KONCEPCE NA OCHRANU OSOBNÍCH ÚDAJŮ

Podobné dokumenty
Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Základní škola Pelhřimov, Komenského Směrnice GDPR

GDPR Obecné nařízení o ochraně osobních údajů

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Zásady ochrany osobních údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

Mgr.Zdeňka Říhová, ředitelka DDM

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

Politika ochrany osobních údajů

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Prohlášení o ochraně osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - VÝBĚROVÁ ŘÍZENÍ

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

Informace o zpracování osobních údajů. Úvodní informace

Vnitřní směrnice GDPR Výkon práv subjektů údajů

O B E C H O S T Í N Hostín 56, Byšice

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Politika ochrany osobních údajů Společenství vlastníků jednotek Bratislavská 1488, Praha

Prohlášení o ochraně osobních údajů ve společnosti ZPS MECHANIKA, a. s.

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

ORGANIZAČNÍ ŘÁD ŠKOLY

PROHLÁŠENÍ SPOLEČNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

GDPR. analýza. Název subjektu: Renospond s.r.o. IČ: Adresa: Zderaz 119, Proseč. Pověřenec pro ochranu osobních údajů: Sabina Shorná

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů ve společnosti. TAJMAC-ZPS, a.s.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ODBOR DORAVY

Prohlášení o ochraně osobních údajů

Směrnice společností ATEsystem s.r.o. a ATEsystem Jablonec s.r.o.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚTVAR INTERNÍHO AUDITU

SPISOVÁ SLUŽBA A GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - REGISTR SMLUV

Obecné nařízení o ochraně osobních údajů GDPR. Telemedicína Brno března 2018 Alena Tobiášová

OCHRANA OSOBNÍCH ÚDAJŮ V RÁMCI ORAGANIZACE INFORMACE PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů ve společnosti. ZPS-TRANSPORT, a.s.

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ PRO POSKYTOVATELE OSOBNÍCH ÚDAJŮ

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

Poučení obce Kamenice o zákonných právech subjektu osobních údajů

Nakládání s osobními údaji

Výkon práv subjektů zpracování

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ ZAMĚSTNANCŮ A UCHAZEČŮ O ZAMĚSTNÁNÍ

Informace o zpracování osobních údajů bytovým družstvem (správcem osobních údajů)

Ochrana osobních údajů

Informace o zpracování osobních údajů

Zásady zpracování osobních údajů.

SMĚRNICE č. 01/2018 GDPR

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

OCHRANA OSOBNÍCH ÚDAJŮ

PROHLÁŠENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Podmínky ochrany osobních údajů Obsah

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

GDPR. Č.j.: Spisový / skartační znak A.1. A5 Vypracoval: Schválil:

Informace o zpracování osobních údajů uchazečů o zaměstnání

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ OBCHODNÍ SPOLEČNOSTI ARC-H HRADEC KRÁLOVÉ S.R.O.

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

INFORMACE O OCHRANE OSOBNI CH Ú DAJÚ PRO POSKYTOVATELE OSOBNI CH Ú DAJÚ

Informování veřejnosti o zpracování osobních údajů

Interní směrnice o ochraně osobních údajů (GDPR) NATUR TRAVEL s.r.o.

INFORMAČNÍ LISTINA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO ZÁKAZNÍKY

Informace k ochraně osobních údajů

Informace o zpracování osobních údajů

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

GDPR informace podle čl. 13 uvedeného nařízení

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

Informování veřejnosti o zpracování osobních údajů

INFORMAČNÍ MEMORANDUM O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO ZAMĚSTNANCE

Zásady zpracování osobních údajů

CO OBCE MOHOU UDĚLAT PRO GDPR UŽ NYNÍ?

Poskytování osobních údajů je povinností subjektu údajů klienta (dále jen "klient"), která vyplývá z výše zmíněné smlouvy.

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

Informace o zpracování osobních údajů a poučení o právech subjektu údajů. Informační memorandum Městská policie Sedlčany

Informační memorandum pro veřejnost

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

Informace o zpracování osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOTELU OLŠANKA

Podmínky ochrany osobních údajů

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

PROHLÁŠENÍ O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

ROZHODNUTÍ VÝKONNÉHO VÝBORU ČJF č. 1/2018 K CHOVÁNÍ ČJF A JEHO ČLENSKÝCH SUBJEKTŮ PŘI ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Politika ochrany osobních údajů GJŠ Zlín

INFORMAČNÍ LISTINA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informování veřejnosti o zpracování osobních údajů

GDPR informace podle čl. 13 uvedeného nařízení

Informování veřejnosti o zpracování osobních údajů

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

Ochrana osobních údajů - GDPR

Osobní údaj - veškeré informace o fyzické osobě (např. jméno, adresa, datum narození, rodné číslo ) na základě kterých lze tuto osobu identifikovat.

