Změny: 1. Působnost. 2. Vymezení odpovědnosti

Podobné dokumenty
Postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Informace o zpracování osobních údajů. Úvodní informace

Informace o zpracování osobních údajů

Domov Čujkovova, Ostrava-Zábřeh, příspěvková organizace

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Osobní údaje zpracováváme na základě různých právních titulů, které můžeme rozdělit do těchto kategorií:

INFORMOVÁNÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOUVISLOSTI S OBSAZOVÁNÍM PRACOVNÍCH POZIC A ZAMĚSTNÁVÁNÍM OSOB

Informace o zpracování osobních údajů

GDPR ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro účely plnění povinností organizace dle:

Mateřská škola Ostrava, Hornická 43A, příspěvková organizace

GDPR ochrana osobních údajů

Základní škola a Mateřská škola Ostrava-Krásné Pole, Družební 336, příspěvková organizace

základním, středním, vyšším odborném a jiném vzdělávání, ve znění pozdějších předpisů (dále jen Školský zákon ) a souvisejících právních předpisů;

Níže jsou uvedeny zásady naší společnosti pro zpracování osobních údajů.

Informace o zpracování osobních údajů

Zásady ochrany osobních údajů společnosti Ostravské výstavy, a.s.

Informace o zpracování osobních údajů

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

MATEŘSKÁ ŠKOLA OSTRAVA DUBINA, F. FORMANA 13, příspěvková organizace

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Základní škola a mateřská škola Ostrava Zábřeh, Kosmonautů 13, příspěvková organizace Kosmonautů 2218/13, Ostrava - Zábřeh

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH ISPOP, SEPNO, HNVO a EnviHELP

Informace o zpracování osobních údajů. pro uživatele sociálních služeb

Informace k ochraně osobních údajů

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

Zpráva pro uživatele

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Základní umělecká škola, Krnov, Hlavní náměstí 9, příspěvková organizace, PSČ , IČO

Základní škola Ostrava Mariánské Hory, Gen. Janka 1208, příspěvková organizace, PSČ , tel

SMLOUVA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SYSTÉMECH ISPOP, SEPNO, HNVO a EnviHELP

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Informace o zpracování osobních údajů. pro zaměstnance

Obchodní Zásady GALATEA GROUP, a.s.

ŽÁDOST O POSKYTNUTÍ STIPENDIA NADAČNÍ FOND PRO PODPORU MĚSTSKÉ NEMOCNICE, A.S. VE DVOŘE KRÁLOVÉ NAD LABEM

Informace o zpracování osobních údajů. pro zaměstnance

V rámci činnosti organizace dochází ke zpracování osobních údajů především pro následující účely:

Základní škola, Ostrava-Poruba, I. Sekaniny 1804, příspěvková organizace

OBCHODNÍ ZÁSADY SiMyCo s.r.o.

Zpracování údajů je založeno na souhlasu subjektu pro následující účely:

Želešice - vodovodní řád pro zónu k podnikání

Krajský úřad Karlovarského kraje

Posuzování zdravotní způsobilosti k řízení motorových vozidel jako součásti výkonu práce

Vnitřní předpis města Náchoda pro zadávání veřejných zakázek malého rozsahu (mimo režim zákona č. 137/2006 Sb., o veřejných zakázkách)

SMĚRNICE č. 5 ŠKOLENÍ ZAMĚSTNANCŮ, ŽÁKŮ A DALŠÍCH OSOB O BEZPEČNOSTI A OCHRANĚ ZDRAVÍ PŘI PRÁCI (BOZP)

Povinně zveřejňované informace

OBCHODNÍ PODMÍNKY PRO SLUŽBU VYDÁVÁNÍ OVĚŘENÝCH VÝSTUPŮ

1. ÚVODNÍ USTANOVENÍ Čím se řídíme při nakládání s osobními údaji?

Mateřská škola speciální, Praha 8, Štíbrova 1691

Dohoda o výkonu pěstounské péče

PRAVIDLA SOUTĚŽE Tesco recepty - soutěž pro zaměstnance

1. Státní fond rozvoje bydlení (dále jen Fond ) je právnickou osobou.

Zásady zpracování a ochrany osobních údajů (pro subdodavatele a zákazníky)

HVĚZDÁRNA A PLANETÁRIUM BRNO, příspěvková organizace

ZADÁVACÍ DOKUMENTACE

UNNI Trading, s.r.o.

Veřejné zakázky v oblasti obrany nebo bezpečnosti Pohled Úřadu pro ochranu hospodářské soutěže (?)

Řád: 15/2018 Účinnost od: Číslo jednací: ZS_Curie 435/2018 Datum zpracování: Vypracoval:

PODROBNÉ PODMÍNKY OZNÁMENÍ O ZAHÁJENÍ KONCESNÍHO ŘÍZENÍ

Vydávání opisů matričních dokladů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Trvání soutěže: Soutěž trvá od okamžiku vyhlášení na sociální síti FACEBOOK dne do konce dne

Výzva K PODÁNÍ NABÍDKY A K PROKÁZÁNÍ KVALIFIKACE VE ZJEDNODUŠENÉM PODLIMITNÍM ŘÍZENÍ DLE UST. 53 ZÁKONA Č. 134/2016 SB., O ZADÁVÁNÍ VEŘEJNÝCH ZAKÁZEK

Herním prostorem se rozumí herna nebo kasino. Do těchto prostor platí zákaz vstupu osobám mladším 18 let.

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

ÚPLNÁ PRAVIDLA soutěže "Pojištění je dobrá rada"

SMLOUVA O DÍLO (dále jen "Smlouva") Smluvní strany. Ing. Jan Nehoda, místopředseda j an.nehoda@eru.cz /0710

Žádosti o informace podle zákona 106/1999 Sb. o svobodném přístupu k informacím se podávají

USNESENÍ. Č. j.: ÚOHS-S339/2012/VZ-21769/2012/523/Krk Brno 20. prosince 2012

Smlouva o obchodním zastoupení

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Shop System - Smlouva o poskytování software

Smlouva o poskytnutí péče o dítě předškolního věku

1. ÚVODNÍ USTANOVENÍ Čím se řídíme při nakládání s osobními údaji?

VFN Praha Rámcová smlouva na lakýrnické práce

Obchodní a dodací podmínky

Informace o zpracování osobních údajů 1. Úvodní informace GDPR 1. Proč Vaše osobní údaje zpracováváme? 2. Souhlas se zpracováním a jak jej odvolat

Pravidla on-line výběrových řízení ENTERaukce.net

Varování podle - použití a dopady. Adam Kučínský ředitel odbor regulace

VNITŘNÍ PRAVIDLA ODLEHČOVACÍ SLUŽBY

ŠKOLNÍ ŘÁD. Účinnost: zákonným zástupcům dětí, pracovníkům školy MŠ Holice. Mgr. Mojmír Chytil, ředitel školy

Výzva k podání nabídky na veřejnou zakázku: Právní služby a poradenství pro Regionální radu regionu soudržnosti Jihovýchod

uzavřená podle 1746 odst. 2 občanského zákoníku níže uvedeného dne, měsíce a roku mezi následujícími smluvními stranami

Provozování a využívání výpočetní techniky a počítačové sítě Vysoké školy ekonomické v Praze

Ochrana osobních údajů v e-shopu

Informace o zpracování osobních údajů 1. Úvodní informace GDPR 1. Proč Vaše osobní údaje zpracováváme? 2. Souhlas se zpracováním a jak jej odvolat

INTRANET V JVK ČESKÉ BUDĚJOVICE

VŠEOBECNÉ PODMÍNKY poskytování telekomunikačních služeb

Smlouva č. /2014 o poskytování služby sociální péče domova se zvláštním režimem. Oáza pokoje pro psychicky nemocné

ZPRÁVA PRO UŽIVATELE

ZPRÁVA PRO UŽIVATELE

Metodická příručka Omezování tranzitní nákladní dopravy

k elektronickému výběrovému řízení na úplatné postoupení pohledávek z titulu předčasně ukončených leasingových smluv

Zásady ochrany osobních údajů a souborů cookie

PROHLÁŠENÍ O OCHRANĚ OSOBNÍCH ÚDAJŮ

Narození dítěte vydávání rodných listů (prvopis)

Transkript:

Škla Matiční gymnázium, Ostrava, Dr. Šmerala 25 Směrnice k nařízení Evrpskéh parlamentu a Rady (EU) 2016/679 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES Č. j.: GMAT/1671/2018 Účinnst d: 25. 5. 2018 Spisvý znak: Skartační znak: A10 Změny: Směrnice Matičníh gymnázia, Ostrava, příspěvkvá rganizace, Dr. Šmerala 25, 728 04 Ostrava k naplnění nařízení Evrpskéh parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES (becné nařízení chraně sbních údajů) (dále jen nařízení ), které splu se záknem zpracvání sbních údajů (jehž návrh je aktuálně v legislativním prcesu) nahradí dsavadní právní úpravu, tj. zákn č. 101/2000 Sb., chraně sbních údajů a změně některých záknů, ve znění pzdějších předpisů. 1. Půsbnst 1.1 Tat směrnice upravuje pstupy škly, jejích zaměstnanců, případně dalších sb při nakládání s sbními údaji, pravidla pr získávání, shrmažďvání, ukládání, pužití, šíření a uchvávání sbních údajů. Směrnice rvněž upravuje některé pvinnsti škly, jejích zaměstnanců, případně dalších sb při nakládání s sbními údaji. Směrnice dplňuje systém směrnic platných v tét blasti na MGO. 1.2 Tat směrnice je závazná pr všechny zaměstnance škly. Směrnice je závazná i pr další sby, které mají se šklu jiný právní vztah (smluva díl, nájemní smluva) a které se zavázaly pstupvat pdle tét směrnice. 1.3 Organizace zpracvává sbní údaje na základě některéh z právních titulů, které vyjmenvává GDPR. Organizace nezpracvává sbní údaje bez právníh titulu dle předchzí věty. Organizace zpracvává sbní údaje vždy za knkrétním účelem, který nesmí být v rzpru s platnými právními předpisy, zejména s GDPR. 1.4 Organizace při zpracvávání sbních údajů může vystupvat jak: - správce sbních údajů, který určuje účel a prstředky zpracvání sbních údajů, prvádí zpracvání a dpvídá za ně, - zpracvatel sbních údajů, který zpracvává sbní údaje na základě zvláštníh zákna neb pvěření správce. 2. Vymezení dpvědnsti 2.1 Za zpracvání sbních údajů, které rganizace prvádí, dpvídá vždy ředitel rganizace. Ředitel rganizace zdpvídá za t, že zpracvání sbních údajů je prváděn v suladu s platnými právními předpisy, zejména v blastech: - plnění infrmační pvinnsti k subjektům údajů, - uplatňvání práv subjektů údajů, - zajištění technických a rganizačních patření na chranu sbních údajů, - splupráce s pvěřencem pr chranu sbních údajů. 2.2 Ředitel rganizace může pr blast chrany sbních údajů jmenvat dpvědnu sbu z řad pracvníků rganizace, která bude také zdpvídat za chranu sbních údajů, a t v rzsahu, který určí

ředitel rganizace (dále jen dpvědná sba ); dpvědnst ředitele rganizace za zpracvání sbních údajů dle tét směrnice tím není nijak dtčena. 2.3 Odpvědnu sbu dle předchzíh dstavce tht článku směrnice je zástupce ředitele PaedDr. Karel Mhelník. 2.4 Organizace je pvinna dle č. 37 a násl. jmenvat pvěřence pr chranu sbních údajů (dále jen pvěřenec ). Pvěřenec vyknává svu funkci v suladu s příslušnými ustanveními GDPR. Mravskslezský kraj jak zřizvatel rganizace pskytuje metdicku pmc v blasti chrany sbních údajů. 3. Zásady nakládání s sbními údaji 3.1 Při nakládání s sbními údaji se škla, její zaměstnanci a další sby řídí těmit zásadami: - Pstupvat při nakládání s sbními údaji v suladu s právními předpisy, - S sbními údaji nakládat uvážlivě, suhlas se zpracváním sbních údajů nenadužívat, - Zpracvávat sbní údaje ke stanvenému účelu a ve stanveném rzsahu a dbát na t, aby tyt byly pravdivé a přesné, - Zpracvávat sbní údaje v suladu se zásadu záknnsti na základě právních předpisů, při plnění ze smluvy, při plnění právní pvinnsti správce, při chraně živtně důležitých zájmů subjektu údajů neb jiné fyzické sby (zejména děti pžívají vyšší chrany), při chraně právněných zájmů škly, při chraně veřejnéh zájmu, a zpracvání sbních údajů na základě suhlasu, - Respektvat práva člvěka, který je subjektem údajů, zejména práva dát a dvlat suhlas se zpracváním, práva na výmaz, namítat rzsah zpracvání apd., - Pskytvat při zpracvání sbních údajů zvláštní chranu dětem, - Pskytvat infrmace zpracvání sbních údajů, kmunikvat, - Při uzavírání smluv a právním jednání pstupvat se zřetelem na pvinnst chránit sbní údaje před zneužitím, - Splupracvat s pvěřencem pr chranu sbních údajů. 4. Pstupy škly, jejích zaměstnanců, případně dalších sb při nakládání s sbními údaji 4.1 Škla všechny sbní údaje, se kterými nakládá a které zpracvává, chrání vhdnými a dstupnými prstředky před zneužitím. Přitm škla především uchvává sbní údaje v prstrách, na místech, v prstředí neb v systému, d kteréh má přístup mezený, předem stanvený a v každý kamžik alespň řediteli škly známý kruh sb; jiné sby mhu získat přístup k sbním údajům puze se svlením ředitele škly neb jím pvěřené sby. 4.2 Škla ddržuje takvá patření, aby nakládání a zpracvání sbních údajů byl plně v suladu s naplnění nařízení Evrpskéh parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES (becné nařízení chraně sbních údajů) 4.3 Škla alespň jednu za rk prvede zhdncení pstupů při nakládání a zpracvání sbních údajů. Kntrla hdncení bude prváděna v suladu s nařízením Evrpskéh parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů. 4.4 Každý zaměstnanec škly při nakládání s sbními údaji respektuje jejich pvahu, tedy že jde sučást sukrmí člvěka jak subjektu údajů, a tmu přizpůsbí úkny s tím spjené. Zaměstnanec zejména sbní údaje nezveřejňuje bez věření, že takvý pstup je mžný, nezpřístupňuje sbní údaje sbám, které neprkáží práv s nimi nakládat. Zaměstnanec, vyplývá-li takvá pvinnst z jiných dkumentů, infrmuje subjekt údajů jeh právech na chranu sbních údajů; jinak dkáže na ředitele škly neb jím určenu sbu neb na pvěřence pr chranu sbních údajů. 4.5 Škla při nakládání a zpracvávání sbních údajů aktivně splupracuje s pvěřencem pr chranu sbních údajů.

4.6 Škla ihned řeší každý bezpečnstní incident týkající se sbních údajů, a t v sučinnsti s pvěřencem pr chranu sbních údajů. V případě, že je pravděpdbné, že incident bude mít za následek vyské rizik pr práva a svbdy fyzických sb, především knkrétníh žáka, studenta, zaměstnance, záknnéh zástupce atd., škla tut sbu vždy infrmuje a sdělí, jaká patření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu škla infrmuje Úřad pr chranu sbních údajů. 4.7 Vzhledem k tmu, že škla eviduje jen ty údaje žácích a zaměstnancích, které stanvují právní předpisy (zejména šklský zákn a pracvněprávní předpisy), nemá znamvací pvinnst vůči Úřadu pr chranu sbních údajů pdle ustanvení 3.6 věty první. 5. Organizační patření k chraně sbních údajů ve škle 5.1 Třídní výkazy, katalgvé listy a další materiály ze šklní matriky, které bsahují sbní údaje žáků, jsu trvale ulženy v uzamykatelných skříních v kanceláři škly, a t v kanceláři ředitele neb zástupců ředitele škly či na sekretariátu škly (viz platné směrnice MGO). Třídním učitelům jsu zapůjčeny na nezbytně dluhu dbu k prvedení zápisů. Vyučující jedntlivých předmětů zapisují jen klasifikaci dle úvazku a výhradně způsbem, který zajišťuje chranu těcht údajů (viz perační systém Bakalář). Třídní výkazy, katalgvé listy, další materiály ze šklní matriky či jejich části nelze vynášet ze škly, předávat cizím sbám neb kpírvat a kpie pskytvat neprávněným sbám. 5.2 Elektrnická šklní matrika je vedena v zabezpečeném infrmačním systému Bakalář. D tht systému mají přístup jedntliví pedaggvé škly a další sby, a t v suladu s rganizační strukturu škly a jen na základě jedinečnéh přihlašvacíh jména a hesla a puze v rámci právnění danéh funkčním zařazením. Při práci s elektrnicku evidencí právnění nesmí právněné sby puštět pčítač bez dhlášení se, nemhu nechat nahlížet žádnu jinu neprávněnu sbu a musí chránit utajení přihlašvacíh hesla; a v případě nebezpečí jeh vyzrazení jej ihned (ve splupráci se správcem sítě) změnit. Přístupy nastavuje pvěřený zaměstnanec škly správce pčítačvé sítě, který nastavuje ptřebné zabezpečení dat a šklní pčítačvé sítě (dle pkynů ředitele a zástupce ředitele). Záknní zástupci žáků a žáci mají zajištěn zabezpečený dálkvý přístup výhradně k vlastním údajům klasifikaci na základě přihlašvacíh kódu a hesla přidělenéh správcem pčítačvé sítě přísně individuálně prstřednictvím třídních učitelů. 5.3 Osbní spisy zaměstnanců jsu ulženy v uzamykatelných skříních na sekretariátu MGO, přístup k nim má ředitel škly neb zástupce ředitele, zastupuje-li ředitele, případně, je-li t nutné též sekretářka škly neb mzdvá účetní. 5.4 Zaměstnanci mají práv seznámit se s bsahem svéh sbníh spisu. O tmt právu jsu zaměstnanci pučeni při vzniku zaměstnaneckéh pměru a př prjednávání všech případných změn. 5.5 Zaměstnanci škly nepskytují bez právníh důvdu žádnu frmu sbní údaje zaměstnanců škly a žáků cizím sbám a institucím, tedy ani telefnicky ani mailem ani při sbním jednání. 5.6 Písemná hdncení a psudky, která se desílají mim šklu, např. pr ptřeby sudníh řízení, přijímacíh řízení, zpracvávají zaměstnanci určení ředitelem škly. Nejsu však právněni samstatně tat hdncení pdepisvat, pskytvat a desílat jménem škly (není-li tent pstup schválen vedením škly) a mají pvinnst zachvávat mlčenlivst dané věci. 5.7 Seznamy žáků se nezveřejňují, nepskytují bez vědméh suhlasu žáků či záknných zástupců žáků jiným fyzickým či právnickým sbám neb rgánům, které neplní funkci rgánu nadřízenéh škle neb nevyplývá-li t ze zákna. 5.8 V prpagačních materiálech škly, ve výrční zprávě či rčence škly, na šklním webu či na nástěnkách ve škle apd. lze s becným suhlasem žáků neb záknných zástupců žáků uveřejňvat výhradně textvé či brazvé infrmace jejich úspěších (např. u sutěží umístění na předních místech) s uvedením jména (případně rčníku či třídy). Při publikvání v tisku se autr dtazuje na suhlas příslušnéh žáka. Žák neb záknný zástupce má práv pžadvat bezdkladné zablkvání či dstranění infrmace či ftgrafie či záznamu týkající se jeh sby, který zveřejňvat nechce. Platí t i ftgrafiích či záznamech žáka bez uvedení jména v rámci becné dkumentace šklních akcí a úspěchů. 5.9 Psychlgické, lékařské a jiné průzkumy a testvání mezi žáky, jejichž sučástí by byl uvedení sbních údajů žáka, lze prvádět jen se suhlasem žáka neb záknnéh zástupce žáka. T se netýká

annymních průzkumů, které však musí suviset se vzděláváním na dané škle a musí s nim předem písemně suhlasit ředitel či zástupce ředitele; t platí zvláště v případě, že výsledky jsu pskytvány mim šklu. 5.10 Pkud jsu pr vedení dkumentace využívány frmuláře a sftware, je nutné vždy prvést kntrlu, zda nejsu pžadvány nadbytečné údaje a tyt údaje nezpracvávat. 5.11 V budvě škly se neprvzují kamervé systémy sledující prstry pužívané žáky a zaměstnanci škly v dbě, kdy jsu žáci přítmni ve škle. 5.12 Uzavírá-li škla jakukli smluvu (nájemní smluvu, smluvu díl, smluvu pskytnutí služeb, nepjmenvanu smluvu apd.), k jejímuž plnění je zaptřebí druhé smluvní straně pskytnut sbní údaje, škla vždy a bezpdmínečně bude trvat na tm, aby ve smluvě byla druhé smluvní straně ulžena pvinnst přijmut všechna bezpečnstní, technická, rganizační a jiná patření s přihlédnutím ke stavu techniky, pvaze zpracvání, rzsahu zpracvání, kntextu zpracvání a účelům zpracvání k zabránění jakéhkli narušení pskytnutých sbních údajů, nezapjit d zpracvání žádné další sby bez předchzíh písemnéh suhlasu škly, zpracvávat sbní údaje puze pr plnění smluvy (vč. předání údajů d třetích zemí a mezinárdním rganizacím); výjimku jsu puze případy, kdy jsu určité pvinnsti ulženy přím právním předpisem, zajistit, aby se sby právněné zpracvávat sbní údaje u ddavatele byly zavázány k mlčenlivsti neb aby se na ně vztahvala záknná pvinnst mlčenlivsti, zajistit, že ddavatel bude škle bez zbytečnéh dkladu nápmcen při plnění pvinnstí škly, zejména pvinnsti reagvat na žádsti výkn práv subjektů údajů, pvinnsti hlašvat případy prušení zabezpečení sbních údajů dzrvému úřadu dle čl. 33 nařízení, pvinnsti znamvat případy prušení zabezpečení sbních údajů subjektu údajů dle čl. 34 nařízení, pvinnsti psudit vliv na chranu sbních údajů dle čl. 35 nařízení a pvinnsti prvádět předchzí knzultace dle čl. 36 nařízení, a že za tímt účelem zajistí neb přijme vhdná technická a rganizační patření, kterých ihned infrmuje šklu, p uknčení smluvy řádně nalžit se zpracvávanými sbními údaji, např. že všechny sbní údaje vymaže, neb je vrátí škle a vymaže existující kpie apd., pskytnut škle veškeré infrmace ptřebné k dlžení th, že byly splněny pvinnsti stanvené škle právními předpisy, umžnit kntrlu, audit či inspekci prváděné šklu neb příslušným rgánem dle právních předpisů, pskytnut bez zbytečnéh dkladu neb ve lhůtě, kteru stanví škla, sučinnst ptřebnu pr plnění záknných pvinnstí škly spjených s chranu sbních údajů, jejich zpracváním. Pskytnuté sbní údaje chránit v suladu s právními předpisy. 6. Pravidla pr získávání, shrmažďvání, ukládání, pužití, šíření a uchvávání sbních údajů. 6.1 Škla nakládá a zpracvává puze sbní údaje, které suvisejí s pracvním a mzdvým zařazením zaměstnanců či smluvních pracvníků, se sciálním, a zdravtním pjištěním (např. dsažené vzdělání, délka praxe, funkční zařazení apd.), suvisejí s jednznačnu identifikací záknných zástupců žáků v suladu se záknem (jmén, příjmení, bydliště, kntakt, např. telefnní čísl pr případ nutnéh kntaktu škly se záknným zástupcem v rámci chrany zdraví, bezpečnsti a práv žáka, další údaje nezbytné např. pr vydání správníh rzhdnutí apd.), suvisející s identifikací žáka ze zákna (datum narzení, míst narzení, rdné čísl, státní příslušnst, bydliště, údaj záknném zástupci, sudní rzhdnutí vztahující se k přidělení dítěte d výchvy, nutný zdravtní údaj apd.), jsu nezbytné pr plnění právní pvinnsti, chranu právněných zájmů škly neb ve veřejném zájmu, k jejichž zpracvání získala suhlas subjektu údajů. 6.2 Osbní údaje se uchvávají puze p dbu, která je nezbytná k dsažení účelu jejich zpracvání, včetně archivace a v suladu s platnu legislativu ČR. 6.3 K sbním údajům mají přístup sby k tmu právněné záknem neb na základě zákna. D jedntlivých dkumentů škly, které bsahují sbní údaje, mhu nahlížet: - d sbníh spisu zaměstnance veducí zaměstnanci, kteří jsu zaměstnanci nadřízeni. Práv nahlížet d sbníh spisu má rgán inspekce práce, úřad práce, sud, státní zástupce, příslušný rgán Plicie České republiky, Nárdní bezpečnstní úřad a zpravdajské služby. Zaměstnanec má práv nahlížet d

svéh sbníh spisu, činit si z něh výpisky a přizvat si stejnpisy dkladů v něm bsažených, a t na náklady zaměstnavatele ( 312 zákníku práce), - d údajů žáka ve šklní matrice pedaggičtí pracvníci škly (v rzsahu daném pedaggicku funkcí), sekretářka, - d údajů zdravtním stavu žáka, zpráv vyšetření ve šklním pradenském zařízení, lékařských zpráv - výchvný pradce, veducí pedaggičtí pracvníci, třídní učitel, - d spisu, vedeném ve správním řízení účastníci správníh řízení, sekretářka, veducí pedaggičtí pracvníci (ředitel, zástupce ředitele, veducí vychvatel), sba, která je zmcněna s úředním spisem pracvat p dbu řízení. 7. Suhlas k zpracvání sbních údajů 7.1 Ke zpracvání sbních údajů nad rzsah vyplývající ze záknů (ze zákna vyplývá i právněný zájem, plnění právní pvinnsti, plnění smluvy, veřejný zájem) je nezbytný suhlas sby, jejíž sbní údaje se jedná. Suhlas musí být pučený, infrmvaný a knkrétní, nejlépe v písemné pdbě. Suhlas se získává puze pr knkrétní údaje (určené např. druhvě), na knkrétní dbu a pr knkrétní účel. 7.2 Suhlas se získává pr zpracvání sbních údajů jen tehdy, pkud je jejich zpracvání nezbytně nutné a právní předpisy jiný důvd pr tt zpracvání nestanví. 7.3 Suhlas se pskytuje pdle účelu např. na celé bdbí šklní dcházky na škle, na šklní rk, na dbu škly v přírdě apd. Udělený suhlas může být v suladu s právními předpisy dvlán. 8. Pvinnsti škly, jejích zaměstnanců, případně dalších sb při nakládání s sbními údaji 8.1 Každý zaměstnanec škly je pvinen pčínat si tak, aby nehrzil chranu sbních údajů zpracvávaných šklu. 8.2 Dále je každý zaměstnanec škly pvinen zamezit nahdilému a neprávněnému přístupu k sbním údajům zaměstnanců, žáků, záknných zástupců a dalších sb, které škla zpracvává, pkud zjistí prušení chrany sbních údajů, neprávněné pužití sbních údajů, zneužití sbních neb jiné neprávněné jednání suvisející s chranu sbních údajů, bezdkladně zabránit dalšímu neprávněnému nakládání, zejména zajistit znepřístupnění, a hlásit tut skutečnst řediteli škly či jinému příslušnému zaměstnanci. 8.3 Ředitel škly je pvinen: - infrmvat zaměstnance všech významných skutečnstech, pstupech neb událstech suvisejících s nakládáním s sbními údaji ve škle, a t bez zbytečnéh dkladu, zajistit, aby zaměstnanci škly byli řádně pučeni právech a pvinnstech při chraně sbních údajů, - zajišťvat, aby zaměstnanci škly byli pdle mžnstí a ptřeb škly vzděláváni neb pršklváni chraně sbních údajů, - zajistit, aby škla byla schpna řádně dlžit plnění pvinnstí škly při chraně sbních údajů, které vyplývají z právních předpisů. 8.4 Veškeré sbní údaje, které zaměstnanec MGO zpracvává v suladu se zákny, vyhláškami a nrmami, musí být administrvány puze na technickém zařízení v majetku škly. Jakákliv frma přensitelnsti je přísně zakázána. 9. Hlášení narušení bezpečnsti sbních údajů Zjištění bezpečnstní událsti Hlášení bezpečnstní událsti neb incidentu dpvědné sbě neb pvěřenci pr chranu sbních údajů kntaktním místem pr hlášení narušení bezpečnstních údajů je sekretariát MGO neb pvěřenec MGO; vyhdncení zdrje infrmace narušení (interní, externí atd.); vyhdncení základních infrmací; rzhdnutí klasifikaci (událst neb incident).

Reakce na bezpečnstní událsti a incidenty Událst: dpvědná sba/pvěřenec pr chranu sbních údajů událst vyšetří; knfrntace událsti s histrií událstí (pakvaná neb nahdilá událst); návrh patření k nápravě; uknčení šetření událsti. Incident: svlání dpvědných sb suvisejících s řešením incidentu; pkud je mžné, tak realizace kamžité nápravy (zastavení prvzu, zablkvání práv atd.); identifikace typu sbních údajů, u kterých dšl k prušení bezpečnsti; přibližný rzsah údajů; identifikace pravděpdbnéh zdrje úniku, narušení; ppis pravděpdbných důsledků dpadů na subjekty údajů; vyhdncení rizika dpadů na práva a svbdy subjektů údajů: - bez rizika; - rizik; - vyské rizik. kntaktvání dpvědné sby z vedení SŠ; rzhdnutí v případě vyhdncení: - rizika - hlášení dzrvéh úřadu; - vyskéh rizika - hlášení dzrvéh úřadu a známení subjektům údajů. návrh neb přijatá nápravná patření k snížení dpadů na práva subjektů údajů, návrh neb přijatá nápravná patření k eliminaci příčiny prušení bezpečnsti sbních údajů, zpracvání a deslání hlášení dzrvému úřadu pdle výše vyhdncenéh rizika. 9.1. Řešení bezpečnstníh incidentu další vyšetřvání incidentu na základě návrhů uvedených v hlášení dzrvému úřadu, návrh a přijetí dalších nápravných patření, kntrla účinnsti přijatých patření. 10. Rzhdvací prces při uplatňvání práv subjektů údajů 10.1 Práv být infrmván zpracvání sbních údajů Práv být infrmván zpracvání sbních údajů rzumí se práv subjektu na určité infrmace zpracvání jeh sbních údajů. Jde zejména infrmace účelu zpracvání, ttžnsti správce, jeh právněných zájmech, příjemcích sbních údajů. Jedná se tzv. pasivní práv, jelikž aktivitu musí vůči subjektu údajů vyvinut správce, aby pžadvané infrmace stanvené v GDPR subjektu údajů pskytl (při shrmažďvání sbních údajů d subjektu údajů viz čl. 13 GDPR), resp. zpřístupnil (v případě, že sbní údaje nebyly získány d subjektu údajů viz čl. 14 GDPR). 10.1.1 rzhdvací prces: Pkud jsu sbní údaje shrmažďvány d subjektu údajů: psudit, vzhledem k účelu zpracvání, pr který účel jsu sbní údaje shrmažďvány, které infrmace dle 13 GDPR je nutn subjektu údajů sdělit (infrmace se sdělit nemusí, pkud subjekt údajů již tyt infrmace má, a d té míry, v níž je má) a jakým způsbem; sdělit či pskytnut subjektu údajů infrmace v rzsahu a způsbem dle předchzíh dstavce již při shrmažďvání sbních údajů. Pkud sbní údaje nebyly získány d subjektu údajů: psudit, vzhledem k účelu zpracvání, pr který jsu sbní údaje zpracvávány, nutnst pskytnut subjektu údajů infrmace a jejich rzsah (infrmace se sdělit nemusí, pkud subjekt údajů již tyt infrmace má, neb kdy zaznamenání či zpřístupnění sbních údajů je výslvně stanven právními předpisy, neb kdy pskytnutí těcht infrmací subjektu údajů není mžné neb by vyžadval neúměrné úsilí) a jak frmu (písemně či ústně);

pskytnut subjektu údajů infrmace v rzsahu a frmu dle předchzíh dstavce: - v přiměřené lhůtě p získání sbních údajů, ale nejpzději d jednh měsíce, s hledem na knkrétní klnsti, za nichž jsu sbní údaje zpracvávány; - nejpzději v kamžiku, kdy pprvé djde ke kmunikaci se subjektem údajů, majíli být sbní údaje pužity pr účely tét kmunikace; neb - nejpzději při prvním zpřístupnění sbních údajů, pkud je má v úmyslu zpřístupnit jinému příjemci. 10.2 Práv na přístup k sbním údajům Práv na přístup k sbním údajům tímt se rzumí práv získat d správce infrmaci (ptvrzení), zda jsu či nejsu sbní údaje subjektu údajů zpracvávány a pkud jsu zpracvávány, má subjekt údajů práv tyt sbní údaje získat a zárveň má práv získat následující infrmace: účely zpracvání; kategrie dtčených sbních údajů; příjemci neb kategrie příjemců, kterým sbní údaje byly neb budu zpřístupněny; plánvaná dba, p kteru budu sbní údaje ulženy; existence práva pžadvat d správce pravu neb výmaz sbních údajů, práv vznést námitku; práv pdat stížnst u dzrvéh úřadu; veškeré dstupné infrmace zdrji sbních údajů, pkud nejsu získány d subjektu údajů; skutečnst, že dchází k autmatizvanému rzhdvání, včetně prfilvání. 10.2.1 rzhdvací prces: věřit ttžnst tazatele, který uplatňuje své práv. Tat pvinnst se nevztahuje na případy, kdy je žádst dručena prstřednictvím datvé schránky neb elektrnicku pštu pdepsanu zaručeným elektrnickým pdpisem; věřit, zda jsu sbní údaje tazatele v SŠ zpracvávány; pkud an, pskytnut tazateli tut infrmaci a sučasně, pkud t tazatel pžaduje, pskytnut infrmace v pžadvaném rzsahu (kpii zpracvávaných údajů), max. však v rzsahu uvedeném v předchzím; pkud ne, pskytnut tazateli infrmaci, že jeh sbní údaje nejsu předmětem zpracvání sbních údajů v SŠ. 10.3 Práv na pravu nepřesných sbních údajů Práv na pravu nepřesných sbních údajů tt práv neznamená pvinnst SŠ aktivně vyhledávat nepřesné údaje (nic tmu však nebrání), ani t neznamená pvinnst například každrčně pžadvat p subjektu údajů aktualizaci jeh údajů. Pkud se subjekt údajů dmnívá, že správce zpracvává jeh nepřesné údaje, upzrní jej na t. 10.3.1 rzhdvací prces: věřit ttžnst sby, která uplatňuje práv na pravu údajů, tj. zda se skutečně jedná subjekt údajů. Tat pvinnst se nevztahuje na případy, kdy je žádst dručena prstřednictvím datvé schránky neb elektrnicku pštu pdepsanu zaručeným elektrnickým pdpisem; věřit skutečný stav (přesnst) dtčených zpracvávaných sbních údajů subjektu údajů; dle ptřeby vyžadvat d subjektu údajů relevantní dklad stvrzující avizvanu nepřesnst ve zpracvání sbních údajů; dle dlženéh stavu nepřesné zpracvávané sbní údaje pravit. 10.4 Práv na výmaz (být zapmenut) Práv na výmaz (být zapmenut) znamená pvinnst správce zlikvidvat sbní údaje, pkud je splněna alespň jedna pdmínka: sbní údaje již nejsu ptřebné pr účely, pr které byly shrmážděny neb jinak zpracvány; subjekt údajů dvlá suhlas a neexistuje žádný další právní důvd pr zpracvání; subjekt údajů vznese námitky prti zpracvání a neexistují žádné převažující právněné důvdy pr zpracvání; sbní údaje byly zpracvány prtiprávně;

sbní údaje musí být vymazány ke splnění právní pvinnsti; sbní údaje byly shrmážděny v suvislsti s nabídku služeb infrmační splečnsti pdle článku 8 dst. 1 GDPR. 10.4.1 rzhdvací prces: věřit ttžnst sby, která uplatňuje práv na výmaz, tj. zda se skutečně jedná subjekt údajů. Tat pvinnst se nevztahuje na případy, kdy je žádst dručena prstřednictvím datvé schránky neb elektrnicku pštu pdepsanu zaručeným elektrnickým pdpisem; věřit, zda jsu sbní údaje subjektu údajů v SŠ zpracvávány, pr jaké účely a na základě jakéh právníh důvdu (viz čl. 6 GDPR); psudit neb vyhdntit zpracvání sbních údajů, kdy je splněna alespň jedna z uvedených pdmínek u těcht zpracvání sbní údaje subjektu údajů zlikvidvat (v listinné i elektrnické frmě); u zpracvání, kde nelze uplatnit ani jednu z uvedených pdmínek, sbní údaje nelikvidvat. 10.5 Práv na mezení zpracvání Práv na mezení zpracvání tt práv lze vnímat jak práv dčasné. Subjekt údajů může uplatnit tt své práv v případech: pkud ppírá přesnst sbních údajů, a t na dbu ptřebnu k tmu, aby správce mhl přesnst sbních údajů věřit; pkud je zpracvání prtiprávní a subjekt údajů dmítá výmaz sbních údajů a žádá míst th mezení jejich pužití; správce již sbní údaje neptřebuje pr účely zpracvání, ale subjekt údajů je pžaduje pr určení, výkn neb bhajbu právních nárků; subjekt údajů vznesl námitku prti zpracvání, dkud nebude věřen, zda právněné důvdy správce převažují nad právněnými důvdy subjektu údajů. 10.5.1 rzhdvací prces: věřit ttžnst sby, která uplatňuje práv na mezené zpracvání, tj. zda se skutečně jedná subjekt údajů. Tat pvinnst se nevztahuje na případy, kdy je žádst dručena prstřednictvím datvé schránky neb elektrnicku pštu pdepsanu zaručeným elektrnickým pdpisem; věřit, zda nastala jedna z výše uvedených pdmínek pr uplatnění práva; pkud byl zpracvání mezen: mhu být dtčené sbní údaje, s výjimku jejich ulžení, zpracvány puze se suhlasem subjektu údajů, neb z důvdu určení, výknu neb bhajby právních nárků, z důvdu chrany práv jiné fyzické neb právnické sby neb důležitéh veřejnéh zájmu; je nutn upzrnit subjekt údajů, který dsáhl mezení zpracvání, na t, že bude mezení zpracvání zrušen. Způsby mezení zpracvání sbních údajů: dčasný přesun vybraných údajů d jinéh systému zpracvání; znepřístupnění vybraných sbních údajů uživatelům; dčasné dstranění zveřejněných údajů z internetvých stránek; v systémech autmatizvanéh zpracvání zajistit, aby se na sbní údaje již nevztahvaly žádné další perace zpracvání a aby nemhly být změněny. 10.6 Práv na přensitelnst Práv na přensitelnst pdstatu uplatnění tht práva je mžnst za určitých pdmínek získat sbní údaje, které se týkají subjektu údajů a které správci pskytl, ve strukturvaném, běžně pužívaném a strjvě čitelném frmátu, například JSON, CSV, TXT, a práv předat tyt údaje jinému správci, aniž by tmu půvdní správce bránil. Zárveň má subjekt údajů, pkud pžádá, i práv na t, aby správce předal jeh sbní údaje ve strukturvaném, běžně pužívaném a strjvě čitelném frmátu jinému správci, je-li t technicky prveditelné. Pr uplatnění tht práva musí být sučasně splněny dvě pdmínky: musí jít zpracvání zalžené na právním základu suhlasu či smluvě; zpracvání se prvádí autmatizvaně.

10.6.1 rzhdvací prces: věřit ttžnst sby, která uplatňuje práv na přensitelnst údajů, tj. zda se skutečně jedná subjekt údajů. Tat pvinnst se nevztahuje na případy, kdy je žádst dručena prstřednictvím datvé schránky neb elektrnicku pštu pdepsanu zaručeným elektrnickým pdpisem; věřit, zda jsu sbní údaje subjektu údajů v SŠ zpracvávány, pr jaké účely, na základě jakéh právníh důvdu (viz čl. 6 GDPR) a v jaké frmě (manuální neb listinná, autmatizvaná neb elektrnická); pkud jsu splněny splečné pdmínky uvedeny výše, pstupvat pdle frmulace pžadavku subjektu údajů na uplatnění tht práva. 10.7 Práv vznést námitku Práv vznést námitku subjekt údajů má z důvdů týkajících se jeh knkrétní situace práv kdykli vznést námitku prti zpracvání sbních údajů, které jsu zpracvávány na základě právních důvdů: zpracvání je nezbytné pr plnění úklu prváděnéh ve veřejném zájmu neb při výknu veřejné mci, kterým je správce pvěřen; zpracvání je nezbytné pr účely právněných zájmů příslušnéh správce či třetí strany. 10.7.1 Rzhdvací prces: věřit ttžnst sby, která vznáší námitku prti zpracvání sbních údajů, tj. zda se skutečně jedná subjekt údajů. Tat pvinnst se nevztahuje na případy, kdy je žádst dručena prstřednictvím datvé schránky neb elektrnicku pštu pdepsanu zaručeným elektrnickým pdpisem; věřit, zda jsu sbní údaje subjektu údajů v SŠ zpracvávány, pr jaké účely a na základě jakéh právníh důvdu; pkud je zpracvání zalžen na některém ze dvu právních důvdů uvedených výše, psudit neb vyhdntit, zda existují neb neexistují závažné právněné důvdy pr zpracvání, které převažují nad zájmy neb právy a svbdami subjektu údajů, neb pr určení, výkn neb bhajbu právních nárků; v návaznsti na psuzení neb vyhdncení skutečnstí dle předchzíh dstavce sbní údaje dále zpracvávat neb nezpracvávat. Pzn.: námitku lze vznést i prti zpracvání sbních údajů pr účely příméh marketingu neb prfilvání. Pkud subjekt údajů vznese námitku prti zpracvání pr účely příméh marketingu, nelze již jeh sbní údaje pr tent účel zpracvávat. 10.8 Práv nebýt předmětem autmatizvanéh individuálníh rzhdvání, včetně prfilvání Práv nebýt předmětem autmatizvanéh individuálníh rzhdvání, včetně prfilvání tt práv zajišťuje subjektu údajů, že nebude předmětem rzhdnutí zalženéh výhradně na autmatizvaném zpracvání, včetně prfilvání, které má pr něh právní účinky neb se h bdbným způsbem významně dtýká. Autmatizvané rzhdvání je přípustné v případě, kdy je nezbytné k uzavření neb plnění smluvy mezi subjektem údajů a správcem, pkud je pvlen právem EU neb členským státem neb pkud je zalžen na výslvném suhlasu subjektu údajů. 10.8.1 rzhdvací prces: věřit ttžnst sby, která uplatňuje tt práv, tj. zda se skutečně jedná subjekt údajů. Tat pvinnst se nevztahuje na případy, kdy je žádst dručena prstřednictvím datvé schránky neb elektrnicku pštu pdepsanu zaručeným elektrnickým pdpisem; věřit, zda jsu v SŠ zpracvávány sbní údaje subjektu údajů způsbem, který by byl v rzpru s tímt právem; pkud an, takvé zpracvání sbních údajů uknčit. 10.9 Splečná ustanvení k rzhdvacím prcesům s výjimku práva být infrmván zpracvání sbních údajů musí být infrmace přijatých patřeních žadateli (subjektu údajů) pskytnuta bez zbytečnéh dkladu a v každém případě d jednh měsíce d bdržení žádsti. Lhůtu lze ve výjimečných případech prdlužit

dva měsíce, čemž musí být subjekt údajů ze strany správce infrmván, včetně důvdů prdlužení; infrmace, veškerá sdělení a prvedené úkny na žádst subjektu údajů se pskytují a činí bezplatně. Puze v případě, kdy jsu žádsti pdané subjektem údajů zjevně nedůvdné neb nepřiměřené, zejména prtže se pakují, může správce buď ulžit přiměřený pplatek, neb dmítnut žádsti vyhvět. Zjevnu nedůvdnst dkládá správce; zneužití práva subjektem údajů se jedná zejména tehdy, pkud se žádsti pakují a jsu zjevně nedůvdné či nepřiměřené. V takvém případě může správce ulžit přiměřený pplatek neb dmítnut žádsti vyhvět. Zjevnu nedůvdnst neb nepřiměřenst dkládá správce; pkud subjektem údajů pžadvaná patření nebyla správcem přijata, musí správce bezdkladně a nejpzději d jednh měsíce d přijetí žádsti infrmvat subjekt údajů důvdech nepřijetí těcht patření a mžnsti pdat stížnst u dzrvéh úřadu a žádat sudní chranu. 10.10 Organizační a technická patření suvisející s chranu sbních údajů Organizace je pvinna přijmut technická a rganizační patření k zajištění náležité chrany sbních údajů s hledem ke stavu techniky, nákladům na prvedení, pvaze, rzsahu, kntextu a účelům, rizikům pr práva svbdy fyzických sb, k zamezení neprávněnéh neb nahdiléh přístupu, změně, zničení či ztrátě, alespň v rzsahu uvedeném v tmt článku. Organizace je pvinna přijmut a ddržvat tat rganizační patření: Osby prvádějící zpracvání sbních údajů mají stanveny pvinnsti ke zpracvání sbních údajů, zejména prstřednictvím právních předpisů, pracvních smluv a jiných vnitřních předpisů rganizace. Dchází-li ke zveřejňvání dkumentů, bsahujících sbní údaje je nutné prvést annymizaci sbních údajů, ledaže je jejich zveřejnění stanven zvláštním právním předpisem. Organizace je pvinna přijmut a ddržvat tat persnálně-rganizační patření: Osby prvádějící v rganizaci zpracvání sbních údajů mají v rámci své pracvní náplně (či jiným bdbným patřením) stanven rzsah právnění k přístupu a zpracvání sbních údajů zachycených ve fyzické pdbě. Stejně tak je jim stanven rzsah právnění přístupu d infrmačních systémů a aplikací, ve kterých jsu zpracvávány sbní údaje zachycené v elektrnické pdbě. O rzsahu takvých přístupů je u každé sby veden záznam. Pracvníci rganizace jsu při zahájení pracvníh pměru seznámeni s vnitřními předpisy rganizace, zejména v blasti chrany sbních údajů. Pracvníci rganizace jsu infrmváni aktuálním stavu právních předpisů (zejména nvelizacích příslušných právních předpisů) výkladvé a rzhdvací praxi v blasti chrany sbních údajů. Organizace je pvinna přijmut a ddržvat tat administrativně-rganizační bezpečnstní patření: Dkumenty či spisy, které bsahují sbní údaje, mhu zpracvávat puze sby, které jsu k tmu právněny, a t na základě jejich pracvníh zařazení či jinéh právnění dle právníh předpisu. Při prvádění kntrl, nahlížení účastníků řízení d spisu při vedení správníh či daňvéh řízení či jiné činnsti, při které by mhly sbní údaje zpřístupněny dalším sbám, je nutné zajistit chranu těm sbním údajům, které nesuvisejí s prváděnu činnstí. Dkumenty bsahující sbní údaje nesmí být vynášeny mim prstry rganizace, pkud tak není činěn na základě právníh předpisu; v statních případech je vynášení dkumentů bsahujících sbní údaje mžné jen ve výjimečných případech a p přechzím suhlasu ředitele rganizace. Dkumenty bsahující sbní údaje jsu ukládány tak, aby nedšl ke zneužití sbních údajů, a t zejména ulžením v uzamykatelných místnstech či skříních. Organizace při manipulaci s dkumenty pstupuje dle platnéh spisvéh a skartačníh řádu. Organizace je pvinna přijmut a ddržvat tat patření v blasti zabezpečení prstředků výpčetní techniky: Osbní údaje, které jsu zpracvávány v rámci pčítačvé sítě, infrmačních systémů, aplikací a zařízeních (zejména pčítače, servery, tiskárny, kpírky, mbilní telefny, tablety), jsu

chráněny tak, aby nedšl k jejich zneužití. Výše uvedená zařízení jsu zabezpečena tak, aby k nim neměly přístup neprávněné sby. Přístup k pčítačvé síti a zařízením dle písm. a) je zabezpečen prstřednictvím autentizace a autrizace, tedy pužitím přihlašvacíh jména a hesla či jiným bdbným bezpečnstním prvkem. Významné sučásti pčítačvé sítě, infrmačních systémů a aplikací prvzvaných rganizací (zejména servery a datvá úlžiště) jsu umístěny v prstrách, které jsu přístupné puze sbám pvěřeným ředitelem rganizace. Zařízení dle písm. a) musí být chráněna antivirvým a antimalware sftwarem, případně dalším bezpečnstním sftwarem. Data ulžená v pčítačvé síti a zařízeních jsu pravidelně a plánvaně zálhvána a uchvávána. Aplikace a infrmační systémy, ve kterých jsu zpracvávány sbní údaje, vytvářejí auditní záznamy, hledně přístupu k sbním údajům jedntlivými kncvými uživateli, tak aby byl mžné zjistit, jaká sba měla k sbním údajům přístup. Auditní záznamy jsu zabezpečeny prti jejich mdifikacím. Přístup externích sb d pčítačvé sítě, infrmačníh systému či aplikace je umžněn puze sbám, na základě schválení ředitele rganizace či sby pvěřené ředitelem rganizace. Organizace je pvinna přijmut a ddržvat tat kntrlní patření: Ředitel rganizace kntrluje blast chrany sbních údajů, a t zejména: ukládání spisů a dkumentů bsahujících sbní údaje; právněnst prváděných zpracvání sbních údajů z pzice platnéh právníh titulu a účelu zpracvání; přístup k prstředkům výpčetní techniky a jejich dstatečnému zabezpečení, ddržvání dalších pvinnstí ulžených právními předpisy v blasti chrany sbních údajů. Organizace je pvinna při realizaci kntrlních patření dle písm. a) tht dstavce splupracvat také s pvěřencem a Mravskslezským krajem jak zřizvatelem rganizace. 10.11 Nvě aplikvané administrativní perace na MGO: jedn vstupní míst pr žádsti uplatňvání jedntlivých práv sekretariát škly (je mžn se přím brátit na pvěřence pr chranu sbních údajů) jedn výstupní míst zpět k subjektům údajů sekretariát škly (je mžn se přím brátit na pvěřence pr chranu sbních údajů). Nedílnu sučástí tét směrnice jsu tyt přílhy: Přílha č. 1: Pstup k vyřízení žádsti dle čl. 15 až 20 GDPR Přílha č. 2: Pstup nahlášení bezpečnstníh incidentu dle čl. 33 a násl. GDPR Platnst směrnice: d 25. 5. 2018 S tut směrnicí byli zaměstnanci MGO seznámeni 15. 5. 2018 (viz pdpisvá listina) Mgr. Ladislav Vasevič ředitel MGO

Přílha č. 1 Pstup k vyřízení žádsti dle čl. 15 až 20 GDPR 1. Tent pstup je rganizací využit v případě, kdy subjekt údajů, či jiná sba vyknávající práva subjektu údajů (dále jen žadatel ), uplatní prstřednictvím žádsti práva dle čl. 15 až 20 GDPR (dále jen žádst ) vůči rganizaci. 2. Za vyřízení žádsti dpvídá ředitel rganizace. 3. Žádst může žadatel pdat prstřednictvím písemnéh pdání zaslanéh běžnu pštu, elektrnicku pštu, datvu schránku neb ústně d prtklu. 4. Ttžnst žadatele je věřena v případě, že žádst je ve fyzické pdbě patřena jasnými identifikačními údaji žadatele a jeh pdpisem. Ttžnst je také věřena, pkud je žádst v elektrnické pdbě patřena zaručeným elektrnickým pdpisem a nepanují pchybnsti ttžnsti žadatele. Ttžnst žadatele je rvněž věřena v případě, kdy byla žádst pdána ústně d prtklu, přičemž byla ttžnst žadatele zjištěna z dkladu ttžnsti či jinéh dkladu. V případě, že je žádst pdána elektrnicky bez zaručenéh elektrnickéh pdpisu a z klnstí nevyplývá ttžnst žadatele, je rganizace pvinna vyzvat žadatele k bjasnění své ttžnsti dle předchzí věty. 5. Pkud bude žadatel pžadvat kpii sbních údajů ve smyslu čl. 15 dst. 3 GDPR, je žadatel pvinen žádst pdat s úředně věřeným pdpisem, elektrnicky se zaručeným elektrnickým pdpisem, datvu schránku neb sbně d prtklu p věření ttžnsti dle předchzíh dstavce. Bez takvéh věření nelze vydat kpie sbních údajů. Kpie sbních údajů budu vydávány d vlastních ruku žadatele. 6. Jestliže žádst bdrží kterýkliv pracvník rganizace, je pvinen ji kamžitě pstupit řediteli rganizace. 7. P bdržení žádsti vyrzumí ředitel tét skutečnsti pvěřence a pvěřence Mravskslezskéh kraje, a t v následujícím rzsahu: datum přijetí žádsti, ppis bsahu žádsti, tzn. které práv subjektu údajů dle je uplatňván, předpkládaný termín vyřízení žádsti. 8. P vyřízení žádsti vyrzumí ředitel pvěřence a pvěřence Mravskslezskéh kraje datu a způsbu vyřízení žádsti. 9. V případě, kdy jsu pdávány žádsti zjevně nedůvdné, nepřiměřeně či pakvané, je rganizace právněna žádst dmítnut. Odmítnutí musí být řádně důvdněn.

Přílha č. 2 Pstup nahlášení bezpečnstníh incidentu dle čl. 33 GDPR 1. Tent pstup je rganizací využit v případě, kdy je nutné dzrvému úřadu (tj. Úřadu pr chranu sbních údajů) prušení zabezpečení sbních údajů dle čl. 33 a násl. GDPR (dále jen bezpečnstní incident ). 2. Za známení bezpečnstníh incidentu dzrvému úřadu dpvídá ředitel rganizace. 3. Za bezpečnstní incident je pvažván takvé narušení zabezpečení sbních údajů, které by mhl způsbit náhdné či prtiprávní zničení, ztrátu, změnu, zpřístupnění či přenesení sbních údajů zpracvávaných rganizací. Příkladem bezpečnstníh incidentu může být např. dcizení dkumentů bsahujících sbní údaje, vážná prucha serveru atd. 4. Ihned p zjištění, nejpzději d 48 hdin, mžnéh bezpečnstníh incidentu ředitel kntaktuje pvěřence, se kterým zknzultuje další pstup. 5. Při kntaktu s pvěřencem (případně následně též s dzrvým úřadem) je pvinnstí rganizace, c nejpřesněji bezpečnstní incident ppsat. Ppis bezpečnstníh incidentu musí bsahvat alespň následující: a) ppis pvahy bezpečnstníh incidentu (ppis c a kde se stal), b) uvedení data a hdiny vzniku či zjištění bezpečnstníh incidentu (ppis kdy se stal), c) ppis kategrií sbních údajů, které jsu bezpečnstním incidentem hrženy (citlivé sbní údaje, sbní údaje nezletilých apd.), d) alespň přibližný pčet subjektů údajů, které mhu být bezpečnstním incidentem hrženy (nelze-li určit přesně aspň přibližný pčet), e) ppis případnéh rizika, které v suvislsti s bezpečnstním incidentem může vzniknut subjektům údajů. 6. Pvěřenec (případně pvěřenec Mravskslezskéh kraje) prvede vyhdncení bezpečnstníh incidentu; a t v rzsahu rizika nízkéh, středníh či vyskéh. V případě vyhdncení bezpečnstníh incidentu jak vysce rizikvéh, je nutné prvést známení dzrvému úřadu dle čl. 33 GDPR vždy; v případě vyhdncení bezpečnstníh incidentu jak středně rizikvéh záleží na klnstech případu a vyjádření pvěřence (event. pvěřence Mravskslezskéh kraje), zda je nutné dzrvému úřadu incident hlásit. 7. Ředitel rganizace je pvinen zajistit evidenci bezpečnstních incidentů v tmt rzsahu: a) datum a čas zjištění incidentu, b) datum a čas kntaktvání pvěřence, c) ppis bezpečnstníh incidentu dle dstavce 5 tht pstupu, d) ppis důsledků bezpečnstníh incidentu, e) infrmace psuzení rizika psuzení rizika pvěřencem, příp. pvěřencem Mravskslezskéh kraje, f) ppis případných přijatých patření v suvislsti s řešením bezpečnstníh incidentu, g) datum, čas a způsb případnéh hlášení bezpečnstníh incidentu dzrvému úřadu, případně subjektům sbních údajů dle č. 34 GDPR. 8. V případě, že je v suladu s dst. 6 tht pstupu nezbytné hlásit dzrvému úřadu bezpečnstní incident, bude tt hlášení bsahvat následující: a) ppis pvahy bezpečnstníh incidentu (c kdy a kde se stal), b) kntaktní údaje pvěřence pr chranu sbních údajů (jmén, e-mail, telefn), c) ppis pravděpdbných důsledků bezpečnstníh incidentu, d) ppis patření, která již byla rganizací přijata neb jsu navržena k přijetí s cílem vyřešit daný bezpečnstní incident.

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář