infrmační pvinnsti v suladu s GDPR. 4.2.6.6 POUŽITÁ TECHNICKÁ A ORGANIZAČNÍ OPATŘENÍ, TECHNIKY ZPRACOVÁNÍ A ULOŽENÍ ÚDAJŮ Užitá technická patření: Pseudnymizace není pužita; Generalizace není pužita; Annymizace není pužita; Šifrvání není pužit; Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 31

Obnva dstupnsti je zavedena; Pravidelná testvání jsu prváděna. Užité techniky zpracvání: Prfilvání není pužit; Odvzvání není pužit. Ulžení sbních údajů týkajících se tht zpracvání je v: Listinné pdbě V pmcných kancelářských aplikacích V aplikacích: E-spis LITE ICZ. 4.2.6.7 DOBA ZPRACOVÁNÍ JAK DLOUHO, ZÁLOHOVÁNÍ, VÝMAZ PO UPLYNUTÍ ÚČELU Dba zpracvání je stanvena p dbu délky trvání prjektu, jeh udržitelnsti, pdle pžadavku pskytvatele dtace v suladu se Spisvým a skartačním řádem. Dle našeh názru nastavení dby uchvání údajů dpvídá pžadavkům stanvených GDPR. 4.2.6.8 INTERNÍ ODPOVĚDNOST A VAZBY Za tent scénář zpracvání sbních údajů dpvídá ředitel škly. Předlžená identifikace dkladuje, že jsu sbní údaje sdíleny s statními pracvníky škly. 4.2.6.9 ŘÍZENÍ INCIDENTU, HLÁŠENÍ Dle prvedené identifikace v tmt scénáři zpracvání jsu incidenty řízeny a je stanven prces eskalace případnéh prušení zabezpečení údajů. 4.2.6.10 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ BEZ OHLEDU NA PRÁVNÍ ZÁKLAD ZPRACOVÁNÍ prava, přístup, mezení Škla má tyt prcesy zavedeny a dkáže pskytnut přístup neb pravu údajů individuálně na základě žádsti v rzsahu změny údajů v infrmačním systému. 4.2.6.11 PROCESY K UPLATŇOVÁNÍ PRÁV SUBJEKTŮ DLE PRÁVNÍHO ZÁKLADU VÝMAZ, NÁMITKY, PŘENOSITELNOST V rámci tht scénáře nemhu být práva výmazu, námitky a přensitelnsti uplatněna, prtže se jedná plnění právní pvinnsti. Práv na výmaz by měl být implementván autmaticky v rámci nastavení dby zpracvání, případným žádstem výmaz by tak měl být vyhvěn puze vydáním ptvrzení tm, že škla již údaje vymazal (nezpracvává) v rámci autmatických prcesů. 4.2.6.12 OPERACE PROVÁDĚNÉ NAD ÚDAJI Sběr Uchvávání Validace Matiční gymnázium, Ostrava, příspěvkvá rganizace Dr. Šmerala 25, 728 04 Ostrava 32