SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Podobné dokumenty
Střední průmyslová škola stavební a Obchodní akademie, Náchod, Pražská 931

Směrnice pro ochranu osobních údajů

Základní umělecká škola Světlá nad Sázavou. Směrnice ke zpracování a zabezpečení osobních údajů

Směrnice GDPR/01. Nakládání s osobními údaji

MATEŘSKÁ ŠKOLA PŘEDBOJ, PŘÍSPĚVKOVÁ ORGANIZACE, HLAVNÍ 300, PŘEDBOJ Č.j. Spisový znak Skartační znak /201

Základní škola Jana Husa a Mateřská škola Písek, Husovo nám. 725

OCHRANA OSOBNÍCH ÚDAJŮ

Diagnostický ústav a Středisko výchovné péče, Praha 4, Na Dlouhé mezi 19 IČ Směrnice pro ochranu osobních údajů

SMĚRNICE K OCHRANĚ OSOBNÍCH ÚDAJŮ 1. Obecná ustanovení. 2. Zásady nakládání s osobními údaji. nenadužívat,

Směrnice školy pro ochranu osobních údajů. Mateřská škola Rosnička, Praha 13, Běhounkova Stránka 1

Směrnice školy Gymnázium, základní škola a mateřská škola Hello s.r.o. pro ochranu osobních údajů

22. OCHRANA OSOBNÍCH ÚDAJŮ

Směrnice školy Vysoká škola realitní Institut Franka Dysona s.r.o. pro ochranu osobních údajů. 1. Působnost. 2. Zásady nakládání s osobními údaji

Základní škola Mladá Boleslav,

Směrnice školy TOWNSHEND International School pro ochranu osobních údajů. Platnost směrnice: od

3. Postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji

Směrnice pro ochranu osobních údajů

Směrnice O OCHRANĚ OSOBNÍCH ÚDAJŮ

Směrnice školy pro ochranu osobních údajů

Směrnice Gymnázia a Jazykové školy s právem státní jazykové zkoušky Zlín pro ochranu osobních údajů

VNITŘNÍ PŘEDPIS SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Směrnice pro ochranu osobních údajů

Směrnice SK Štětí, z.s. Ochrana osobních údajů Platnost směrnice: od

Směrnice ředitele školy k ochraně osobních údajů Základní školy, Liberec, Sokolovská 328, p. o.

Směrnice pro ochranu osobních údajů Aktualizace směrnice: od 28/01/2019 Sdílená směrnice subjektů

SMĚRNICE K OCHRANĚ OSOBNÍCH ÚDAJŮ

Směrnice společnosti Hart & Partners, v.o.s. pro ochranu osobních údajů Platnost směrnice: od

SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ

SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Směrnice školy MŠ, ZŠ a PrŠ Trhové Sviny pro ochranu osobních údajů

Směrnice Základní školy a Mateřské školy Bohuslava Reynka, Lípa, příspěvkové organizace pro ochranu osobních údajů

Název: Směrnice pro ochranu osobních údajů

Logopedická základní škola, Měcholupy 1, příspěvková organizace

SMĚRNICE č. 26. Základní škola a Mateřská škola při nemocnici, Liberec, Husova 357/10, příspěvková organizace. I. Předmět úpravy

STŘEDNÍ ŠKOLA EDUCHEM a.s. Okružní 128, CZ Meziboří Tel:

Základní škola Kravaře, příspěvková organizace Komenského 14, Kravaře. OCHRANA OSOBNÍCH ÚDAJŮ Č. j.: Spisový / skartační znak ZSK/ /2018 A10

Základní škola Spektrum, s.r.o. Kytlická 757, Praha 9 tel./fax:

Interní směrnice pro ochranu osobních údajů - GDPR

24.mateřská škola Plzeň, Schwarzova 4, příspěvková organizace

Směrnice pro ochranu osobních údajů

Směrnice pro ochranu osobních údajů - GDPR

Směrnice školy pro ochranu osobních údajů Č.j.: 1079/2018/ZŠ a MŠ Platnost od: Změny:

Směrnice. příspěvková organizace

Směrnice pro ochranu osobních údajů

Směrnice školy pro ochranu osobních údajů (GDPR)

SMĚRNICE TECHNICKÉHO MUZEA V BRNĚ PRO OCHRANU OSOBNÍCH ÚDAJŮ

1. Působnost 2. Zásady nakládání s osobními údaji 3. Postupy při nakládání s osobními údaji

Směrnice školy pro ochranu osobních údajů

SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

Základní škola Ústí nad Labem,

Směrnice školy pro ochranu osobních údajů Č. j.: ZSTGM/56/2018 Účinnost od: Platnost směrnice: od

Směrnice pro ochranu osobních údajů

Č.j. ZŠČ 36/18 Směrnice o ochraně osobních údajů

Vnitřní Směrnice Ochrana osobních údajů

Směrnice. pro ochranu osobních údajů

Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

Základní škola Žďár nad Sázavou, Palachova 2189/35, příspěvková organizace Žďár nad Sázavou SMĚRNICE K OCHRANĚ OSOBNÍCH ÚDAJŮ

ORGANIZAČNÍ ŘÁD ŠKOLY

Základní škola profesora Josefa Brože, Vlachovo Březí, okres Prachatice. Základní škola profesora Josefa Brože, Vlachovo Březí, okres Prachatice

5. OCHRANA OSOBNÍCH ÚDAJŮ

Směrnice společnosti ILLKO s.r.o. pro ochranu osobních údajů Platnost směrnice: od

Ochrana osobních dat a zpracovávání osobních údajů

Mateřská škola Ke Kašně se sídlem Ke Kašně 334/14, Praha 4 _ Písnice, , IČO: Směrnice k ochraně osobních údajů Č.j.

Směrnice k ochraně osobních údajů

Směrnice pro ochranu osobních údajů

Název: Ochrana osobních údajů Č. j.: 347/18 Účinnost od:

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

Směrnice školy pro ochranu osobních údajů. SOŠ a SOU BEROUN-HLINKY, ZÁVODÍ. Platnost směrnice: od Působnost

Ochrana osobních údajů

2. Základní pojmy Osobním údajem je jakýkoli údaj, z něhož lze přímo či nepřímo zjistit identitu určité osoby.

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ. Tato směrnice je závazná pro všechny zaměstnance Jazykové školy Immer Vere.

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

Směrnice pro ochranu osobních údajů. (verze 1.2)

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

GDPR Obecné nařízení o ochraně osobních údajů

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

vnitřní směrnici: Správce osobních údajů (osoba odpovědná za správu domu podle občanského zákoníku) :

Politika ochrany osobních údajů

Informace o zpracování osobních údajů

Prohlášení o ochraně osobních údajů

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

SPORTOVNÍ GYMNÁZIUM DANY A EMILA ZÁTOPKOVÝCH, OSTRAVA, PŘÍSPĚVKOVÁ ORGANIZACE Volgogradská 2631/6, Ostrava-Zábřeh

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - REGISTR SMLUV

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - VÝBĚROVÁ ŘÍZENÍ

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

Informace k ochraně osobních údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚTVAR INTERNÍHO AUDITU

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Zásady ochrany osobních údajů

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Prohlášení o ochraně osobních údajů ve společnosti. TAJMAC-ZPS, a.s.

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ODBOR DORAVY

Základní škola Pelhřimov, Komenského Směrnice GDPR

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Transkript:

Základní škola T.G. Masaryka a Mateřská škola Písek, Čelakovského 24 SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ Vypracoval: Schválil: Mgr. Jiří Kothánek, ředitel školy Mgr. Jiří Kothánek, ředitel školy Směrnice nabývá platnosti dne: 25.05.2018 Směrnice nabývá účinnosti dne: 25.05.2018 Změny ve směrnici jsou prováděny formou číslovaných písemných dodatků, které tvoří součást tohoto předpisu. 1. Působnost a zásady směrnice 1.1. Tato směrnice je závazná pro všechny zaměstnance Základní školy T.G. Masaryka a Mateřské školy Písek, Čelakovského 24 (dále jen škola nebo Správce ), kteří se v rámci plnění svých úkolů dostanou do kontaktu s osobními údaji subjektů údajů. Kontrolu dodržování směrnice zabezpečují vedoucí zaměstnanci školy v rámci svých pravomocí daných organizačním řádem školy, pracovními náplněmi a dalšími vnitřními předpisy školy. 1.2. Tato směrnice upravuje postupy zaměstnanců školy, případně dalších osob, při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. 1.3. Tato směrnice je závazná i pro další osoby, které mají se školou jiný právní vztah (např. smlouva o dílo, nájemní smlouva) a které se zavázaly postupovat podle této směrnice. 2. Vymezení pojmů 2.1. Pro účely této směrnice se níže uvedenými pojmy rozumí: 2.1.1. GDPR: General Data Protection Regulation (NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů). 2.1.2. Osobní údaj: veškeré informace o fyzické osobě (např. jméno, adresa, datum narození, rodné číslo ) na základě kterých lze tuto osobu identifikovat. 2.1.3. Zvláštní kategorie údajů: osobní údaj takového charakteru, že může subjekt údajů sám o sobě poškodit ve společnosti, v zaměstnání, ve škole, nebo může zapříčinit jeho diskriminaci. Jde o údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj 1

subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. 2.1.4. Zpracování osobních údajů: jakákoliv operace s osobními údaji, jako je shromáždění, zaznamenání, uložení, pozměnění, nahlédnutí, použití, šíření, omezení, výmaz apod. 2.1.5. Správce: právnická nebo fyzická osoba (v tomto případě škola), která určuje účely a prostředky zpracování osobních údajů. 2.1.6. Zpracovatel: fyzická nebo právnická osoba, nebo subjekt, který zpracovává osobní údaje pro Správce. 2.1.7. Subjekt údajů: fyzická osoba, k níž se osobní údaje vztahují. 2.1.8. Pověřenec pro ochranu osobních údajů: osoba, která posuzuje činnost Správce či zpracovatele, zda je v souladu s platnou právní úpravou, informuje je, radí, dává doporučení. 2.1.9. Vedoucí zaměstnanec: zástupci ředitele, vedoucí vychovatelka, vedoucí učitelky MŠ, ekonom, vedoucí školní kuchyně. 3. Zákonnost, korektnost, transparentnost zpracování osobních údajů 3.1. Jakékoli osobní údaje jsou zpracovávány zákonným způsobem, tedy buď na základě zákona (právního předpisu), nebo se souhlasem subjektu údajů, jehož údaje se zpracovávají a z dalších právních důvodů. 3.2. Správce zajišťuje průběžnou kontrolu, zda nedochází ke zpracování osobních údajů nad rámec stanovený právním předpisem, zda údaje, které Správce získává, jsou pro jeho činnost nezbytné; zda všechny údaje jsou zpracovávány v souladu s právními předpisy. Údaje jsou poskytovány stručným, srozumitelným a snadno přístupným způsobem, za použití jednoznačných a jednoduchých jazykových prostředků. 3.3. Správce s osobními údaji nakládá uvážlivě, souhlas se zpracováním osobních údajů nenadužívá. 3.4. Správce dbát na to, aby osobní údaje byly pravdivé a přesné, při uzavírání smluv a právním jednání postupuje se zřetelem na povinnost chránit osobní údaje před zneužitím. Poskytuje při zpracování osobních údajů zvláštní ochranu dětem. 3.5. Subjekty údajů, jejichž osobní údaje jsou Správcem zpracovávány, jsou informovány prokazatelným způsobem: 3.5.1. o rozsahu a účelu zpracovávaných údajů, 3.5.2. zda jde o zpracovávání pro splnění právní povinnosti, nebo o zpracování na základě poskytnutého souhlasu, 3.5.3. o důvodech a lhůtách uložení informací, 3.5.4. o možnostech subjektu údajů při odvolání souhlasu, obracet se na zpracovatele dat, na možnosti námitek, na právo požadovat omezení zpracování dat jejich opravu či výmaz. 3.6. Pokud je pro zpracování osobních údajů nezbytný souhlas subjektu údajů, pak musí být informovaný, konkrétní, svobodný a jednoznačný. Zpracování osobních údajů je možné provádět až po získání souhlasu. Souhlas se uchovává po celou dobu zpracování údajů. 4. Účelové omezení zpracování osobních údajů 4.1. Osobní údaje jsou shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely. Údaje shromážděné pro různé účely nelze spojovat, musí být evidovány a zpracovány odděleně. 2

4.2. Rozsah zpracovávaných informaci je dán: 4.2.1. platnými právními předpisy, 4.2.2. platnými smlouvami, 4.2.3. veřejným zájmem, 4.2.4. výkonem veřejné moci, 4.2.5. oprávněným zájmem Správce, 4.2.6. zpracováním nezbytným pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, 4.2.7. zvláštními účely, které vyplynou z provozu Správce. Při těchto účelech jsou informace od subjektů údajů zpracovávány výhradně na základě poskytnutého souhlasu. 4.3. Rozsah osobních údajů zpracovávaných o dětech/žácích je dán požadavky právních předpisů, tzn. související s jednoznačnou identifikací dítěte/žáka (datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, údaj o zákonném zástupci, soudní rozhodnutí vztahující se k přidělení dítěte do výchovy, nutný zdravotní údaj apod.). 4.4. Rozsah osobních údajů zpracovávaných o zákonných zástupcích dětí/žáků a dalších osobách je dán požadavky právních předpisů, tzn. souvisejí s jednoznačnou identifikací zákonných zástupců dětí/žáků (jméno, příjmení, bydliště, kontakt, např. telefonní číslo pro případ nutného kontaktu školy se zákonným zástupcem v rámci ochrany zdraví, bezpečnosti a práv žáka, další údaje nezbytné např. pro vydání správního rozhodnutí apod.), 4.5. Rozsah osobních údajů zpracovávaných o zaměstnancích je dán požadavky právních předpisů a stanoven tak, aby zpracovávané údaje spolehlivě a věrohodně prokazovaly vznik, průběh a ukončení pracovně právního vztahu zaměstnance, včetně poskytování platu; dále splnění povinností vůči třetím osobám (např. zdravotní pojišťovny, ČSSZ, finanční úřad) a předpisů o archivaci. 4.6. Po uchazečích o zaměstnání jsou vyžadovány a zpracovávány pouze osobní údaje nezbytné pro posouzení vhodnosti uchazečů (kvalifikace, zdravotní způsobilost, apod.). Další rozšiřující informace jsou požadovány až po případném rozhodnutí o uzavření pracovně právního vztahu. Zaslané dokumenty od neúspěšných uchazečů jsou skartovány a jejich osobní údaje jsou vymazány, pokud zde není jiný právní důvod zpracování. 5. Minimalizace zpracování osobních údajů 5.1. Zpracovávané informace jsou omezeny jen na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, nelze požadovat údaje nepřiměřené, nerelevantní a pokud nejsou nezbytné. Údaje nelze uchovávat poté, co pomine právní základ, poté, co je naplněn účel zpracování. 5.2. Zaměstnanci školy jsou při získávání údajů subjektů údajů povinni používat výhradně Správcem schválené formuláře a jiné dokumenty. 5.3. Zvýšená pozornost je věnována zpracování zvláštní kategorii údajů. Tyto údaje jsou Správcem zpracovávány jen v nezbytném rozsahu a při zvýšeném zabezpečení. 6. Přesnost zpracování osobních údajů 6.1. Přesnost údajů je zajištěna: 6.1.1. ověřováním údajů poskytnutých subjektem údajů, například porovnáním s osobními doklady, 6.1.2. pravidelnými opakovanými kontrolami, 6.1.3. aktivním dotazováním, 3

6.1.4. uplatněním práva na opravu subjektem údajů. 7. Omezení uložení zpracování osobních údajů 7.1. Osobní údaje jsou uloženy pouze po nezbytnou dobu. Ta vychází zejména ze zákona o archivnictví, dalších relevantních předpisů a skartačního plánu spisového řádu. 7.2. Na konci úložné doby jsou data přezkoumána a odstraněna, pokud neexistuje oprávněný důvod pro jejich další uchování. 7.3. Listinné dokumenty jsou zničeny pomocí skartovacích kancelářských zařízení, nebo prostřednictvím certifikovaných společností zabývající se skartací a archivací dokumentů. 7.4. Dokumenty uložené v elektronické podobě jsou zničeny: 7.4.1. fyzickou destrukcí datových nosičů, pokud jde o CD, DVD, 7.4.2. použitím software zabezpečující vymazání (nesmí jít o pouhé smazání dokumentů, musí jít o opakované přepsání původních souborů novými údaji). 8. Integrita a důvěrnost zpracování osobních údajů 8.1. Osobní data jsou Správcem zpracovávána způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí technických a organizačních opatření před neoprávněným přístupem k údajům, náhodnou ztrátou, zničením, nebo poškozením. 9. Technická a organizační opatření správce 9.1. Povinnosti zaměstnanců školy jsou: 9.1.1. počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných školou, 9.1.2. zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců, dětí/žáků, zákonných zástupců a dalších osob, které škola zpracovává, 9.1.3. neposkytovat bez právního důvodu žádnou formou osobní údaje zaměstnanců školy, dětí/žáků, zákonných zástupců cizím osobám a institucím, tedy ani telefonicky ani e- mailem ani při osobním jednání, 9.1.4. zabezpečit spisy s osobními údaji tak, že v uzamykatelných prostorách budou dokumenty s osobními údaji umístěny do zamčených skříní, kartoték, 9.1.5. v době jejich přítomnosti i nepřítomnosti umožnit přístup do kanceláře pouze oprávněným osobám, 9.1.6. zamykat kanceláře při své nepřítomnosti (i krátkodobé) na pracovišti a zamezit vniknutí třetí neoprávněné osobě. Dveře musejí být v nepřítomnosti oprávněné osoby uzamčeny a okna uzavřeny, 9.1.7. odhlásit se z PC v případě nečinnosti, 9.1.8. k elektronické komunikaci (např. e-mail) používat jen školní počítače (tzn. pevné stanice, služební notebooky), 9.1.9. k elektronické komunikaci spojené se školou využívat jen přidělených e-mailových adres školy, tzn. s koncovou doménou..@tgmpisek.cz, nepřeposílat školní e-maily na své soukromé e-maily, 9.1.10. nepracovat s osobními údaji na ploše, je nutné vše zabezpečit a ukládat do příslušných zabezpečených složek, 9.1.11. zavést pravidla čistého stolu (dokumenty s osobními údaji nejsou ponechány volně na stole), 4

9.1.12. nutnost dodržovat bezpečnostní pravidla při manipulaci se svěřeným elektronickým zařízením (mobilní telefon zámek obrazovky/heslo, ochrana PC heslem apod.), 9.1.13. pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů, zneužití osobních nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost řediteli školy či příslušnému vedoucímu zaměstnanci. 9.2. Další technická opatření: 9.2.1. pseudonymizace, 9.2.2. anonymizace,šifrování, 9.2.3. antivirus a firewall, 9.2.4. pravidelně aktualizované operační systémy ICT, 9.2.5. logování, 9.2.6. diferencované přístupy v ICT systémech, 9.2.7. politika hesel (zadávat dostatečně silná hesla, tzn. kombinace malých a velkých písmen a číslic; nevyužívat data narození apod.; nepoužívat stejné heslo pro více přístupů; heslo pravidelně měnit), 9.2.8. pravidla pro emaily, tzn. důsledná kontrola adresátů, patička emailu s žádostí o zaslání zpět, není-li email adresován dané osobě, 9.2.9. automatická archivace a likvidace emailů po určité době, 9.2.10. pravidelné zálohování a zabezpečení záloh. 9.2.11. Klíčový režim: klíč od uzamykatelného prostoru i od uzamykatelných úložišť bude mít u sebe pouze oprávněná osoba a tyto klíče bude mít stále u sebe. Vedoucí zaměstnanec má k dispozici klíče od všech uzamykatelných prostorů v rámci úseku. 9.3. Třídní výkazy, katalogové listy a další materiály ze školní matriky, které obsahují osobní údaje dětí/žáků: 9.3.1. jsou trvale uloženy v uzamykatelných skříních v kanceláři ředitele školy nebo zástupce ředitele příslušného stupně, třídním učitelům jsou zapůjčeny na nezbytně dlouhou dobu k provedení zápisů, 9.3.2. v době zápisu pololetní klasifikace žáků jsou v čase určeném zástupcem ředitele příslušného stupně zapůjčeny pedagogům daného stupně do sborovny katalogové složky žáků, učitelé zapisují klasifikaci jen dle svého úvazku a výhradně ve sborovně; zástupce ředitele příslušného stupně každý den katalogové složky znovu vkládá do uzamykatelné skříně ve své kanceláři, 9.3.3. nelze celé či jejich části vynášet ze školy, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám. 9.4. Elektronická školní matrika 9.4.1. je vedena v zabezpečeném informačním systému modulu aplikace dm Software dle smlouvy s firmou dm Software s.r.o., 9.4.2. do tohoto systému mají přístup jednotliví pedagogové školy a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením, 9.4.3. při práci s elektronickou evidencí nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení 5

přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned ve spolupráci s ředitelem školy změnit, 9.4.4. přístupy nastavuje ředitel školy nebo jím pověřený zaměstnanec školy (dle pokynů ředitele školy), který nastavuje potřebné zabezpečení dat a školní počítačové sítě. 9.5. Osobní spisy zaměstnanců jsou uloženy v uzamykatelných skříních v kanceláři ředitele školy, přístup k nim má ředitel školy nebo zástupce ředitele, zastupuje-li ředitele, případně, je-li to nutné též mzdová účetní. 9.6. Písemná hodnocení a posudky, která se odesílají mimo školu, např. pro potřeby soudního řízení, přijímacího řízení, zpracovávají zaměstnanci určení ředitelem školy. Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem školy a mají povinnost zachovávat mlčenlivost o dané věci. 9.7. Seznamy dětí/žáků se nezveřejňují, neposkytují bez vědomého souhlasu zákonných zástupců dětí/žáků jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného škole nebo nevyplývá-li to ze zákona. 9.8. V propagačních materiálech školy, ve výroční zprávě či ročence školy, na školním webu či na nástěnkách ve škole apod. lze s obecným souhlasem zákonných zástupců dětí/žáků uveřejňovat textové informace o úspěších dětí/žáků (např. u soutěží umístění na předních místech) s uvedením pouze jména (případně ročníku). Při publikování v tisku se autor dotazuje na souhlas zákonného zástupce dítěte/žáka. 9.9. Psychologické, lékařské a jiné průzkumy a testování mezi dětmi/žáky, jejichž součástí by bylo uvedení osobních údajů dítěte/žáka, lze provádět jen se souhlasem zákonného zástupce dítěte/žáka. To se netýká anonymních průzkumů, které však musí souviset se vzděláváním na dané škole a musí s nimi předem písemně souhlasit ředitel či zástupce ředitele; to platí zvláště v případě, že výsledky jsou poskytovány mimo školu. 9.10. Pokud jsou pro vedení dokumentace využívány formuláře a software, je nutné provést kontrolu, zda nepožadují či nenabízejí evidenci nadbytečných údajů a tyto údaje nezpracovávat. 9.11. K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě zákona. 9.12. Do jednotlivých dokumentů školy, které obsahují osobní údaje, mohou nahlížet: 9.12.1. do osobního spisu zaměstnance, vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni, dále pak orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie ČR, Národní bezpečnostní úřad a zpravodajské služby; zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele, 9.12.2. do údajů žáka ve školní matrice pedagogičtí pracovníci školy (v rozsahu daném pedagogickou funkcí), 9.12.3. do údajů o zdravotním stavu žáka, zpráv o vyšetření ve školním poradenském zařízení, lékařských zpráv - výchovný poradce, vedoucí pedagogičtí pracovníci, třídní učitel, školní psycholog, školní speciální pedagog, 9.12.4. do spisu, vedeném ve správním řízení účastníci správního řízení, vedoucí pedagogičtí pracovníci, osoba, která je zmocněna s úředním spisem pracovat po dobu řízení. 9.13. Škola alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zjistí-li se, že některé postupy školy jsou zastaralé, zbytečné nebo se neosvědčily, učiní škola bezodkladně nápravu. 6

10. Záznamy o činnostech zpracování 10.1. O činnostech při zpracování jsou Správcem vedeny písemné záznamy, které jsou dostupné na webových stránkách školy. 10.2. Záznamy jsou vedeny podle jednotlivých agend. 10.3. Každý zaměstnanec má záznamy k dispozici v listinné nebo elektronické podobě. 10.4. Záznamy o činnostech obsahují následující údaje: identifikace Správce, identifikace pověřence pro ochranu osobních údajů, účely zpracování, popis kategorií subjektů údajů a kategorií osobních údajů, kategorie příjemců, případné předání do třetích zemí, lhůty pro výmaz, popis opatření. 10.5. Správce poskytne na požádání záznamy dozorovému úřadu. 11. Školení 11.1. Škola zajišťuje: 11.1.1. úvodní proškolení všech zaměstnanců při nabytí účinnosti směrnice GDPR, 11.1.2. vstupní školení všech nových zaměstnanců při vzniku jejich pracovněprávního vztahu, 11.1.3. periodická školení. 11.2. Dále zajišťuje preventivní školení postupu: 11.2.1. při výskytu případů porušení zabezpečení osobních údajů a při změně pravidel pro zabezpečení osobních údajů daných touto směrnicí, nebo směrnicemi, na které se odkazuje, 11.3. Při ukončování pracovněprávního vztahu zaměstnanců jsou tito poučeni o tom, že jejich povinnosti při ochraně osobních údajů trvají i po ukončení pracovněprávního vztahu ke škole. 11.4. Každý zaměstnanec je povinen seznámit se s ochranou osobních údajů při přijetí do pracovního poměru. Dále je povinen podepsat protokol o vstupním proškolení, který mu bude Správcem předložen v podobě přílohy pracovní smlouvy. 11.5. Správce je povinen každého nově příchozího zaměstnance proškolit, že: 11.5.1. je nutné postupovat dle skartačního řádu v případě dokumentů, u nichž uplynula skartační či archivační doba, 11.5.2. skartovat veškeré dokumenty s osobními údaji, u kterých skončil účel jejich zpracování, a není zde žádný právní důvod jejich dalšího zpracování, 11.5.3. u dokumentů, u kterých skončil účel jejich zpracování a které je nutné si nadále ponechat, je nezbytné stanovit následný účel zpracování a podřadit jej pod některý z výčtu právních důvodů. 11.6. Správce je povinen každý subjekt údajů seznámit s informacemi dle článku 13 a 14 GDPR. 12. Zajištění počítačové (kybernetické) bezpečnosti 12.1. Kybernetická bezpečnost je zajišťována na všech počítačích Správce (tzn. umístěných trvale ve škole i notebooků zaměstnanců poskytnutých školou): 12.1.1. instalací antivirových programů, firewallu, 12.1.2. stanovením přístupových práv, hesel, zákazu sdílení hesel několika osobami, 12.1.3. pravidelné zálohování dat tak, aby nedošlo k jejich ztrátě při případném odcizení či poruše počítače a byla zajištěna schopnost obnovy dat v případě fyzických či technických incidentů, 12.1.4. zajištění automatických bezpečnostních aktualizací používaného software, 7

12.1.5. při jakékoli likvidaci hardware musí být znemožněna možnost získání uložených osobních údajů, 12.1.6. používání pouze silných hesel (heslo o délce minimálně osmi znaků, vždy musí jít o kombinaci malých a velkých písmen a čísel, případně zvláštních znaků), 12.1.7. mazání a neotvírání nevyžádané pošty, odmazávání SPAM v emailové schránce i v počítačích, 12.1.8. pravidelný servis a výpočetní techniky je zaměřen i na kontrolu oblasti bezpečnosti dat, 12.1.9. je prováděno pravidelné testování přijatých technických a organizačních opatření, 12.1.10. pravidelným školením zaměstnanců v této oblasti. 12.2. Skenování: při skenování dokumentů do společné složky je nutné vše neprodleně vymazat. 12.3. Kopírování: 12.3.1. při tisku a kopírování je nutné ihned vyzvedávat vytištěné či okopírované dokumenty z tiskárny, 12.3.2. dokumenty s osobními údaji přednostně tisknout na tiskárnách v kancelářích, 12.3.3. každý zaměstnanec je povinen zamykat místnost s kopírovacím zařízením. 13. Provozování kamerového systému správce 13.1. Kamerové systémy školy jsou bez záznamového zařízení. Slouží jen pro identifikaci osoby před vstupem do školy po zazvonění na kanceláře. 14. Směrnice, vnitřní předpisy správce 14.1. Vydané vnitřní předpisy školy jsou průběžně doplňovány o problematiku GDPR. 14.2. Postup v oblasti ochrany osobních údajů se řídí vždy touto směrnicí. 14.3. Ostatní interní předpisy školy musí být vždy v souladu se směrnicí o ochraně osobních údajů. 15. Zpracovatelské smlouvy a úprava ostatních smluv správce 15.1. Správce je povinen uzavřít s každým zpracovatelem zpracovatelskou smlouvu nebo dodatek zpracovatelské smlouvy. 15.2. Náležitost zpracovatelské smlouvy nebo dodatku: 15.2.1. předmět zpracování, doba trvání zpracování, povaha a účel zpracování, typ osobních údajů, kategorie osobních údajů, povinnosti a práva Správce, 15.2.2. informace, že zpracování probíhá na základě doložených pokynů Správce, 15.2.3. povinnost mlčenlivosti, 15.2.4. závazek přijmout vhodná technická a organizační opatření dle článku 32 GDPR, 15.2.5. podmínka pro zapojení dalšího zpracovatele, 15.2.6. závazek zohlednění povahy zpracování a nápomoci Správci včetně nápomoci dle článku 32 a 36 GDPR, 15.2.7. na pokyn Správce je zpracovatel povinen vymazat osobní údaje nebo je vrátit Správci a kopie vymaže, 15.2.8. zpracovatel je povinen poskytnout správci součinnost k doložení uvedených povinností. 15.3. Uzavírá-li škola jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, řídí se výše uvedenými body v článku 15. 8

16. Postup ohlašování případů porušení zabezpečení ÚOOÚ 16.1. V případě, kdy dojde k porušení zabezpečení osobních údajů je Správce povinen bez zbytečného odkladu tj. do 72 hodin od doby, kdy se o této skutečnosti dozvěděl, nahlásit porušení zabezpečení Úřadu pro ochranu osobních údajů. 16.2. Vyhodnotí-li Správce, že je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody subjektu údajů, nemusí porušení ohlašovat. 16.3. Správce je povinen v této záležitosti vést evidenci porušení zabezpečení ochrany osobních údajů ve formě schválených šablon. Vedení těchto evidencí je přeneseno na vedoucí zaměstnance. 16.4. Ohlášení se prování ve formě formuláře, který jsou vedoucí zaměstnanci povinni mít u sebe v listinné nebo elektronické podobě. 16.5. Vedoucí zaměstnanec zaznamená neprodleně porušení zabezpečení do šablony a ohlásí tuto skutečnost řediteli školy bez zbytečného odkladu, který ji oznámí pověřenci pro ochranu osobních údajů. 16.6. Pověřenec pro ochranu osobních údajů je odpovědný za ohlášení porušení zabezpečení Úřadu pro ochranu osobních údajů ve stanovené lhůtě. V případě nedodržení stanovené povinnosti ve formě zaznamenání porušení zabezpečení do šablony a nahlášení této skutečnosti řediteli školy, dopadá odpovědnost na vedoucího zaměstnance. 16.7. Náležitosti šablony: popis povahy případu, kategorií a množství dotčených subjektů údajů; kontaktní údaje pověřence pro ochranu osobních údajů; popis pravděpodobných důsledků; popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit porušení nebo zmírnit důsledky. 16.8. Náležitosti formuláře: identifikační údaje Správce; identifikace pověřence pro ochranu osobních údajů; typ oznámení; hlavní údaje k porušení zabezpečení; doplňující informace. 16.9. Správce je povinen seznámit zaměstnance s touto povinností. 17. Postup oznamování případů porušení zabezpečení subjektu údajů 17.1. V případě, kdy dojde k porušení zabezpečení osobních údajů je Správce povinen bez zbytečného odkladu tj. do 72 hodin od doby, kdy se o této skutečnosti dozvěděl, oznámit porušení zabezpečení subjektu údajů. 17.2. Vyhodnotí-li Správce, že je nepravděpodobné, že by porušení mělo za následek vysoké riziko pro práva a svobody subjektu údajů, nemusí porušení ohlašovat. 17.3. Správce je povinen v této záležitosti vést evidenci porušení zabezpečení ochrany osobních údajů ve formě schválených šablon. Vedení těchto evidencí je přeneseno na vedoucí zaměstnance. 17.4. Oznámení se prování ve formě formuláře, který jsou vedoucí zaměstnnaci povinni mít u sebe v listinné nebo elektronické podobě. 17.5. Vedoucí zaměstnanec zaznamená neprodleně porušení zabezpečení do šablony a ohlásí tuto skutečnost řediteli školy bez zbytečného odkladu, který ji oznámí pověřenci pro ochranu osobních údajů. 17.6. Pověřenec pro ochranu osobních údajů je odpovědný za oznámení porušení zabezpečení subjektu údajů ve stanovené lhůtě. V případě nedodržení stanovené povinnosti ve formě zaznamenání porušení zabezpečení do šablony dopadá odpovědnost na vedoucího zaměstnance. 9

17.7. Náležitosti šablony: popis povahy případu, kategorií a množství dotčených subjektů údajů; kontaktní údaje pověřence pro ochranu osobních údajů; popis pravděpodobných důsledků; popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit porušení nebo zmírnit důsledky. 17.8. Náležitosti formuláře: identifikační údaje Správce; identifikace pověřence pro ochranu osobních údajů; typ oznámení; hlavní údaje k porušení zabezpečení; doplňující informace. 17.9. Správce je povinen seznámit zaměstnance s touto povinností. 18. Pověřenec pro ochranu osobních údajů správce 18.1. Pro školu je pověřencem pro ochranu osobních údajů zaměstnanec města. Se školou je uzavřena Smlouva o výkonu funkce pověřence GDPR. 18.2. Kontaktní údaje pověřence pro ochranu osobních údajů je Správce povinen uveřejnit na internetových stránkách a sdělit je dozorovému úřadu. 18.3. Povinnosti pověřence pro ochranu osobních údajů: 18.3.1. poskytování informací a poradenství Správci a příspěvkovým organizacím, 18.3.2. monitorování souladu s GDPR, 18.3.3. poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho uplatňování dle článku 35 GDPR, 18.3.4. spolupráce s dozorovým úřadem, 18.3.5. působení jako kontaktní místo pro dozorový orgán. 18.4. Pověřenec pro ochranu osobních údajů je také kontaktní osobou pro subjekty osobních údajů. 18.5. Pověřenec pro ochranu osobních údajů řeší uplatňování práv subjektů údajů v součinnosti s kontaktní osobou školy, kterou je ředitel a jeho statutární zástupce. 19. Právo na přístup subjektu údajů 19.1. Subjekt údajů má právo získat od Správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k informacím dle článku 15 GDPR. 19.2. Správce je povinen poskytnout kopii zpracovávaných osobních údajů. Za další kopie je Správce oprávněn účtovat poplatek na základě administrativních nákladů. 19.3. Uplatňování práv subjektů údajů vyřizuje ředitel školy případně jeho statutární zástupce. 19.4. V případě uplatňování práv ze strany subjektů údajů je postupováno následovně: 19.4.1. při osobní žádosti zaměstnanec školy poskytne subjektu údajů informaci o řediteli školy, který je kompetentní v tomto případě žádost přijmout, ředitel školy sepíše se subjektem údajů záznam, 19.4.2. při písemné žádosti odevzdá zaměstnanec školy písemnost řediteli školy, 19.4.3. při elektronické žádosti zaměstnanec školy odešle písemnost řediteli školy. 19.5. Ředitel školy kontaktuje neprodleně po obdržení žádosti osoby vedoucího zaměstnance, který je povinen poskytnout součinnost řediteli školy ve lhůtě 3 pracovních dnů. 19.6. Na základě shromážděných dat od vedoucího zaměstnance/-ů vyhotoví ředitel školy odpověď ve lhůtě stanové GDPR. 20. Právo na opravu a doplnění subjektu údajů 10

20.1. Subjekt údajů má právo na to, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelu zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. 20.2. Správce je povinen na základě upozornění subjektu údajů opravit či doplnit jím udávané nepřesné údaje 20.3. V případě provedené opravy informuje o těchto změnách příjemce osobních údajů a ostatní správce. 20.4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: 20.4.1. při osobní žádosti zaměstnanec školy poskytne subjektu údajů informaci o řediteli školy, který je kompetentní v tomto případě žádost přijmout, ředitel školy sepíše se subjektem údajů záznam, 20.4.2. při písemné žádosti odevzdá zaměstnanec školy písemnost řediteli školy, 20.4.3. při elektronické žádosti zaměstnanec školy odešle písemnost řediteli školy. 20.5. Po vyhodnocení oprávněného nároku budou údaje opraveny nebo doplněny zaměstnanci zpracovávajícími dotčené osobní údaje. 21. Právo na výmaz subjektu údajů 21.1. Subjekt údajů má právo na to, aby Správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů uvedených v článku 17 GDPR. 21.2. Pokud Správce osobní údaje zveřejnil a je povinen je podle článku 17 GDPR odst. 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či repliky. 21.3. V případě provedeného výmazu informuje o těchto změnách příjemce osobních údajů a ostatní správce. 21.4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: 21.4.1. při osobní žádosti zaměstnanec školy poskytne subjektu údajů informaci o řediteli školy, který je kompetentní v tomto případě žádost přijmout, ředitel školy sepíše se subjektem údajů záznam, 21.4.2. při písemné žádosti odevzdá zaměstnanec školy písemnost řediteli školy, 21.4.3. při elektronické žádosti zaměstnanec školy odešle písemnost řediteli školy. 21.5. Po vyhodnocení oprávněného nároku budou údaje vymazány zaměstnanci zpracovávajícími dotčené osobní údaje. 22. Právo na omezení zpracování subjektu údajů 22.1. Subjekt údajů má právo na to, aby Správce omezil zpracování v případech uvedených v článku 18 GDPR. 22.2. V případě provedeného omezení zpracování informuje o těchto skutečnostech příjemce osobních údajů a ostatní správce. 22.3. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: 22.3.1. při osobní žádosti zaměstnanec školy poskytne subjektu údajů informaci o řediteli školy, který je kompetentní v tomto případě žádost přijmout, ředitel školy sepíše se subjektem údajů záznam, 22.3.2. při písemné žádosti odevzdá zaměstnanec školy písemnost řediteli školy, 11

22.3.3. při elektronické žádosti zaměstnanec školy odešle písemnost řediteli školy. 22.4. Po vyhodnocení oprávněného nároku bude omezeno zpracování osobních údajů provedeno zaměstnanci zpracovávajícími dotčené osobní údaje. 23. Právo na přenositelnost subjektu údajů 23.1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu Správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě že: 23.1.1. zpracování je založeno na souhlasu podle článku 6 odst. 1 písm. a) nebo článku 9 odst. 2 písm. a), 23.1.2. zpracování je založeno na smlouvě podle článku 6 odst. 1 písm. b), 23.1.3. a zpracování se provádí automatizovaně (pomocí výpočetní techniky). 23.2. Subjekt údajů má právo na to, aby osobní údaje byly předány přímo jedním Správcem správci druhému, je-li to technicky proveditelné. 23.3. Toto právo se nevztahuje na zpracování nezbytné pro plnění úkolů ve veřejném zájmu nebo při výkonu veřejné moci, kterým je Správce pověřen. 23.4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: 23.4.1. při osobní žádosti zaměstnanec školy poskytne subjektu údajů informaci o řediteli školy, který je kompetentní v tomto případě žádost přijmout, ředitel školy sepíše se subjektem údajů záznam, 23.4.2. při písemné žádosti odevzdá zaměstnanec školy písemnost řediteli školy, 23.4.3. při elektronické žádosti zaměstnanec školy odešle písemnost řediteli školy. 23.5. Po vyhodnocení oprávněného nároku bude postupováno dle článku 20 GDPR. 24. Právo vznést námitku subjektu údajů 24.1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě článku 6 odst. 1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. 24.2. V případě uplatňování práv ze strany subjektů údajů je postupováno následovně: 24.2.1. při osobní žádosti zaměstnanec školy poskytne subjektu údajů informaci o řediteli školy, který je kompetentní v tomto případě žádost přijmout, ředitel školy sepíše se subjektem údajů záznam, 24.2.2. při písemné žádosti odevzdá zaměstnanec školy písemnost řediteli školy, 24.2.3. při elektronické žádosti zaměstnanec školy odešle písemnost řediteli školy. 24.3. Po vyhodnocení oprávněného nároku bude postupováno dle článku 21 GDPR. 25. Výčet situací a postupy při vyžadování souhlasu se zpracováním a při odvolání souhlasu 25.1. Souhlas musí být konkrétní, jednoznačný, svobodný a informovaný. Udělení souhlasu muže být následující: a) výslovné, b) nevýslovné. 12

25.2. Správce musí být po celou dobu trvání souhlasu schopen doložit, že subjekt údajů souhlas udělil. 25.3. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišen (např. Smlouva). 25.4. Subjekt údajů má právo svůj souhlas kdykoliv odvolat. O této možnosti musí být subjekt údajů předem informován. Odvolání souhlasu musí být stejně snadné, jako jeho udělení. 25.5. Souhlas může být odvolán: a) v papírové podobě, b) elektronicky, c) ústně, o čemž bude proveden záznam. 25.6. Správce vyžaduje po subjektu údajů souhlas pouze tehdy, je-li to nezbytně nutné. 25.7. Správce je oprávněn souhlas vyžadovat tehdy, pokud zde není jiný právní důvod shromáždění nebo zpracování osobních údajů dle článku 6 GDPR. 25.8. Náležitosti souhlasu: 25.8.1. identifikace Správce, 25.8.2. identifikace pověřence pro ochranu osobních údajů, 25.8.3. údaje subjektu údajů, 25.8.4. účel zpracování, 25.8.5. rozsah zpracovávaných osobních údajů, 25.8.6. oprávněný zájem Správce, 25.8.7. příjemce nebo kategorie příjemců, 25.8.8. případný úmysl Správce poskytnou údaje do třetích zemí, 25.8.9. doba trvání souhlasu, 25.8.10. existence práv subjektu údajů, 25.8.11. právo souhlas kdykoliv odvolat, 25.8.12. informaci o tom, že osobní údaje budou zpracovávány automatizovaně, 25.8.13. podpis, datum a místo. 25.9. Souhlas se poskytuje podle účelu např. na celé období školní docházky na škole, na školní rok, na dobu školy v přírodě apod. 26. Nakládání se zvláštní kategorií osobních údajů 26.1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. 26.2. Zvláštní kategorii osobních údaje může Správce zpracovávat v případech uvedených v článku 9 GDPR. 26.3. Do zvláštní kategorie osobních údajů řadíme také osobní údaje dětí. 27. Informační povinnost dle článku 13 GDPR 27.1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným, a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace dle článku 13 a 14 GDPR a učiní veškerá sdělení dle článku 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. 13

27.2. Informace jsou poskytovány písemně nebo jinými prostředky, ve vhodných případech v elektronické formě. 27.3. Správce je povinen poskytnout subjektu údajů v okamžiku získání jeho osobních údajů informace dle článku 13 GDPR. 27.4. Informační povinnost provede Správce prostřednictvím zásad ochrany osobních údajů (dále jen zásady ) následovně: 27.4.1. žádosti: zásady budou vyvěšeny na internetových stránkách a v prostorách Správce a odkazy na ně budou zakomponovány do jednotlivých žádostí, 27.4.2. smlouvy: zásady budou ke smlouvám přikládány v papírové podobě, 27.4.3. rozhodnutí, výzvy k doplnění atd.: zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, 27.4.4. ohlášení: zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, 27.4.5. matrika: zásady budou přikládány k relevantním dokumentům v papírové podobě, 27.4.6. legalizace, vidimace, informační systémy veřejné správy: zaměstnanec seznámí subjekt údajů se zásadami a místem uložení zásad ústně. Subjekt údajů se bude moci se zásadami seznámit na konkrétním místě v papírové podobě. Zaměstnanec je povinen mít zásady k dispozici pro případné jejich vyžádání, 27.4.7. výběrová řízení na nové zaměstnance: zásady budou zakomponovány přímo do vyhlášeného výběrového řízení, případně může být zakomponován odkaz na zásady vyvěšené na internetových stránkách, 27.4.8. pozvánky: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do pozvánky, 27.4.9. pracovní smlouvy: zásady budou ke smlouvám přikládány v papírové podobě, 27.4.10. osobní dotazník: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány osobního dotazníku, 27.4.11. formuláře: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do formulářů, 27.4.12. vyhlášky: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do vyhlášek, 27.4.13. V každém relevantním dokumentu bude poučení o informační povinnosti Správce. 27.5. Informační povinnost při elektronické komunikaci: 27.5.1. datová zpráva: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do datové zprávy, 27.5.2. email: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do emailu. 27.6. Pokud subjekt údajů dané informace má a do té míry, v níž je má, Správce není povinen mu je opakovaně poskytovat. 28. Informační povinnost dle článku 14 GDPR 28.1. V případě, že osobní údaje nebyly získány od subjektu údajů, poskytne Správce subjektu údajů informace dle článku 14 GDPR. 28.2. Správce poskytne subjektu údajů informace následujícím způsobem: 28.2.1. v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány, 14

28.2.2. nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace, 28.2.3. nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci, 28.3. Pokud subjekt údajů dané informace má nebo se ukáže, že poskytnutí takové informace není možné a dále v případech uvedených dle článku 14 GDPR, Správce není povinen mu je poskytovat. 28.4. Informační povinnost provede Správce prostřednictvím zásad ochrany osobních údajů nebo telefonicky. 29. Závěrečná ustanovení 29.1. Kontrolou provádění ustanovení této směrnice je pověřen ředitel školy. 29.2. Uložení směrnice se řídí spisovým řádem školy. 29.3. Směrnice nabývá účinnosti a platnosti dne 25.5. 2018. V Písku 24.05.2018 Mgr. Jiří Kothánek, v.r. ředitel školy 15

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář