Směrnice Úroveň přístupu A Směrnice SŽDC č. 97 Ochrana osobních údajů Účinnost od 25. května 2018 Touto směrnicí se nahrazuje směrnice SŽDC č. 97 o ochraně osobních údajů státní organizace Správa železniční dopravní cesty, Čj. S 40686/2013 O30, vydaná dne 31. 10. 2013. Schváleno pod čj. S27339/2018-SŽDC-GŘ-O30 dne 21. května 2018 Bc. Jiří Svoboda, MBA v.r. generální ředitel
Změny proti předchozímu vydání: V novém vydání této směrnice byly mimo formálních jazykových a stylistických úprav provedeny následující obsahové a věcné změny: Dne 25. května 2018 nabývá účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů. Subjekt údajů má více práv. Vznikla nová funkce Pověřence pro ochranu osobních údajů. Správce a zpracovatel osobních údajů má nově povinnost před každým novým zpracováním osobních údajů posoudit vliv na ochranu osobních údajů. Správce má nově za povinnost vést záznamy o činnostech zpracování osobních údajů. Byla zrušena povinnost registrace (oznámení zpracování osobních údajů) u dozorového úřadu. Směrnice SŽDC č. 97 Ochrana osobních údajů Gestorský útvar: Správa železniční dopravní cesty, státní organizace Generální ředitelství Odbor bezpečnosti a krizového řízení Praha www.szdc.cz Rok vydání: 2018 Náklad: vydáno pouze v elektronické podobě Správa železniční dopravní cesty, státní organizace, 2018 Tento dokument je duševním vlastnictvím státní organizace Správa železniční dopravní cesty, na které se vztahuje zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů. Státní organizace Správa železniční dopravní cesty je v uvedené souvislosti rovněž vykonavatelem majetkových práv. Tento dokument smí fyzická osoba použít pouze pro svou osobní potřebu, právnická osoba pro svou vlastní vnitřní potřebu. Poskytování tohoto dokumentu nebo jeho části v jakékoliv formě nebo jakýmkoliv způsobem třetí osobě je bez svolení státní organizace Správa železniční dopravní cesty zakázáno. 2
ZÁZNAMY O OPRAVÁCH A ZMĚNÁCH Držitel listinné podoby tohoto dokumentu je odpovědný za včasné a správné zapracování účinných oprav a změn a za provedení příslušného záznamu. Oprava/změna a její pořadové číslo Číslo jednací Účinnost od Opravu/změnu zapracoval 3
OBSAH Strana ROZSAH ZNALOSTí...5 ZKRATKY A ZNAČKY...6 Kapitola I Čl. 1 Úvodní ustanovení...7 Předmět úpravy...7 Čl. 2 Závaznost...7 Čl. 3 Kapitola II Vymezení základních pojmů...7 Pověřenec pro ochranu osobních údajů...8 Čl. 4 Čl. 5 Jmenování a postavení...8 Úkoly...8 Kapitola III Čl. 6 Zásady zpracování osobních údajů...9 Obecné zásady zpracování osobních údajů...9 Čl. 7 Zákonnost zpracování... 10 Čl. 8 Kapitola IV Podmínky vyjádření souhlasu... 10 Obecné povinnosti správce a zpracovatele... 11 Čl. 9 Čl. 10 Odpovědnost za soulad... 11 Posouzení vlivu na ochranu osobních údajů... 11 Čl. 11 Kapitola V Záznamy o činnostech zpracování osobních údajů... 12 Opatření k zajištění ochrany osobních údajů... 13 Čl. 12 Řízení rizik... 13 Čl. 13 Čl. 14 Oprávněná osoba a její povinnosti... 14 Fyzická bezpečnost... 14 Čl. 15 Čl. 16 IT bezpečnost... 15 Narušení zabezpečení osobních údajů... 15 Čl. 17 Čl. 18 Kontrolní činnost... 16 Školení zaměstnanců... 16 Čl. 19 Pravidelná revize a aktualizace... 16 Čl. 20 Čl. 21 Zpracovatelské vztahy... 16 Předávání osobních údajů třetím stranám... 17 Čl. 22 Kapitola VI Předávání osobních údajů do třetích zemí... 17 Výkon práv subjektu údajů... 17 Čl. 23 Čl. 24 Postup při uplatňování práv subjektu údajů... 17 Poskytování informací... 18 Čl. 25 Právo na přístup k osobním údajům... 18 Čl. 26 Čl. 27 Právo na opravu... 18 Právo na výmaz... 19 Čl. 28 Čl. 29 Právo na omezení zpracování... 19 Právo na přenositelnost... 19 Kapitola VII Archivace a likvidace osobních údajů... 20 Čl. 30 Čl. 31 Archivace... 20 Likvidace... 20 Kapitola VIII Závěrečná ustanovení... 20 Čl. 32 Zrušovací ustanovení... 20 Související dokumenty... 21 Příloha A Vzorový souhlas se zpracováním osobních údajů... 22 Příloha B Vzorové pokyny vedoucího zaměstnance k ochraně osobních údajů... 23 Příloha C Příloha D Vzor textace pro vložení do smluv se zpracovateli... 26 Vzorová žádost subjektu údajů o výkon jeho práv... 28 4
ROZSAH ZNALOSTÍ Níže uvedená tabulka stanovuje rozsah znalosti tohoto dokumentu pro pracovní zařazení (funkci) nebo činnost, přičemž: informativní znalostí se rozumí taková znalost, při které příslušný zaměstnanec má povědomí o tomto dokumentu, zná předmět jeho úpravy a při náhledu do příslušného ustanovení je schopen se podle takového ustanovení samostatně řídit nebo podle něj samostatně konat; úplnou znalostí se rozumí taková znalost, při které příslušný zaměstnanec má povědomí o tomto dokumentu, zná předmět jeho úpravy a bez náhledu do příslušného ustanovení je schopen se podle takového ustanovení samostatně řídit nebo podle něj samostatně konat; doslovnou znalostí se rozumí taková znalost, při které příslušný zaměstnanec zná text, který je v příslušném ustanovení napsán v uvozovkách kurzivou, přesně a je schopen jej bez náhledu do příslušného ustanovení samostatně reprodukovat. Není-li rozsah znalosti pro pracovní zařazení (funkci) nebo činnost stanoven, stanoví rozsah znalosti, pokud je tak třeba učinit, příslušný vedoucí zaměstnanec. Pracovní činnost nebo zařazení (funkce) Vedoucí zaměstnanci organizačních složek SŽDC zpracovávající osobní údaje, jejich zástupci, zaměstnanci zpracovávající osobní údaje Ostatní zaměstnanci Úplná: celá směrnice Znalost ustanovení Informativní: celá směrnice 5
ZKRATKY A ZNAČKY Níže uvedený seznam obsahuje zkratky a značky použité v tomto dokumentu. V seznamu se neuvádějí legislativní zkratky, zkratky a značky obecně známé, zavedené právními předpisy, uvedené v obrázcích, příkladech nebo tabulkách. DOS Dotčená organizační složka DPIA.. Posouzení vlivu na ochranu osobních údajů GDPR. Nařízení Evropského parlamentu a Rady (EU) 2016/679 OOÚ.. Ochrana osobních údajů OÚ Osobní údaj O30. Odbor bezpečnosti a krizového řízení POOÚ Pokyny vedoucího zaměstnance pro ochranu osobních údajů SŽDC. Správa železniční dopravní cesty, státní organizace 6
Státní organizace Správa železniční dopravní cesty vydává na základě Nařízení Evropského parlamentu a Rady (EU) 2016/679 tuto směrnici: KAPITOLA I ÚVODNÍ USTANOVENÍ Čl. 1 Předmět úpravy (1) Tato směrnice upravuje zpracování osobních údajů u SŽDC, státní organizace (dále jen SŽDC ) k zajištění ochrany osobních údajů v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR ). (2) Cílem této směrnice je zajistit dodržování povinností vyplývajících z GDPR u SŽDC a umožnit subjektům údajů výkon jejich práv. Čl. 2 Závaznost Dodržování této směrnice je podle stanoveného rozsahu znalostí závazné pro všechny zaměstnance SŽDC. Pro účely této směrnice se rozumí: Čl. 3 Vymezení základních pojmů osobními údaji veškeré informace o identifikované nebo identifikovatelné fyzické osobě, tj. osobě, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby); zvláštními kategoriemi osobních údajů osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby; subjektem údajů fyzická osoba, k níž se osobní údaje vztahují; zpracováním jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení; omezením zpracování označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu; správcem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; zpracovatelem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce; příjemcem fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. 7
Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; třetí stranou fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů; souhlasem subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů; porušením zabezpečení osobních údajů porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů; dozorovým úřadem nezávislý orgán veřejné moci, který je pověřen monitorováním uplatňování nařízení GDPR s cílem chránit základní práva a svobody fyzických osob v souvislosti se zpracováním jejich osobních údajů. V České republice je dozorovým úřadem Úřad pro ochranu osobních údajů; likvidací osobních údajů se rozumí fyzické zničení jejich nosiče nebo jejich vymazání; dotčenou organizační složkou každá organizační složka SŽDC, která osobní údaje zpracovává nebo k nim má přístup. KAPITOLA II POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ Čl. 4 Jmenování a postavení (1) Generální ředitel SŽDC jmenuje pověřence pro ochranu osobních údajů (dále jen Pověřenec ). (2) Pověřenec musí mít profesní kvality, zejména na základě svých odborných znalostí práva a praxe v oblasti ochrany osobních údajů. (3) Pověřenec podává zprávy přímo generálnímu řediteli. (4) Pověřenec se aktivně podílí na zajišťování náležité ochrany osobních údajů ve smyslu GDPR a zastřešuje agendu ochrany osobních údajů u SŽDC. (5) Pověřenec dává doporučení a informuje generálního ředitele o ochraně osobních údajů v kontextu GDPR a jiných národních zákonech v oblasti ochrany osobních údajů. Při poskytování poradenství a vydávání stanovisek postupuje Pověřenec dle svého nejlepšího vědomí. Při plnění svých úkolů nedostává Pověřenec žádné pokyny. (6) Všichni zaměstnanci a vedoucí zaměstnanci dotčené organizační složky (dále jen DOS ) jsou povinni umožnit Pověřenci přístup ke všem informacím o zpracování osobních údajů a poskytovat mu potřebnou součinnost. Pověřenec má následující pracovní úkoly: Čl. 5 Úkoly a) informovat SŽDC a její dodavatele o způsobu zabezpečení ochrany osobních údajů v souladu s nařízením GDPR a jinými národními zákony o ochraně osobních údajů; 8
b) informovat všechny zaměstnance o jejich povinnostech plynoucích z nařízení GDPR a z národních zákonů o ochraně osobních údajů; c) monitorovat soulad SŽDC s GDPR a národními zákony o ochraně osobních údajů; d) přispívat k vypracování, aktualizaci a údržbě všech politik, procedur a procesů SŽDC v oblasti ochrany osobních údajů; e) zajišťovat aktualizaci politik a postupů, provádění kontrol a auditu jejich účinnosti; f) monitorovat soulad činností SŽDC s právní úpravou ochrany osobních údajů a pravidelně provádět audity ochrany osobních údajů; g) podílet se na rozdělení odpovědností dalších útvarů v rámci činností zpracování osobních údajů u SŽDC; h) šířit povědomí a školit zaměstnance zabývající se operacemi zpracování osobních údajů u SŽDC tak, aby byli seznámeni s danými povinnostmi v oblasti ochrany osobních údajů; i) zastřešovat agendu vedení záznamů o činnostech zpracování osobních údajů; j) informovat a podávat doporučení při Posouzení vlivu pro ochranu osobních údajů a monitorovat výkon souladu s požadavky GDPR; k) zajišťovat komunikaci s dozorovým orgánem a působit jako kontaktní bod; l) zajišťovat komunikaci se subjekty údajů a působit jako kontaktní bod; m) vypracovat nebo dávat poradenství ohledně postupů hlášení incidentů a jejich vyšetřování; n) přispívat k procesu plánování nepřetržitého provozu činností zpracování osobních údajů a poskytovat poradenství v oblasti informační bezpečnosti; o) upozorňovat generálního ředitele SŽDC na nedostatky a na případné potencionální rizikové faktory v oblasti ochrany osobních údajů. KAPITOLA III ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Čl. 6 Obecné zásady zpracování osobních údajů Při zpracování osobních údajů u SŽDC je nezbytné dodržovat následující zásady: a) ve vztahu k subjektu údajů musí být osobní údaje zpracovávány korektně, zákonným a transparentním způsobem ( zákonnost, korektnost a transparentnost ); b) osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný ( účelové omezení ); c) zpracování musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou osobní údaje zpracovávány ( minimalizace údajů ); d) osobní údaje musí být přesné a v případě potřeby aktualizované, musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny ( přesnost ); e) osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány ( omezení uložení ); f) osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením ( integrita a důvěrnost ). 9
Čl. 7 Zákonnost zpracování Zpracování osobních údajů je zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu: a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů; b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě. Čl. 8 Podmínky vyjádření souhlasu (1) Pokud je zpracování založeno na souhlasu, musí být správce schopen doložit, že subjekt údajů udělil souhlas se zpracováním svých osobních údajů. Vzorový souhlas je uveden v příloze A. (2) Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišitelný, a je srozumitelný a snadno přístupný za použití jasných a jednoduchých jazykových prostředků. Jakákoli část tohoto prohlášení, která představuje porušení tohoto nařízení, není závazná. (3) Subjekt údajů má právo svůj souhlas kdykoli odvolat. Odvoláním souhlasu není dotčena zákonnost zpracování vycházejícího ze souhlasu, který byl dán před jeho odvoláním. Před udělením souhlasu o tom bude subjekt údajů informován. Odvolat souhlas musí být stejně snadné jako jej poskytnout. (4) Při posuzování toho, zda je souhlas svobodný, musí být důsledně zohledněna skutečnost, zda je mimo jiné plnění smlouvy, včetně poskytnutí služby, podmíněno souhlasem se zpracováním osobních údajů, které není pro plnění dané smlouvy nutné. (5) Je-li zpracování osobních údajů založeno na souhlasu dle Zákona č. 101/2000 Sb. není nutné aby subjekt údajů znovu udělil svůj souhlas, pokud je způsob udělení daného souhlasu v souladu s podmínkami GDPR, s cílem umožnit SŽDC pokračovat v tomto zpracování i po dni nabytí účinnosti GDPR. 10
KAPITOLA IV OBECNÉ POVINNOSTI SPRÁVCE A ZPRACOVATELE Čl. 9 Odpovědnost za soulad (1) Za zpracování osobních údajů v souladu s GDPR, touto směrnicí a ostatními předpisy zodpovídá vedoucí zaměstnanec DOS. (2) Přijatá opatření k zajištění ochrany osobních údajů stanoví a průběžně aktualizuje vedoucí zaměstnanec DOS v Pokynech vedoucího zaměstnance pro ochranu osobních údajů (dále jen POOÚ ) dle vzoru v příloze B této směrnice. Vedoucí zaměstnanec DOS zodpovídá za to, že s tímto pokynem byly prokazatelně seznámeny všechny osoby zpracovávající osobní údaje. (3) Zabezpečení ochrany osobních údajů pořízených prostřednictvím kamerových systémů se řídí v souladu se Směrnicí SŽDC č. 108 o postupu při užívání kamerových systémů. Čl. 10 Posouzení vlivu na ochranu osobních údajů (1) Posouzení vlivu na ochranu osobních údajů (dále jen DPIA ) musí být provedeno před samotným zpracováním osobních údajů a v případě, kdy určitý druh zpracování údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody fyzických osob, a to zejména při využití nových technologií. (2) Při provádění posouzení vlivu na ochranu osobních údajů si DOS vyžádá posudek Pověřence. (3) DPIA je nutné zejména v těchto případech: a) systematické a rozsáhlé vyhodnocování osobních aspektů týkajících se fyzických osob, které je založeno na automatizovaném zpracování, včetně profilování, a na němž se zakládají rozhodnutí, která vyvolávají ve vztahu k fyzickým osobám právní účinky nebo mají na fyzické osoby podobně závažný dopad; b) rozsáhlé zpracování zvláštních kategorií údajů (např. údajů o rasovém či etnickém původu, politických názorech či zdravotním stavu anebo biometrických údajů atd.) nebo osobních údajů týkajících se rozsudků v trestních věcech a trestných činů; c) rozsáhlé systematické monitorování veřejně přístupných prostorů. (4) DPIA obsahuje alespoň: a) systematický popis zamýšlených operací zpracování a účely zpracování, případně včetně oprávněných zájmů správce; b) posouzení nezbytnosti a přiměřenosti operací zpracování z hlediska účelů; c) posouzení rizik pro práva a svobody subjektů údajů; d) plánovaná opatření k řešení těchto rizik, včetně záruk, bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů a k doložení souladu s tímto nařízením, s přihlédnutím k právům a oprávněným zájmům subjektů údajů a dalších dotčených osob. (5) Určení obecných kritérií pro stanovení vysoké rizikovosti zpracování osobních údajů: a) provádí se ohodnocení nebo hodnocení bonity fyzických osob, včetně profilování a předpovědi; 11
b) provádí se automatické rozhodování s právním nebo obdobným významným účinkem; c) provádí se systematické monitorování, včetně monitorování veřejně přístupných prostor; d) provádí se zpracování zvláštních kategorií osobních údajů (citlivých údajů); e) provádí se zpracování velkého rozsahu; f) provádí se kombinace nebo propojování dat různých zpracování; g) provádí se zpracování údajů týkajících se zranitelných subjektů údajů; h) dochází k inovativnímu využití nebo aplikace technologických nebo organizačních řešení; i) provádí se zpracování s obtížně uplatnitelnými právy subjektů údajů - pro procesy prováděné ve veřejné oblasti, jimž se nemohou vyhnout, nebo zpracování, které má za cíl povolit, změnit nebo odmítnout přístup subjektů údajů k službě nebo uzavření smlouvy. (6) Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že operace zpracování představují vysoké riziko, které správce nemůže vhodnými opatřeními zmírnit, s ohledem na dostupné technologie a náklady na provedení, konzultuje správce prostřednictvím Pověřence dozorový úřad. Čl. 11 Záznamy o činnostech zpracování osobních údajů (1) Každý správce vede záznamy o činnostech zpracování osobních údajů, za něž odpovídá. U SŽDC vede Registr záznamů o činnostech zpracování Pověřenec v součinnosti s DOS. (2) DOS nahlásí Pověřenci každou změnu zpracování osobních údajů nebo každé nové zpracování osobních údajů. (3) Záznamy o činnostech zpracování osobních údajů obsahují následující informace: a) jméno a kontaktní údaje správce a případného společného správce a pověřence pro ochranu osobních údajů; b) účely zpracování; c) popis kategorií subjektů údajů a kategorií osobních údajů; d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích nebo mezinárodních organizacích; e) informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace; f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů; g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření. (4) Záznamy o činnostech zpracování se vedou písemně, v to počítaje i elektronickou formu. (5) Pověřenec poskytne záznamy na požádání dozorového úřadu. 12
KAPITOLA V OPATŘENÍ K ZAJIŠTĚNÍ OCHRANY OSOBNÍCH ÚDAJŮ Čl. 12 Řízení rizik (1) Revize vyhodnocení rizik je prováděna pravidelně 1 krát ročně. Revize rizik je prováděna zejména v případě výraznějších změn u SŽDC s možným dopadem na ochranu osobních údajů nebo v případě narušení zabezpečení ochrany osobních údajů. Za provedení revize odpovídá vedoucí zaměstnanec DOS. (2) Postup při vyhodnocování rizik: a) Riziko vůči právům a svobodám subjektů údajů z následujících pohledů: 1. Porušení principů přiměřenosti a nezbytnosti zpracování; 2. Porušení práv subjektů údajů; 3. Neoprávněný přístup k osobním údajům; 4. Neoprávněná změna osobních údajů; 5. Nedostupnost nebo výmaz osobních údajů. b) Možný dopad v případě realizace rizik v písm. a)., např. zpracování osobních údajů bez právního titulu může vést k zasílání nevyžádaných obchodních sdělení nebo neschopnosti zajistit výkon práva subjektu údajů a následnému způsobení hmotné či nehmotné újmy, neoprávněný přístup k citlivým osobním údajům může vést k odcizení identity apod. c) Hodnocení závažnosti dopadu: Na základě definice možných dopadů v bodě b) je určena jedna z následujících kategorií: 1. Zanedbatelné: subjekty údajů nebudou dotčeny, nebo budou dotčeny minimálně bez jakýchkoliv větších problémů, např. opětovné zadávání informací do systému, obtěžování při opětovném marketingovém sdělení; 2. Omezené: subjekty údajů se mohou setkat s nepříjemnostmi, které budou schopny relativně snadno vyřešit, např. dodatečné náklady, popření přístupu k obchodním službám, strach, nedostatek porozumění, stres atd.; 3. Významné: událost může mít významný důsledek pro subjekty údajů. Tyto důsledky by subjekty měly být schopné překonat, ačkoliv s vážnými obtížemi, např. zneužití finančních prostředků, škody na majetku, ztráta zaměstnaní, zhoršení zdravotního stavu atd.; 4. Vysoké: událost může mít vysoké nebo nezvratné důsledky pro subjekty údajů, které nemusí být schopny subjekty překonat, např. finanční potíže, značný dluh, pracovní neschopnost, dlouhodobé fyzické nebo psychické nemoci, smrt atd. d) Hodnocení pravděpodobnosti výskytu události, která může mít negativní vliv na subjekty údajů. Tato metodika uvažuje následující kategorie: 1. Zanedbatelné: v organizaci ani v odvětví se událost ještě nevyskytla, její výskyt však není vyloučený; 2. Omezené: v organizaci se událost v minulosti ještě nevyskytla, její výskyt však byl již zaznamenán v rámci odvětví; 3. Významné: v organizaci se událost v minulosti již vyskytla; 4. Vysoké: v organizaci se událost již vyskytla opakovaně. 13
e) Zavedená a plánovaná ochranná resp. nápravná opatření (3) Identifikovaná rizika na základě analýzy se vedou v následující tabulce: Tabulka vyhodnocení rizik Riziko Porušení přiměřenosti a nezbytnosti zpracování Porušení práv subjektů údajů Neoprávněný přístup k osobním údajům Neoprávněná změna osobních údajů Nedostupnost nebo výmaz osobních údajů Možný dopad Hodnocení dopadu Pravděpodobnost Ochranná a nápravná opatření (4) Vedoucí zaměstnanec DOS zašle vyhodnocenou tabulku rizik na vědomí Pověřenci. Čl. 13 Oprávněná osoba a její povinnosti (1) Vedoucí zaměstnanec DOS zajistí, aby ke zpracovávaným osobním údajům měly přístup pouze oprávněné osoby. (2) Oprávněnou osobou je osoba, která: a) se souhlasem vedoucího zaměstnance DOS zpracovává osobní údaje nebo k nim má přístup; b) je prokazatelně proškolena a seznámena s právními předpisy upravujícími zpracování osobních údajů; c) nedopustila se jednání, porušujícího právní předpisy o ochraně osobních údajů, které vedlo k pravomocnému rozhodnutí orgánu veřejné moci potvrzujícímu spáchání uvedeného protiprávního jednání touto osobou nebo k ukončení pracovněprávního či jiného smluvního vztahu s touto osobou. (3) Všechny osoby, které se podílejí na zpracování osobních údajů nebo s těmito údaji přichází do styku, jsou povinny zachovávat mlčenlivost o těchto osobních údajích a o jejich zabezpečení, přičemž povinnost mlčenlivosti se vztahuje i na období po skončení vztahu, na jehož základě se na zpracování osobních údajů tyto osoby podílí nebo s těmito osobními údaji přichází do styku. Čl. 14 Fyzická bezpečnost (1) Přijatá fyzická a technická opatření, která slouží k zajištění bezpečnosti osobních údajů, zpracuje každý vedoucí zaměstnanec DOS v POOÚ. (2) V POOÚ je potřeba se zaměřit na následující oblasti fyzické bezpečnosti: a) fyzický přístup a příjezd do objektu; b) mechanické zábranné prostředky; c) požární zabezpečení; d) elektronické zabezpečení objektu; 14
e) písemnosti a jiné nosiče osobních údajů uchovávat pouze v uzamykatelných místnostech, případně pouze v uzamykatelných skříních; f) dodržování zásady prázdného stolu a zamknuté obrazovky; g) režimová opatření (návštěvy, úklid, atd.), zákaz kouření; h) zabezpečení výpočetní techniky zpracovávající osobní údaje; i) další opatření dle uvážení vedoucího zaměstnance DOS. Čl. 15 IT bezpečnost Práva a povinnosti odpovědných osob zpracovávajících osobní údaje s využitím informačních a komunikačních technologií u SŽDC jsou definována v interním předpisu R10 Řád informatiky. Čl. 16 Narušení zabezpečení osobních údajů (1) Narušení zabezpečení osobních údajů se rozumí porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění zpracovávaných osobních údajů. (2) V případě zjištění porušení zabezpečení osobních údajů je následující postup: a) neprodleně oznámit zjištění Pověřenci, a to prostřednictvím emailové adresy gdpr@szdc.cz; b) zamezit dalšímu úniku fyzickým zamčením dokumentů nebo v případě elektronické formy zamezením přístupu nebo vypnutím IT systémů; c) případ narušení zabezpečení Pověřenec ve spolupráci s DOS posoudí a zdokumentuje co se stalo, jaké a čí osobní údaje unikly, možné následky, popis přijatých opatření s cílem vyřešit daný případ, identifikace rizika; d) Pověřenec ohlásí porušení zabezpečení dozorovému úřadu bez zbytečného odkladu a pokud možno do 72 hodin od okamžiku, kdy se o něm dozvěděl; e) oznámit porušení zabezpečení bez zbytečného odkladu subjektům údajů pokud je pravděpodobné, že daný případ bude mít za následek vysoké riziko pro práva a svobody fyzických osob. (3) Ohlášení porušení zabezpečení dozorovému úřadu musí obsahovat: a) popis povahy daného případu porušení včetně kategorií a přibližném počtu dotčených subjektů údajů a osobních údajů; b) jméno a kontaktní údaje pověřence pro ochranu osobních údajů; c) popis pravděpodobných důsledků; d) popis přijatých či navržených opatření. (4) Ohlašování porušení zabezpečení dozorovému úřadu se provede pomocí formuláře na webových stránkách dozorového úřadu. (5) O všech hlášených případech narušení zabezpečení osobních údajů vede Pověřenec evidenci. 15
Čl. 17 Kontrolní činnost (1) Vedoucí zaměstnanec DOS kontroluje jednotlivé oblasti dle záznamů o činnostech zpracování osobních údajů a zajistí kontrolu plnění povinností vyplývajících z této směrnice. O výsledku kontroly zpracuje vedoucí zaměstnanec DOS záznam, který ukládá u DOS. (2) Pověřenec provádí 1 krát ročně důkladnou kontrolu u každé DOS. (3) Při narušení zabezpečení osobních údajů provede Pověřenec mimořádnou kontrolu. (4) O provedených kontrolách dle odstavce (2) a (3) vede Pověřenec záznam. V případě nálezů kontroly probíhá konzultace, případně proškolení. (5) Kontrola ochrany osobních údajů zpracovávaných prostřednictvím kamerového systému je prováděna dle Směrnice SŽDC č. 108 o postupu při užívání kamerových systémů. Čl. 18 Školení zaměstnanců (1) Náměstci generálního ředitele, vrchní ředitel, ředitelé odborů, ředitelé organizačních jednotek a oprávněné osoby zpracovávající osobní údaje jsou povinni absolvovat školení 1 krát ročně formou e-learningu včetně přezkoušení. (2) Školení osob zpracovávající osobní údaje prostřednictvím kamerového systému je prováděno dle Směrnice SŽDC č. 108 o postupu při užívání kamerových systémů. Čl. 19 Pravidelná revize a aktualizace (1) Revize kompletnosti a přesnosti záznamů o činnostech zpracování osobních údajů je prováděna pravidelně 1 krát ročně. (2) Revize je prováděna zejména v případě výraznějších změn u SŽDC s možným dopadem na ochranu osobních údajů. (3) O provedení revize a aktualizace je vedena evidence u DOS. (4) Za revizi a aktualizaci odpovídá vedoucí zaměstnanec DOS. Čl. 20 Zpracovatelské vztahy (1) Pokud bude pro SŽDC zpracovávat osobní údaje, byť i jen z části, jiný zpracovatel, uzavře s ním DOS před zahájením zpracování smlouvu o zpracování osobních údajů. (2) Před uzavřením smlouvy o zpracování osobních údajů předloží DOS její návrh Pověřenci ke stanovisku a udělení souhlasu. Tím není dotčen schvalovací režim dokumentů v rámci SŽDC. (3) Při výběru zpracovatelů se hodnotí zejména následující faktory: a) schopnost dodavatele uzavřít a dodržovat povinnosti stanovené zpracovatelskou smlouvou; b) dostatečné zabezpečení osobních údajů; c) dobrá pověst dodavatele v rámci ochrany osobních údajů; 16
d) relevantní certifikace ochrany osobních údajů nebo ochrany informací obecně; e) další relevantní faktory ve vztahu ke konkrétnímu účelu zpracování. (4) Smlouva o zpracování osobních údajů musí mít písemnou formu. Ve smlouvě je definována odpovědnost obou subjektů. Vzor textace smlouvy se zpracovateli je uveden v příloze C této směrnice. (5) Zpracovatel je vázán smlouvou a pokyny SŽDC. Zpracovatel může užít dalších služeb subdodavatelů pouze se souhlasem SŽDC. Čl. 21 Předávání osobních údajů třetím stranám (1) Osobní údaje lze poskytnout třetím stranám po předchozím výslovném písemném souhlasu vedoucího zaměstnance DOS a jen, pokud to vyžaduje účel jejich zpracování nebo to stanoví či umožňuje obecně závazný právní předpis, nebo na základě oprávněného zájmu. (2) Každý případ poskytnutí osobních údajů třetím stranám musí být evidován u DOS. V evidenci se uvede jaké osobní údaje se předávají nebo kopírují, z jakého důvodu, v čí prospěch, na čí žádost nebo pokyn. Dále se v evidenci uvede, kdy, kým a jak byly předané osobní údaje resp. kopie osobních údajů vráceny nebo zlikvidovány. Dotčená organizační složka zajišťuje likvidaci předaných osobních údajů. (3) Dotčená organizační složka vede evidenci předávání osobních údajů třetím stranám. Souhlas vedoucího DOS s předáním osobních údajů třetí straně se uchovává dle platného Spisového řádu SŽDC. Čl. 22 Předávání osobních údajů do třetích zemí V rámci činnosti SŽDC nedochází k předávání osobních údajů do třetích zemí. Při případném předávání osobních údajů do třetích zemí musí být postupováno v souladu s GDPR. KAPITOLA VI VÝKON PRÁV SUBJEKTU ÚDAJŮ Čl. 23 Postup při uplatňování práv subjektu údajů (1) Subjekt údajů má právo na přístup ke svým osobním údajům zpracovávaných SŽDC, na jejich opravu nebo výmaz, popřípadě na omezení zpracování, na přenositelnost a právo vznést námitku proti zpracování. (2) Za účelem uplatnění svých práv se může každý subjekt údajů obrátit na Pověřence, a to prostřednictvím emailové adresy gdpr@szdc.cz, osobně nebo písemně. (3) Žádost na uplatnění práv subjektu údajů se podává dle vzoru, který je uveden v příloze D této směrnice. (4) Identita subjektu údajů musí být prokázána následujícími způsoby: a) žádost je doručena datovou schránkou; b) žádost je doručena s elektronickým podpisem; c) žádost je doručena písemně s ověřeným podpisem; 17
d) žádost je doručena osobně, totožnost je ověřena předložením platného dokladu. (5) O všech došlých žádostech subjektů údajů a jejich vyřízení je vedena evidence u Pověřence. (6) Pověřenec žádost posoudí a postoupí ji k vyřízení DOS. Po vyřízení žádosti zašle DOS odpověď Pověřenci, který zašle odpověď subjektu údajů o vyřízení jeho žádosti. (7) Po provedeném šetření vydá Pověřenec pokyn k uplatnění práva ve všech systémech vedených odborem informatiky spravovaných prostřednictvím odborného útvaru (vlastníka dat). Ředitel odboru informatiky zašle Pověřenci zpět informaci o provedení uplatnění práva subjektu údajů. (8) Žádosti se vyřizují bez zbytečného odkladu, nejpozději však do jednoho měsíce od přijetí žádosti od subjektu údajů. (9) Lhůtu k vyřízení žádosti subjektu údajů je možné v případě potřeby prodloužit o další 2 měsíce. O prodloužení lhůty vyřízení žádosti je třeba rozhodnout ve lhůtě jednoho měsíce od uplatnění práva subjektu údajů. (10) Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může SŽDC buď uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů a nebo SŽDC může odmítnout žádosti vyhovět. (11) Domnívá-li se subjekt údajů, že dochází k neoprávněnému zpracování jeho osobních údajů, může se obrátit se stížností na dozorový orgán. Čl. 24 Poskytování informací (1) Sdělení o zpracování osobních údajů pro veřejnost je uvedeno na webových stránkách www.szdc.cz a sdělení o zpracování osobních údajů pro zaměstnance je uvedeno na intranetu SŽDC. (2) Vedoucí zaměstnanec DOS zodpovídá za to, že všichni zaměstnanci byli prokazatelně seznámeni s informací o zpracování jejich osobních údajů. (3) Každý nový zaměstnanec obdrží při nástupu k SŽDC informace o zpracování jeho osobních údajů. Čl. 25 Právo na přístup k osobním údajům V případě, že o to subjekt údajů požádá, SŽDC poskytne subjektu údajů potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, umožní subjektu údajů získat přístup k těmto osobním údajům. Čl. 26 Právo na opravu V případě, že o to subjekt údajů požádá, případně se o nepřesných osobních údajích dozví SŽDC jinak, opraví SŽDC bez zbytečného odkladu nepřesné osobní údaje. V případě, kdy si to účel zpracování vyžaduje, zajistí DOS doplnění neúplných osobních údajů. 18
Čl. 27 Právo na výmaz (1) V případě, že je dán jeden z následujících důvodů, zajistí SŽDC na základě uplatnění práva subjektem údajů bez zbytečného odkladu výmaz osobních údajů: a) osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovávány; b) subjekt údajů odvolá souhlas, na jehož základě byly osobních údaje zpracovávány, a neexistuje žádný další právní důvod pro zpracování; c) subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti, která se na SŽDC vztahuje. (2) V případech a), d) a e) musí být výmaz souvisejících osobních údajů proveden bez ohledu na to, zda o to subjekt údajů požádá. Čl. 28 Právo na omezení zpracování (1) V případě, že je dán jeden z následujících důvodů, zajistí SŽDC omezení zpracování osobních údajů: a) subjekt údajů popírá přesnost osobních údajů; b) zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití; c) SŽDC již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků; d) subjekt údajů vznesl námitku proti zpracování. (2) Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze se souhlasem subjektu údajů, nebo z důvodu určení, výkonu nebo obhajoby právních nároků, z důvodu ochrany práv jiné fyzické nebo právnické osoby nebo s důvodů důležitého veřejného zájmu. (3) Subjekt údajů, který dosáhl omezení zpracování podle odstavce 1, je správcem předem upozorněn na to, že bude omezení zpracování zrušeno. Čl. 29 Právo na přenositelnost V případě, že o to subjekt údajů požádá a zároveň je zpracování založeno na souhlasu nebo smlouvě, a zároveň se zpracování provádí automatizovaně, umožní SŽDC subjektu údajů výkon práva na přenositelnost. Osobní údaje, které subjekt údajů SŽDC poskytl a které se ho týkají, poskytne SŽDC ve strukturovaném, běžně používaném a strojově čitelném formátu buď subjektu údajů nebo přímo jinému správci dle požadavku subjektu údajů. 19
KAPITOLA VII ARCHIVACE A LIKVIDACE OSOBNÍCH ÚDAJŮ Čl. 30 Archivace (1) SŽDC ukládá dokumenty obsahující osobní údaje podle věcných skupin a spisových znaků stanovených spisovým a skartačním plánem ve spisovně SŽDC v souladu se Spisovým řádem SŽDC. Čl. 31 Likvidace (1) Vedoucí zaměstnanec DOS zajistí likvidaci osobních údajů, jakmile pomine účel, pro který byly osobní údaje zpracovávány, případně na základě žádosti subjektu. (2) Při likvidaci jsou dodržovány zákonné výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském soudním řízení, trestním řízení a správním řízení. (3) Likvidace osobních údajů v elektronických databázích se provede vymazáním. (4) Likvidace dokumentů obsahujících osobní údaje je prováděna skartačním řízením v souladu se Spisovým řádem SŽDC. (5) Vedoucí zaměstnanec DOS zajistí skartaci dokumentů obsahujících osobní údaje prostřednictvím cizích právních subjektů na základě zpracovatelské smlouvy uzavřené dle přílohy C. KAPITOLA VIII ZÁVĚREČNÁ USTANOVENÍ Čl. 32 Zrušovací ustanovení (1) Touto směrnicí se zrušuje: Směrnice SŽDC č. 97 o ochraně osobních údajů vydané pod Čj. S40686/2013 O30 ze dne 31.10. 2013 20
SOUVISEJÍCÍ DOKUMENTY Mezinárodní a národní právní předpisy, technické normy Nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES Zákon č. 101/2000 Sb. o ochraně osobních údajů a o změně některých zákonů Vnitřní předpisy SŽDC R1 Organizační řád Správy železniční dopravní cesty, státní organizace SŽDC R2 Spisový řád Správy železniční dopravní cesty, státní organizace SŽDC R10 Řád informatiky Směrnice SŽDC č. 108 o postupu při užívání kamerových systémů 21
PŘÍLOHA A (INFORMATIVNÍ) VZOROVÝ SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ Tímto uděluji svůj souhlas se zpracováním těchto osobních údajů: [doplňte] společností [doplňte], IČO: [doplňte], se sídlem [doplňte] ( Správce ), za účelem [doplňte účel zpracování], a to na dobu [doplňte]. Osobní údaje bude Správce zpracovávat manuálně i automatizovaně přímo prostřednictvím svých k tomu pověřených zaměstnanců a dále prostřednictvím zpracovatelů pověřených Správcem na základě smluv o zpracování osobních údajů. Seznam subjektů/kategorií příjemců, kterým můžou být Vaše osobní údaje zpřístupněny, naleznete na [doplňte odkaz]. Poučení o právech Subjektu údajů vztahujících se k výše uvedenému souhlasu se zpracováním osobních údajů Udělení souhlasu je dobrovolné. Tento souhlas můžete kdykoli odvolat, a to pro kterýkoli z výše uvedených účelů zpracování. Odvolání souhlasu je možné provést [doplňte]. Máte právo přístupu ke svým osobním údajům zpracovávaných Správcem, jejich opravu nebo výmaz, popřípadě omezení zpracování, a právo vznést námitku proti zpracování. Dále máte právo získat od Správce osobní údaje, které se Vás týkají a jež jste Správci poskytnul/poskytla na základě tohoto souhlasu. Správce Vám na základě Vaší žádosti poskytne údaje bez zbytečného odkladu ve strukturovaném, běžně používaném a strojově čitelném formátu nebo je na Vaši žádost poskytne jinému jednoznačně určenému správci. Toto právo se nevztahuje na osobní údaje, které nejsou zpracovávány automatizovaně. Domníváte-li se, že dochází k neoprávněnému zpracování Vašich osobních údajů, můžete se obrátit se stížností na dozorový orgán, kterým je pro území České republiky Úřad pro ochranu osobních údajů (www.uoou.cz). Kontaktní údaje Správce [doplňte] V dne podpis subjektu údajů 22
PŘÍLOHA B (INFORMATIVNÍ) VZOROVÉ POKYNY VEDOUCÍHO ZAMĚSTNANCE K OCHRANĚ OSOBNÍCH ÚDAJŮ ČÁST PRVNÍ Úvodní ustanovení Tento Pokyn vedoucího zaměstnance [doplňte název organizační složky] (dále jen Pokyn ) je vydáván na základě ustanovení Směrnice SŽDC č. 97 k zajištění ochrany osobních údajů (dále jen Směrnice č. 97 ) v platném znění. Účelem tohoto Pokynu je aplikace výše uvedené směrnice do konkrétních podmínek při zpracovávání osobních údajů [doplňte název organizační složky]. Veškerá ustanovení tohoto Pokynu lze vykládat jen v souladu s Nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR ), se Směrnicí č. 97 a ostatními obecně závaznými právními předpisy. ČÁST DRUHÁ Stanovení odpovědnosti Za soulad zpracování osobních údajů s GDPR, Směrnicí č. 97 a ostatními právními předpisy zodpovídá vedoucí [doplňte název organizační složky]. ČÁST TŘETÍ Účel a místo zpracování osobních údajů 3.1 [doplňte].: 4.1 [doplňte].: ČÁST ČTVRTÁ Postup při zpracování osobních údajů ČÁST PÁTÁ Opatření k ochraně osobních údajů 5.1 Vstup do areálu je zabezpečen [příklad: čtečkou vstupních karet a videotelefonem s výstupem na vrátnici. Vstup do budovy je zabezpečen čtečkou vstupních karet. Vstup do prostoru zpracování osobních údajů je zabezpečen zámkem FAB.] 5.2 Osobní údaje jsou uloženy [příklad: na režimovém pracovišti, v uzamykatelných plechových registrech na režimovém pracovišti. V době nepřítomnosti oprávněné osoby jsou klíče od registrů uloženy v uzamčené zásuvce.] 5.3 Náhradní klíče jsou umístěny [příklad: ve skříni na sekretariátu. Náhradní klíč od sekretariátu je uložen na nepřetržitě obsazené vrátnici v zapečetěné obálce a jeho vydání podléhá režimovým opatřením.] 23
ČÁST ŠESTÁ Opatření proti neoprávněnému nebo nahodilému přístupu 6.1 Přístup do místnosti, kde jsou osobní údaje uloženy, je umožněn pouze oprávněným osobám a to pomocí přístupové karty/fyzického klíče. 6.2 Opravy, úpravy a údržba (včetně běžného úklidu resp. čištění) prostředků zpracování osobních údajů a prostoru, kde probíhá zpracování osobních údajů, prováděné nikoliv oprávněnými osobami jsou možné jen za nepřetržitého osobního dohledu oprávněné osoby. 6.3 Při každém opuštění prostoru, kde dochází ke zpracování osobních údajů jej poslední oprávněná osoba uzamkne. 6.4 Prostory, ve kterých jsou uloženy osobní údaje, jsou pod 24 hodinovým kamerovým dohledem. ČÁST SEDMÁ Opatření proti neoprávněnému zpracování a zneužití 7.1 Přístup ke zpracovávaným a zpracovaným osobním údajům je umožněn jen oprávněným osobám. 7.2 Přístup k elektronickým záznamům je umožněn jen těmto oprávněným osobám se znalostí přístupového hesla. V dotčených PC byl instalován antivirový program s vlastností logování programu, který umožňuje získat podrobné informace o aktivitách a úkonech, jež byly provedeny. 7.3 Není dovoleno nechávat osobní údaje volně k dispozici bez dohledu. Platí, že písemnosti a jiné nosiče osobních údajů je dovoleno uchovávat samostatné pouze v uzamykatelných místnostech, případně pouze v uzamykatelných skříních. 7.4 Je vyžadováno dodržování zásady prázdného stolu a zamknuté obrazovky. ČÁST OSMÁ Výkon práv subjektu údajů 8.1 Na základě požadavku Pověřence provede odpovědná osoba zpracovávající osobní údaje šetření a vyřídí žádost subjektu údajů. Informaci o vyřízení žádosti předá zpět Pověřenci. 8.2 Je-li žádost nejasná nebo neúplná, je žadatel vyzván k jejímu upřesnění nebo doplnění. Lhůta pro odpověď na žádost o informaci začne běžet až po dostatečném upřesnění nebo doplnění. ČÁST DEVÁTÁ Údržba a opravy 9.1 Vedoucí [doplňte název organizační složky] zajistí, aby osoba provádějící údržbu a opravy zařízení [doplňte název zařízení] postupovala vždy v souladu s podmínkami smlouvy, nebo objednávky o provádění servisní činnosti, zejména: postupovala podle návodů na údržbu a doporučení výrobce, udržovala zařízení v provozuschopném stavu v rozsahu a v nastavení podle projektové dokumentace, neprováděla žádné změny v nastavení zařízení bez požadavku uživatele, spolupracovala s uživatelem při podezření z porušení OOÚ, neumožňovala zásah do zařízení třetím osobám bez vědomí nebo prokazatelného pokynu uživatele, plnila povinnosti stanovené interní Směrnicí č. 97, o ochraně osobních údajů, v rozsahu vyžadovaném předmětnou údržbou nebo opravami. 24
9.2 Při poruše [doplňte název zařízení] kontaktuje obsluha prostřednictvím vedoucího [doplňte název organizační složky] dodavatele: [doplňte] ČÁST DESÁTÁ Odborná způsobilost osob Osoby pověřené obsluhou zařízení, jímž jsou zpracovávány osobní údaje, musí být poučeny o zásadách provozu zařízení: zachovat mlčenlivost o technických, organizačních a zjištěných skutečnostech souvisejících s obsluhou a dbát, aby se tyto skutečnosti nedostaly k nepovolaným osobám. Zásada mlčelivosti se nevztahuje na informační povinnost podle zvláštních zákonů, neposkytovat jakékoliv informace související s provozem sdělovacím prostředkům či jiným než k tomu oprávněným osobám. ČÁST JEDENÁCTÁ Závěrečné ustanovení 11.1 V souvislosti s výše uvedenou legislativou ukládám všem zaměstnancům zpracování a uchovávání osobních údajů v souladu s tímto Pokynem. 11.2 Pokyn nabývá účinnosti dnem zveřejnění. 25
PŘÍLOHA C (INFORMATIVNÍ) PŘEDMĚT SMLOUVY VZOR TEXTACE PRO VLOŽENÍ DO SMLUV SE ZPRACOVATELI Správce a Zpracovatel uzavřeli [doplňte] ( Hlavní smlouva ) ohledně [doplňte] ( Služby ). Zpracovatel bude zpracovávat osobní údaje pro Správce výhradně za účelem poskytování Služeb v rozsahu ujednaném podle Hlavní smlouvy ( Účel ). Smluvní strany se tímto dále dohodly, že Zpracovatel bude pro Správce zpracovávat osobní údaje výhradně za uvedeným Účelem, způsobem a na základě doložených pokynů a podmínek Správce a v souladu s nimi tak, jak vyplývají z této Smlouvy a Hlavní smlouvy. V případě jakéhokoliv rozporu mezi ustanoveními této Smlouvy a ustanoveními Hlavní smlouvy, má přednost tato Smlouva. ROZSAH ZPRACOVÁVANÝCH OSOBNÍCH ÚDAJŮ Zpracovavatel bude na základě Hlavní smlouvy zpracovávat pro Správce následující kategorie subjektů osobních údajů: [zaměstnanci Správce]; [doplňte]; (dále společně jen jako Subjekty údajů ). Zpracovavatel bude na základě Hlavní smlouvy u jednotlivých kategorií Subjektů údajů zpracovávat pro Správce následující typy osobních údajů: [identifikační a kontaktní údaje (jméno a příjmení, pohlaví, věk, datum narození, místo narození, telefonní číslo, zaměstnanecké číslo, emailová adresa, trvalý pobyt kontaktní adresa, státní občanství, titul)]; [údaje spojené s pracovním zařazením zaměstnance (pracovní smlouva, dohody o pracovní činnosti, platové výměry, pracovní zařazení, oddělení, vzdělání, praxe a certifikáty, příjem ze zaměstnání/příjem mimo zaměstnání, číslo a typ účtu, bankovní instituce)]; [doplňte]; (dále společně jen jako Osobní údaje ). Osobní údaje budou Zpracovatelem zpracovávány a ukládány na serverech umístěných [doplňte]. Pokud Zpracovatel zpracovává na základě výslovného pokynu Správce osobní údaje, které tato Smlouva v bodě 2.2 výslovně neuvádí, budou tyto nové osobní údaje zpracovávány za stejných podmínek. DOBA ZPRACOVÁNÍ Tato Smlouva je účinná ode dne jejího podpisu oběma Smluvními stranami, a to po dobu účinnosti Hlavní smlouvy a splnění všech povinností v souvislosti s ukončením zpracování dle této Smlouvy. POVINNOSTI ZPRACOVATELE Zpracovatel se zavazuje přijmout vhodná technická a organizační opatření podle Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46ES (obecné nařízení o ochraně osobních údajů) ( GDPR ), které se na něj jako na Zpracovatele vztahují a plnění těchto povinností na vyžádání doložit Správci. Zpracovatel neprodleně informuje Správce, pokud jsou podle jeho názoru určité pokyny Správce v rozporu s účinnými právními předpisy. Zpracovatel může předávat Osobní údaje do třetí země nebo mezinárodní organizaci ve smyslu GDPR pouze na základě zvláštního pokynu Správce. Je-li takovéto předání založeno na 26
povinnosti vyplývající z práva Unie nebo členského státu, které se na Správce vztahuje, informuje Zpracovatel Správce o tomto právním požadavku před předáním, ledaže by tyto právní předpisy toto informování zakazovaly z důležitých důvodů veřejného zájmu. Zpracovatel je povinen zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly zachovávat mlčenlivost ve vztahu ke všem Osobním údajům, které zpracovává na základě Smlouvy a Hlavní smlouvy, a rovněž tak o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Zpracovatel je povinen přijmout všechna opatření dle čl. 32 GDPR tak, aby byla zajištěna odpovídající bezpečnost Osobních údajů. Zpracovatel může do zpracování zapojit subdodavatele pouze na základě předchozího písemného souhlasu Správce. Zpracovatel se zavazuje s těmito subdodavateli uzavřít smlouvu zajištující dodržování práv a povinností stanovených touto Smlouvou a Hlavní smlouvu, zvláště pak povinnosti mlčenlivosti a zajištění bezpečnosti Osobních údajů a poskytnutí dostatečných záruk pro zavedení stejných technických a organizačních opatření subdodavatelem. Zpracovatel je dále povinen zohlednit povahu zpracování, být správci nápomocen prostřednictvím vhodných technických a organizačních opatření pro splnění Správcovy povinnosti reagovat na žádost o výkon práv subjektu údajů dle GDPR. Zpracovatel je povinen být Správci nápomocen při zajišťování souladu s povinnostmi podle článku 32 až 36 GDPR, a to při zohlednění povahy zpracování informací, jež má Zpracovatel k dispozici. V případech, kdy povaha věci vyžaduje informování Správce ze strany Zpracovatele, informuje Zpracovatel Správce bez zbytečného odkladu. Zpracovatel je povinen umožnit Správci a jím pověřené osobě, během běžné pracovní doby Zpracovatele, provést v sídle Zpracovatele kontrolu dodržování povinností týkajících se zpracování Osobních údajů vyplývajících z této Smlouvy, a to i po ukončení stanovené doby zpracování, tj. po ukončení této Smlouvy, a to do 3 měsíců od jejího ukončení. Po ukončení zpracování Osobních údajů podle této Smlouvy je Zpracovatel povinen poskytnout Správci všechna zařízení obsahující Osobní údaje, pokud je to možné, a vymazat všechny zpracovávané Osobní údaje ze všech svých systémů nebo databází, včetně vymazání všech záložních kopií, s výjimkou kdy uchovávání vyžadují právní předpisy, nebo k tomu dal písemný souhlas Správce. ODPOVĚDNOST ZPRACOVATELE A SMLUVNÍ POKUTA V případě, že zpracovatel zpracuje osobní údaje nad rámec vymezený Smlouvou/doloženými pokyny Správce, považuje se ve vztahu k takovému zpracování za správce. Pokud tímto zpracováním nad rámec vymezený Smlouvou/doloženými pokyny Správce vznikne Správci škoda, je Zpracovatel povinen škodu uhradit. Pokud Zpracovatel poruší jakoukoli povinnost podle ustanovení tohoto článků této Smlouvy, je Zpracovatel povinen uhradit smluvní pokutu Správci ve výši [doplňte] za každé jednotlivé porušení. Smluvní pokuta je splatná do [doplňte] dnů ode dne doručení žádosti o platbu zaslané Správcem na základě tohoto ustanovení. Zaplacením smluvní pokuty, jak je popsána v odstavci výše, není dotčeno právo Správce požadovat náhradu újmy způsobenou porušením ustanovení této Smlouvy nebo právo požadovat smluvní pokutu podle Hlavní smlouvy. 27