Informování veřejnosti o zpracování osobních údajů

Transkript:

Verze.: 1.0 Strana 1 / 15 KONCEPCE NA OCHRANU OSOBNÍCH ÚDAJŮ platnosti: Číslo dle rozdělovníku: Zpracoval : Funkce : Jméno : : Podpis : Pověřenec pro ochranu osobních Ing. Veronika Součková 03.05. 2018 Schválil : Usnesení č. 173/2018 Rozdělovník výtisků č. podoba Vlastník (funkce) / umístění 1 elektronická Všichni zaměstnanci -------- 2 Fyzická Asistentka starostky Ing. Veronika Součková Jméno Podpis Pozn: elektronická verze je umístěna na adrese Společný/Vnitřní předpisy

Verze.: 1.0 Strana 2 / 15 Seznam změn Změna číslo 1 Místo a charakter změny Jméno-podpis Vydání: Platnost od: 2 3 4 5 6 7 8 9 Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Vydání: Platnost od: Seznam revizí Revize č. Revidoval (funkce) Revidoval (jméno) Podpis

Verze.: 1.0 Strana 3 / 15 Obsah: Rozdělovník výtisků... 1 Seznam změn... 2 Seznam revizí... 2 Obsah:... 3 1. Úvod... 4 1.1. Základní pojmy... 4 2. Zásada zákonnosti, korektnosti a transparentnosti... 5 3. Účelnost zpracování osobních... 6 3.1. Rozsah osobních zpracovávaných o subjektech... 6 3.2. Rozsah osobních zpracovávaných o zaměstnancích města... 7 3.3. Rozsah osobních zpracovávaných o uchazečích o zaměstnání... 7 4. Přesnost shromažďovaných osobních... 7 5. Zásady archivace osobních... 8 6. Zabezpečení osobních... 8 6.1. Organizační opatření na zabezpečení osobních... 9 6.2. Technická opatření... 10 7. Práva subjektů a jejich uplatnění... 10 7.1. Práva subjektů... 10 7.2. Kontaktní údaje správce a pověřence... 12 7.3. Postup při uplatnění práv subjektů... 12 8. Pověřenec pro ochranu osobních... 13 9. Postup pro ohlášení případu narušení bezpečnosti... 13 9.1. Pravidla pro hodnocení bezpečnostního incidentu... 14 10. Porušení povinnosti mlčenlivosti... 15 11. Závěrečná ustanovení... 15

Verze.: 1.0 Strana 4 / 15 1. Úvod Obsahem této koncepce je popis jaké osobní údaje jsou Městem Osek zpracovávány (dále jen město), za jakým účelem a jak je zajištěno dodržování zásad nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních a o volném pohybu těchto a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních ) (dále jen nařízení GDPR ). Upravuje pravidla pro zachování zákonnosti, korektnosti, transparentnosti, účelové omezení, minimalizaci, přesnost, omezené uložení, důvěrnosti, integrity, dostupnosti a odolnosti systémů zpracovávajících osobní data/údaje v rámci organizace. Jejím účelem je zajistit soulad s GDPR a prokázání naplnění všech principů a požadavků GDPR. Koncepce se vztahuje na všechny osoby, které se podílejí na zpracování osobních, u nichž je správcem nebo zpracovatelem. Koncepce je vnitřním předpisem organizační a řídící povahy a je závazná pro všechny zaměstnance. Pro osoby, které se podílejí na zpracování osobních je tato koncepce závazná na základě smluvního nebo jiného vztahu. 1.1. Základní pojmy GDPR General Data Protection Regulation - nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních a o volném pohybu těchto a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních ) Osobní údaj veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt ) např. jméno, adresa, datum narození, rodné číslo, lokalizační údaje. Zvláštní kategorie osobních osobní údaje takového charakteru, že mohou subjekt sám o sobě poškodit ve společnosti, v zaměstnání, ve škole, nebo může zapříčinit jeho diskriminaci. Jde o údaje vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, zdravotním stavu a sexuálním životě subjektu a genetický údaj subjektu ; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu. Zpracování osobní - jakákoliv operace s osobními údaji, jako je shromáždění, zaznamenání, uložení, pozměnění, nahlédnutí, použití, šíření, omezení, výmaz apod.

Verze.: 1.0 Strana 5 / 15 Správce - právnická nebo fyzická osoba (v tomto případě ), které určuje účely a prostředky zpracování osobních. Zpracovatel -fyzická nebo právnická osoba, nebo subjekt, který zpracovává osobní údaje pro správce (správce si jej najímá - účetní, lékař, ). Pověřenec pro ochranu osobních (dále jen DPO ) osoba, která posuzuje činnost správce či zpracovatele, zda je v souladu s platnou právní úpravou, informuje je, radí, dává doporučení. 2. Zásada zákonnosti, korektnosti a transparentnosti 1. Byla provedena vstupní analýza, v rámci které byly zmapovány agendy. Pro zmapování pracovních postupů byly využity mapy procesů, které mělo město zpracován z doby, kdy bylo v organizaci zavedeno ISO 9001:2009. Mapové procesy byly v rámci vstupní analýzy aktualizovány. Bylo provedeno školení zaměstnanců v oblasti problematiky GDPR. 2. Osobní údaje jsou zpracovávány městem zákonným způsobem, tedy buď na základě zákona (právního předpisu), souhlasem subjektu, jehož údaje se zpracovávají nebo na základě oprávněného zájmu správce nebo třetí osoby. 3. Město zajišťuje průběžnou kontrolu, zda nedochází ke zpracování nad rámec zpracovaný zákonem, zda údaje, které získává, jsou pro jeho činnost nezbytné; zda všechny údaje jsou zpracovávány v souladu s právními předpisy. 4. Subjekty, jejichž osobní údaje jsou městem zpracovávány, jsou o tom informovány prokazatelným způsobem: o rozsahu a účelu zpracovávaných, zda jde o zpracovávání pro splnění právní povinnosti, zpracování na základě poskytnutého souhlasu nebo na základě oprávněného zájmu správce nebo třetí osoby, důvodech a lhůtách uložení informací, možnostech subjektu při odvolání souhlasu, obracet se na zpracovatele dat, na možnosti námitek, na právo požadovat omezení zpracování dat jejich opravu či výmaz.

Verze.: 1.0 Strana 6 / 15 5. Pokud je pro zpracování osobních nezbytný souhlas, pak musí být informovaný, konkrétní a písemný. Zpracování osobních je možné provádět až po získání souhlasu. Písemná podoba souhlasu se uchovává po celou dobu zpracování. 6. Přílohou tohoto dokumentu jsou i záznamy o činnosti, kde jsou k jednotlivým agendám uvedeny právní důvody zpracování. 3. Účelnost zpracování osobních Osobní údaje jsou městem zpracovávány v souladu s čl. 6 GPDR, tj. pouze pro určité, výslovně vyjádřené a legitimní účely. Údaje shromážděné pro různé účely nelze spojovat, musí být evidovány a zpracovány odděleně. 3.1. Rozsah osobních zpracovávaných o subjektech 1. Rozsah zpracovávaných informaci je dán právními předpisy, které upravují samostatnou a přenesou působnost obcí. Jedná se např. o: zákon č. 128/2000 Sb., o obcích (obecní zřízení) zákon č. 133/2000 Sb., evidenci obyvatel a rodných číslech a o změně některých zákonů (zákon o evidenci obyvatel), zákon č. 301/2000 Sb., matrikách, jménu a příjmení a o změně některých souvisejících zákonů, zákona č. 111/2009 Sb., o základních registrech, zákon č. 250/2000 Sb., o rozpočtových pravidlech územních rozpočtů, zákon č. 500/2004 Sb., Správní řád, zákon č. 565/1990 Sb., místních poplatcích, další právní předpisy jsou uvedeny v záznamech o činnostech. 2. Osobní údaje jsou získávány od subjektů /zákonných zástupců subjektů standardizovanými dotazníky a formuláři, které zajišťují, aby nebyly získávány údaje, které město ke své činnosti nepotřebuje. 3. Osobní údaje jsou také získávány ze základních registrů na základě zákona č.111/2009sb., o základních registrech. 4. Zpracovávané informace jsou omezeny jen na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, nelze požadovat údaje nepřiměřené, nerelevantní a pokud nejsou nezbytné.

Verze.: 1.0 Strana 7 / 15 3.2. Rozsah osobních zpracovávaných o zaměstnancích města 1. Rozsah je dán požadavky právních předpisů, zejména zákoníku práce a zákona o úřednících územně samosprávných celků; 2. Rozsah je stanoven tak, aby zpracovávané údaje spolehlivě a věrohodně prokazovaly vznik, průběh a ukončení pracovně právního vztahu zaměstnance, včetně poskytování platu; dále splnění povinností vůči třetím osobám (např. zdravotní pojišťovny, Česká správa sociálního zabezpečení, finanční úřad) a předpisů o archivaci. 3.3. Rozsah osobních zpracovávaných o uchazečích o zaměstnání 1. Po uchazečích jsou vyžadovány pouze údaje nezbytné pro posouzení vhodnosti uchazečů v rámci výběrového řízení (kvalifikace, zdravotní způsobilost, apod.). 2. Rozšiřující informace jsou požadovány až po případném rozhodnutí o uzavření pracovně právního vztahu. 3. Neúspěšným uchazečům jsou vráceny jimi zaslané dokumenty a jejich osobní údaje jsou vymazány, pokud neudělí souhlas se zpracováním osobních. 4. Přesnost shromažďovaných osobních 1. Zásada přesnosti shromažďovaných osobních je v oblasti působnosti města upravena také zákonem č. 111/2009 Sb., o základních registrech. Orgány veřejné moci mají povinnost využívat při své činnosti referenční údaje obsažené v příslušném základním registru. V rozsahu, v jakém je oprávněn tyto údaje využívat podle tohoto zákona nebo podle jiných právních předpisů, a to aniž by ověřoval jejich správnost. 2. V případě, že orgán veřejné moci, který není editorem daného údaje v základním registru, při své činnosti zjistí nesoulad referenčních vedených v základním registru se skutečným stavem, anebo vznikne-li u něj oprávněná pochybnost o správnosti referenčního údaje, uvědomí o tom neprodleně editora daného referenčního údaje. 3. V případě, že se nejedná o údaje ze základního registru a v případě zjištění, že se jedná o chybné či nepřesné údaje je provedena bezodkladná změna. 4. Zaměstnancům je pracovním řádem stanovena povinnosti změny osobních neprodleně nahlásit.

Verze.: 1.0 Strana 8 / 15 5. Zásady archivace osobních 1. Osobní údaje jsou uchovávány pouze po nezbytnou dobu. Město má zpracován spisový a skartační plán, který je pravidelně aktualizován. Spisový a skartační řád mimo skartačních lhůt a postupů také i oběh dokumentů. 2. Úložné doby, které nejsou stanoveny předpisy, stanovuje město následovně. Dokumenty zaslané uchazeči o pracovní místa jsou těmto uchazečům vráceny bez zbytečného odkladu po skončení výběrového řízení, pokud neexistuje zákonná lhůta, ve které se může neúspěšný uchazeč dožadovat přijetí nebo pokud uchazeč podepsal souhlas se zpracováním. 3. Na konci úložné doby jsou data přezkoumána a odstraněna, pokud neexistuje oprávněný důvod pro jejich další uchování. Postup skartace je uveden ve spisovém a skartačním řádu. 4. Údaje nelze uchovávat poté, co pomine právní základ, poté, co je naplněn účel zpracování. 5. Na dodržování spisového a skartačního řádů dohlíží DPO. 6. Zabezpečení osobních 1. Osobní data jsou zpracovávána způsobem, který zajistí náležité zabezpečení osobních, včetně jejich ochrany pomocí technických a organizačních opatření před neoprávněným přístupem k m, náhodnou ztrátou, zničením, nebo poškozením. 2. Město provedlo analýzu zpracovávaných osobních v rámci agend. K tomuto účelu byly vytvořeny formuláře Katalogový list agendy (vzor formuláře v příloze č. 1.). Také byla provedena kontrola síťové infrastruktury. 3. Bylo provedeno vyhodnocení rizik. Pro hodnocení rizik bylo využito metody ze Systémové analýzy působnosti obcí z hlediska obecného nařízení o ochraně osobních, kterou nechalo zpracovat Ministerstvo vnitra ČR (dále jen MVČR). Z posouzení vyplynula technická a organizační opatření, která zabezpečují ochranu osobních. Ta jsou stanovena zejména ve vnitřních směrnicích města: Organizační řád Pracovní řád,

Verze.: 1.0 Strana 9 / 15 Spisový a skartační řád, Informační koncepce, Směrnice na užívání počítačových sítí a provozování programového vybavení. 4. Město má zpracovány záznamy o činnostech. Záznamy tvoří přílohu této koncepce. 5. Pokud má zpracování osobních zcela nebo zčásti provádět třetí osoba (zpracovatel), musí s ní Město uzavřít smlouvu v písemné formě (včetně formy elektronické), která stanoví předmět, dobu, povahu a účel zpracování, kategorie osobních, kategorie subjektů a práva a povinnosti zpracovatele. Před zapojením zpracovatele do zpracování osobních zajistí Město uzavření smlouvy se zpracovatelem v souladu s Nařízením GDPR. 6.1. Organizační opatření na zabezpečení osobních 1. Organizační řád stanovuje zásady činnosti úřadu, je zde popsána organizační struktura vč. jednotlivých odboru a jejich odpovědnosti a působnost. V organizačním řádu je také obsažena role DPO. 2. Pracovní řád je vypracován v souladu s 306 zákoníku práce. Do pracovního řádu byly doplněny povinnosti zaměstnanců při zpracování osobních. Byla doplněna práva zaměstnanců z pohledu GDPR. 3. Spisový a skartační řád byl doplněn o termín zvláštní skupina dokumentů, jedná se o dokumenty, které obsahují citlivé údaje. 4. Po dokončení obnovy informační infrastruktury bude odpovídajícím způsobem aktualizována Informační koncepce a Směrnice na užívání počítačových sítí a provozování programového vybavení. 5. Město má v souladu s čl. 30 GDPR zpracovány záznamy o činnostech, které tvoří přílohu této koncepce. 6. Zaměstnanci města a jeho organizačních složek jsou pravidelně školeni v oblasti ochrany osobních. Školení zaměstnanců zajišťuje DPO. 7. Organizační opatření při zabezpečení budovy - systém klíčů, oprávnění ke vstupu, minimální standard bezpečnosti, systém řízení zaměstnanců, technické parametry místností.

Verze.: 1.0 Strana 10 / 15 6.2. Technická opatření 1. Technická opatření při zabezpečení budovy - mechanické a elektronické zábrany, rozsah a povaha počítačového systému organizace, kamerový systém. 2. Počítačová (kybernetická) bezpečnost je zajišťována na všech počítačích Města a jeho organizačních složek: instalací antivirových programů, firewallu, stanovením přístupových práv, hesel, zákazu sdílení hesel několika osobami, pravidelné zálohování dat, tak aby nedošlo k jejich ztrátě při případném odcizení či poruše počítače a byla zajištěna schopnost obnovy dat v případě fyzických či technických incidentů, zajištění automatických bezpečnostních aktualizací používaného software, při jakékoli likvidaci hardware musí být znemožněna možnost získání uložených osobních, používání pouze silných hesel, mazání a neotvírání nevyžádané pošty, odmazávání SPAM v emailové schránce i v počítačích, pravidelný servis a výpočetní techniky je zaměřen i na kontrolu oblasti bezpečnosti dat, je prováděno pravidelné testování přijatých technických a organizačních opatření, pravidelným školením zaměstnanců v této oblasti, šifrování, zavedení systému zajištění neustálé důvěrnosti, integrity a odolnosti systémů a služeb zpracování, pravidelné zálohování. 7. Práva subjektů a jejich uplatnění Město jako správce osobních je odpovědné za zpracovávání osobních, tuto odpovědnost nemůže přenést na jiný subjekt. Pro splnění této odpovědnosti má stanovena technická a organizační opatření k ochraně osobních. Zpracovává pouze takové osobní údaje, jež jsou pro její činnost nezbytné a také po nezbytně nutnou dobu. 7.1. Práva subjektů 1. Subjekty jsou informovány správcem osobních o zpracování prostřednictvím informací zveřejněných na webových stránkách www.osek.cz.

Verze.: 1.0 Strana 11 / 15 2. Subjekt má právo na potvrzení o zpracování jeho, na přístup ke svým osobním m, na informaci o rozsahu zpracovávaných informací, na poskytnutí informací nejdéle do 1 měsíce od podání žádosti, na vysvětlení (při zamítnutí žádosti). Informace jsou poskytovány na základě písemné žádosti. Jsou poskytovány zpravidla bezplatně, kromě případů, kdy správce posoudí žádost jako zbytečně opakovanou, nepřiměřenou, nedůvodnou, nebo pokud nejde o oprávněný zájem žadatele. 3. Subjekt má právo na opravu, pokud jsou nepřesné, nebo neúplné, na provedení opravy nejdéle do jednoho měsíce, na vysvětlení, pokud oprava nebyla provedena. Správce předchází tomu, aby zpracovávané údaje byly neaktuální a postupuje v souladu se zákone č. 111/2009 Sb., o základních registrech. 4. Subjekt má právo, aby správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu týkají, a správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán některý z důvodů stanovených obecným nařízením o ochraně osobních. 5. Subjekt má právo, aby správce omezil zpracování osobních v případech stanovených obecným nařízením o ochraně osobních. 6. Subjekt má právo vznést námitku proti zpracování osobních, které se jej týkají, pokud správce zpracovává osobní údaje z následujících důvodů: zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce, zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany, pro účely přímého marketingu, pro účely vědeckého či historického výzkumu nebo pro statistické účely. 7. Subjekt má právo získat osobní údaje, které se ho týkají a jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, dále má právo předat tyto údaje jinému správci, aniž by tomu správce bránil, a to v případech stanovených obecným nařízením o ochraně osobních. 8. Pokud je zpracování osobních založeno na souhlasu se zpracováním osobních poskytnutém subjektem, má tento subjekt právo tento souhlas kdykoliv odvolat.

Verze.: 1.0 Strana 12 / 15 9. Pokud se subjekt domnívá, že došlo k porušení právních předpisů v souvislosti s ochranou jeho osobních, má právo podat stížnost u některého dozorového úřadu. Dozorovým úřadem je v České republice Úřad pro ochranu osobních. 7.2. Kontaktní údaje správce a pověřence 1. Subjekt může kontaktovat správce: osobně / písemně na adrese sídla správce: Zahradní 246, 417 05 Osek pomocí emailové adresy: osek@osek.cz pomocí datově schránky: gw3b3a7 telefonicky na tel. č.: 417 837 202 2. Subjekt může kontaktovat správce prostřednictvím pověřence pro ochranu osobních : osobně / písemně na adrese sídla správce: Zahradní 246, 417 05 Osek pomocí emailové adresy: gdpr@osek.cz pomocí datově schránky: gw3b3a7 telefonicky na tel. č.: +420 777 735 604 7.3. Postup při uplatnění práv subjektů 1. Kontaktní údaje na správce a pověřence pro ochranu osobních jsou uvedeny na webových stránkách www.osek.cz. 2. Pro zajištění ochrany osobních při uplatňování práv subjektu je požadováno ověření totožnosti subjektu, aby se zabránilo předání informací neoprávněné osobě. 3. V případě kontaktování správce písemně na adrese sídla, bude vyžadován ověřený podpis na žádosti či dokumentu, kterým jsou práva uplatňována. 4. V případě elektronického kontaktu prostřednictvím emailové pošty musí být email opatřen zaručeným elektronickým podpisem. Pokud tomu tak nebude, bude subjekt, aby ve stanovené lhůtě prokázal svou totožnost. Subjekt bude vyzván, aby se dostavil na podatelnu v sídle správce nebo aby žádost podal prostřednictvím své datové schránky, případně, aby ji zaslal v ověřeným podpisem na sídlo správce.

Verze.: 1.0 Strana 13 / 15 8. Pověřenec pro ochranu osobních 1. Nařízení GDPR v článku 39 popisuje úkoly, které má pověřenec ve své funkci vykonávat. Pověřenec má zejména za úkol poskytovat Správci a jejím zaměstnancům poradenství při zpracování osobních tak, aby byl zajištěn soulad se všemi relevantními předpisy, při jejichž tvorbě by měl být konzultován. 2. Pověřenec dále vypracovává posudek při vyhotovení posouzení vlivu na ochranu osobních, spolupracuje a je kontaktním místem pro ÚOOÚ. 3. Provádí školení pracovníky v oblasti ochrany osobních. 4. Správce může pověřence pověřit dalšími úkoly, je však nutné, aby nedocházelo ke střetu zájmů a aby na hlavní úkoly byl vydělen dostatečný čas a prostředky. Typicky je dalším vhodným úkolem zpracovávání a správa záznamů o činnostech zpracování, které mohou sloužit jako účinný důkaz souladu s GDPR, nebo zajištění plnění informační povinnosti v rámci zasílání aktualizovaných znění vnitřních předpisů dotčeným osobám. Není vyloučeno ani zapojení pověřence do jiných úkolů, které primárně s osobními údaji nesouvisí, vždy však za dodržení požadavku, že nedojde ke střetu zájmů. 9. Postup pro ohlášení případu narušení bezpečnosti 1. Při zjištění, že bylo porušeno zabezpečení osobních, nebo při podezření, že bylo porušeno toto zabezpečení, je každý subjekt (správce, zpracovatel, pověřenec, zaměstnance ) povinen informovat správce a pověřence. Ti ve vzájemné součinnosti posoudí, zda skutečně došlo k porušení zabezpečení, vyhodnotí závažnost a podle závažnosti (bez rizika, nízké riziko, vysoké riziko). 2. Bezpečnostní událostí se rozumí jakékoliv porušení zabezpečení osobních, které může spočívat zejména v: neoprávněném přístupu nebo zveřejnění osobních ; neoprávněné nebo nahodilé ztrátě nebo zničení osobních ; ztrátě nebo krádeži zařízení nebo jiného prostředku použitého při zpracování; hackerský útok včetně zneužití lidského faktoru; lidské pochybení; přírodní katastrofa např. požár, záplava; selhání zařízení nebo jiného prostředku použitého při zpracování.

Verze.: 1.0 Strana 14 / 15 3. Specifikace bezpečnostní události zahrnuje: popis bezpečnostního incidentu a jeho povahy; jméno oznamovatele; kategorie dotčených ; počet dotčených Subjektů ; počet a kategorie dotčených záznamů osobních ; dotčený informační systém nebo jiný prostředek zpracování; čas, kdy k incidentu došlo; čas zjištění incidentu; odhad pravděpodobných důsledků bezpečnostního incidentu; skutečnost, zda byly dotčené osobní údaje šifrované. 4. Po vyhodnocení specifikace bezpečností události správce ve spolupráci s pověřencem pro ochranu osobních, zda se jedná o bezpečnostní událost nebo o bezpečnostní incident. 5. V případě ohodnocení události na bezpečnostní incident, ohlásí správce incident dozorovému orgánu. 6. Město zajistí provedení nápravných opatření, využívá k tomu doporučení dozorového orgánu. 9.1. Pravidla pro hodnocení bezpečnostního incidentu Vyhodnocení závažnosti pro ohlášení bezpečnostní události slouží formulář Hlášení bezpečností události, který je přílohou č. 2 této koncepce, následně se proveden vyhodnocení do formuláře Záznam bezpečnostních událostí - příloha č.3. Kategorie I méně závažné porušení zabezpečení osobních Narušení aktiva nebude mít vliv na fungování správce a práv subjektů. Jedná se například o výmaz dat z počítače, které je možno obnovit ze zálohy. Chybné zveřejnění, které lze opravit či odebrat.

Verze.: 1.0 Strana 15 / 15 Kategorie II závažné porušení zabezpečení osobních Narušení aktiva bude mít dopad na fungování správce. Sankce v rámci Nařízení GDPR nebudou uplatněny. Jedná se například o ztrátu listinných dokumentů, ve kterých jsou obsaženy údaje, které nemají zásadní vliv na subjekt Kategorie III velmi závažné porušení zabezpečení osobních Narušení aktiva bude mít zásadní dopad na fungování správce a mohou být uplatněny sankce v rámci Nařízení GDPR. Jedná se například o ztrátu dat jak v listinné tak elektronické podobě, kterou nelze obnovit. Hackerský útok. 10. Porušení povinnosti mlčenlivosti 1. Odpovědnost za přestupek podle zákona o ochraně osobních vzniká fyzické osobě v případě, kdy jako zaměstnanec správce nebo zpracovatele osobních (nebo v jiné obdobné pozici) poruší povinnost mlčenlivosti ohledně osobních, s nimiž přišla při výkonu své pracovní činnosti do styku. Fyzická osoba se může dále dopustit přestupku podle zákona o ochraně osobních, pokud v roli správce či zpracovatele osobních nedodrží některou z povinností stanovených zákonem o ochraně osobních nebo pokud poruší zákaz zveřejnění osobních stanovený jiným právním předpisem. 2. Vědomé porušení povinnosti mlčenlivosti, neoprávněné zveřejnění, sdělení, zpřístupnění a přisvojení osobních zaměstnancem bude posouzeno dle zákona č. 262/2006 Sb., Zákoník práce jako zvlášť hrubé porušení pracovních povinností. 3. Při neoprávněném nakládání s osobními údaji může jít o trestný čin podle 180 zákona č. 40/2009 Sb., trestní zákoník, ve znění pozdějších předpisů jde o neoprávněné zveřejnění, zpracování, sdělení, zpřístupnění, přisvojení osobních, porušení mlčenlivosti. 4. Porušení povinností vyplývajících z této koncepce představuje závažné porušení pracovní kázně a může založit odpovědnost za škodu vzniklou Správci v souvislosti s tímto porušením. 11. Závěrečná ustanovení Kontrola dodržování ustanovení této koncepce bude prováděna prostřednictvím pověřence pro ochranu osobních.

Pořadové číslo katalogového listu 1 Odbor Účel zpracování Právní základ (souhlas, plnění smlouvy, splnění právní povinnosti, ochranna životně důležitých zájmů ubjektu, úkol ve veřejném zájmu, oprávněný zájem správce) Kategorie osobních Zvláštní kategorie ( např. rasový etnický původ, náboženské vyznání, členství v odborech, biometrické údaje, zdravotní stav...) Souhlas subjektu /ano/ne / ze zákona (číslo ) Kategorie subjektu Zdroje osobních Kategorie příjemců Doba uchování Druh zpracování Oznamovací povinnost ÚOOÚ - ano/ne Registrace ÚOOÚ, datum a číslo registrace Způsob zpracování soubor (server/lokální PC) program/aplikace správce aplikace KATALOGOVÝ LIST AGENDY

Přílohač.2Koncepcenaochranuosobních Hlášeníporušenízabezpečeníosobních MěstoOsek,Zahradní246,41705Osek Jménooznamovatele: Časadatumzjištěníporušenízabezpečeníosobních: Dotčenýinformačnísystémnebojinýprostředekzpracování: Popisporušenízabezpečeníosobních: Neoprávněnýpřístupnebozveřejněníosobních. Ztrátanebozničeníosobních. Ztrátanebokrádežzařízenínebojinéhoprostředkupoužitéhopřizpracování. Selhánízařízenínebojinéhoprostředkupoužitéhopřizpracování. Lidsképochybení. Přírodníkatastrofanapř.požár,záplava. Kyberneticképorušenízabezpečení: Kybernetickýútoknebojináudálostvedoucíkprůnikudosystémunebo komezenídostupnosti. Způsobenýškodlivýmsoftwaremnebokódem. Způsobenýpoškozenímbezpečnostníhoopatření. Spojenýsprojevemtrvalepůsobícíchhrozeb. Ostatní:

Příloha č. 3 Záznam o bezpečnostní události, Zahradní 246, 417 05 Osek Každý subjekt je povinen při zjištění, že došlo k porušení zabezpečení osobních oznámit tuto skutečnost správci a pověřenci pro ochranu osobních. V případě, že není možné poskytnout veškeré informace současně, mohou být poskytnuty postupně bez dalšího zbytečného odkladu. Jméno a kontaktní údaje pověřence pro ochranu osobních nebo jiného kontaktního místa, které může poskytnout bližší informace: Ing. Veronika Součková, email: gdpr@osek.cz, tel.: 777 735 604 Jméno oznamovatele: Čas a datum zjištění porušení zabezpečení osobních : Čas a datum vzniku porušení zabezpečení osobních : Dotčený informační systém nebo jiný prostředek zpracování:

Přílohač.3Koncepcenaochranuosobních Popisporušenízabezpečeníosobních: Neoprávněnýpřístupnebozveřejněníosobních. Ztrátanebozničeníosobních. Ztrátanebokrádežzařízenínebojinéhoprostředkupoužitéhopřizpracování. Selhánízařízenínebojinéhoprostředkupoužitéhopřizpracování. Lidsképochybení. Přírodníkatastrofanapř.požár,záplava. Kyberneticképorušenízabezpečení: Kybernetickýútoknebojináudálostvedoucíkprůnikudosystémunebo komezenídostupnosti. Způsobenýškodlivýmsoftwaremnebokódem. Způsobenýpoškozenímbezpečnostníhoopatření. Spojenýsprojevemtrvalepůsobícíchhrozeb. Ostatní:

Přílohač.3Koncepcenaochranuosobních Kategoriedotčenýchosobních: Osobníúdaje(Veškeréinformaceoidentifikovatelnéneboidentifikovatelnéfyzické osobějakonapř.jméno,příjemní,adresa,datumnarození,rodnéčíslo) Zvláštníkategorieosobních (Osobníúdaje,kterévypovídajíorasovémči etnickém původu, politických názorech, náboženském vyznání čifilozofickém přesvědčení,členstvívodborech,zdravotnímstavučiosexuálnímživotěnebosexuální orientacifyzickéosoby,genetickéabiometrickéúdaje) Dotčenéosobníúdajebylyšifrovány: Ano Ne Početdotčenýchzáznamůosobních(odhad): Početdotčenýchsubjektů(odhad): Popisdůsledkůporušenízabezpečeníosobních:

Přílohač.3Koncepcenaochranuosobních Kategorieporušenízabezpečeníosobních: KategorieI -ménězávažné porušenízabezpečeníosobních(narušeníaktiva nebudemítvlivnafungovánísprávceaprávsubjektů.) KategorieI závažnéporušenízabezpečeníosobních(narušeníaktivabudemít dopadnafungovánísprávce.sankcevrámcinařízenígdprnebudouuplatněny.) Kategorie I velmizávažnéporušenízabezpečeníosobních(narušeníaktiva budemítzásadnídopadnafungovánísprávcea mohoubýtuplatněnysankcevrámci NařízeníGDPR.) Porušenízabezpečeníosobníchbylooznámendotčenýmsubjektům: Ano Ne,čas: Jezajištěno,žezasaženéúdajebylynečitelnénebonebylypřiřaditelné konkrétním osobám (tedy například fyzické osoby nejsou identifikovatelnédíkyprovedenípseudonymizaceneboosobníúdaje nejsoučitelnédíkypoužitémušifrováníapod.), Jsoupřijatynáslednáopatření,kterázajistí,ževysokérizikosejiž pravděpodobněneprojeví(tedynapříkladosobníúdajenejsouvdržení třetíosoby), Oznámeníbyvyžadovalonepřiměřenéúsilí.Vtakovémtopřípadědojde místotohokveřejnému oznámenínebopodobnémuopatření,sjehož pomocíbudousubjektyinformoványstejněúčinnýmzpůsobem. Porušenízabezpečeníosobníchbylohlášendozorovémuúřadu: Ano Ne,čas: Přijatá nápravná opatření, která vedou kvyřešeníčizmírnění následků porušení zabezpečeníosobních:

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář