Základní škla nám. Curievých POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ Řád: 15/2018 Účinnst d: 25.5.2018 Čísl jednací: ZS_Curie 435/2018 Datum zpracvání: 26.4.2018 Vypracval: Ing. Tmáš Kubínek, I3 Cnsultants s.r.., K Trninám 945/34, 163 00 Praha Schválil: Mgr. Tereza Martínkvá Spisvý znak: A.4. Skartační znak: A5 Datum revize: 31.8.2018 Dkument je duševním vlastnictvím splečnsti I3 Cnsultants s.r.. Tat vnitřní směrnice Základní škly nám. Curievých upravuje plitiku chrany sbních údajů v příspěvkvé rganizaci a sučasně deklaruje vůli vedení rganizace infrmvat zaměstnance významu chrany sbních údajů a jeh pdpře pr zavedení řízenéh systému zpracvání a chrany sbních údajů, který je v suladu s Nařízením Evrpskéh parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES (becné nařízení chraně sbních údajů) General Data Prtectin Regulatin (dále jen GDPR ).
OBSAH 1 Úvd... 5 2 Hlavní cíle chrany sbních údajů... 6 3 Zásady zpracvání a chrany sbních údajů... 7
SEZNAM POUŽITÝCH POJMŮ A ZKRATEK GDPR Nařízení Evrpskéh parlamentu a Rady (EU) č. 2016/679 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES (becné nařízení chraně sbních údajů). (General Data Prtectin Regulatin) Osbní údaj Pvěřenec pr chranu sbních údajů Správce sbních údajů Veducí zaměstnanci Zaměstnanci Veškeré infrmace identifikvané neb identifikvatelné fyzické sbě (dále jen subjekt údajů"); identifikvatelnu fyzicku sbu je fyzická sba, kteru lze přím či nepřím identifikvat, zejména dkazem na určitý identifikátr, například jmén, identifikační čísl, lkační údaje, síťvý identifikátr neb na jeden či více zvláštních prvků fyzické, fyzilgické, genetické, psychické, eknmické, kulturní neb splečenské identity tét fyzické sby. Zaměstnanec příspěvkvé rganizace Základní škla nám. Curievých ustavený d funkce pvěřence pr chranu sbních údajů. Dplnit název příspěvkvé rganizace. Veducí zaměstnance stanví ředitel rganizace. Zaměstnanci příspěvkvé rganizace. Zaměstnanci vyknávající práci na základě dhd pracích knaných mim pracvní pměr. Záznam činnsti zpracvání Zpracvání sbních údajů Zpracvatel Dkument bsahující údaje dle čl. 30 becnéh nařízení, který vedu pr jedntlivé účely zpracvání v rzsahu své půsbnsti veducí zaměstnanci a v celkvé evidenci také pvěřenec pr chranu sbních údajů. Jakákliv perace neb subr perací s sbními údaji neb subry sbních údajů, který je prváděn pmcí či bez pmci autmatizvaných pstupů, jak je shrmáždění, zaznamenání, uspřádání, strukturvání, ulžení, přizpůsbení neb pzměnění, vyhledání, nahlédnutí, pužití, zpřístupnění přensem, šíření neb jakékliv jiné zpřístupnění, seřazení či zkmbinvání, mezení, výmaz neb zničení. Fyzická neb právnická sba, rgán veřejné mci, agentura neb jiný subjekt, který zpracvává sbní údaje pr správce.
PREAMBULE Rle definvané tímt dkumentem předpkládají, že je bude vyknávat i žena. Avšak z důvdu zjedndušení textu jsu pužity názvy jedntlivých rlí v mužském rdě. Bude-li danu rli zajištvat žena, předpkládá se autmatické přechylvání názvů jedntlivých rlí bez nutnsti úpravy směrnice.
1 ÚVOD Dkument Plitika chrany sbních údajů frmuluje základní cíle a zásady při zpracvání a chraně sbních údajů u příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1. Dkument sučasně deklaruje vůli vedení příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 infrmvat zaměstnance významu chrany sbních údajů a jeh pdpře pr zavedení řízenéh systému zpracvání a chrany sbních údajů, který je v suladu s Nařízením Evrpskéh parlamentu a Rady EU 2016/679 ze dne 27. dubna 2016 chraně fyzických sb v suvislsti se zpracváním sbních údajů a vlném phybu těcht údajů a zrušení směrnice 95/46/ES (becné nařízení chraně sbních údajů) General Data Prtectin Regulatin (dále jen GDPR ). Dkument vyjadřuje pdpru vedení příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1pr zavedení, prvzvání, hdncení výknnsti a neustálé zlepšvání tht systému.
2 HLAVNÍ CÍLE OCHRANY OSOBNÍCH ÚDAJŮ Hlavními cíli chrany sbních údajů jsu: 1) Zajištění chrany fyzických sb v suvislsti se zpracváním jejich sbních údajů. 2) Zajištění práv a svbd fyzických sb v suvislsti se zpracváním jejich sbních údajů. 3) Udržvání trvaléh suladu s pžadavky GDPR. 4) Udržvání suladu s dalšími právními a technickými pžadavky stanvenými platnými suvisejícími právními předpisy a technickými nrmami. 5) Zajistit schpnst předcházet a zvládat nežáducí událsti. 6) Prsazení dpvědnsti zaměstnanců při zajišťvání chrany sbních údajů. 7) Neustálé zlepšvání vhdnsti, přiměřensti a účinnsti systému řízení chrany sbních údajů.
3 ZÁSADY ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ Zpracvání a chrana sbních údajů v prstředí příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1se řídí následujícími zásadami GDPR: 1. Záknnst zpracvání sbních údajů U příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1jsu zpracvávány sbní údaje zejména za účelem: 1) Zajištění vzdělávání a) Zápis k základnímu vzdělávání, b) zajištění základníh vzdělávání, c) zájmvé vzdělávání ve šklní družině, d) další vzdělávání pedaggických pracvníků, e) vzdělávací prgram Erasmus+. 2) Zajištění služeb a) Pskytvání pradenských služeb ve šklách, b) evidence čtenářů šklní knihvny. 3) Zajištění interních prcesů a prvzu rganizace a) Výběrvá řízení na zaměstnance, b) pracvněprávní a mzdvá agenda, c) evidence uchazečů zaměstnání, d) evidence úrazů, e) pskytvání infrmací dle zákna svbdném přístupu k infrmacím, f) chrana majetku a sb, g) prezentace příspěvkvé rganizace, h) rganizace škl v přírdě, zájezdů, exkurzí, sprtvních pbytvých kurzů atd., i) vydávání šklních průkazů (ISIC atd.), j) prjekty, žádsti dtace, k) vedení účetnictví příspěvkvé rganizace, l) smluvy a bjednávky služeb. K těmt účelům zpracvání jsu zpracvány pdklady pr záznamy činnstech zpracvání. Všechna zpracvání jsu prváděna na základě stanvenéh právníh základu, který je uveden v příslušném záznamu činnstech zpracvání pr daný účel.
Odpvědnst za udržvání aktuálnsti a úplnsti záznamů činnstech mají příslušní veducí zaměstnanci, vždy v sučinnsti s pvěřencem pr chranu sbních údajů, který zdpvídá za jejich evidenci a aktualizaci v sučinnsti s příslušným veducím zaměstnancem. Pkyny pr realizaci tét zásady jsu pdrbněji rzpracvány ve vnitřním předpisu č. 16/2018 ze dne 24.5.2018 Pvinnsti sb při zpracvání sbních údajů. 2. Omezení účelem U příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1jsu sbní údaje shrmažďvány jen pr předem vymezené, výslvně vyjádřené a legitimní účely. Pr naplnění zásady jsu uplatňvána následující pravidla: 1) Pr každé zpracvání je vždy předem stanven knkrétní a legitimní účel. 2) Právní základ zpracvání je vztažen vždy k jedntlivým účelům. 3) Osbní údaje jsu zpracvávány puze pr daný účel a je zakázán je využívat pr jiné účely, vyjma situace, kdy k jejich dalšímu využití udělil subjekt údajů suhlas neb v dalších případech stanvených dst. 4 Čl.6 GDPR. 4) Údaje shrmážděné pr různé účely je zakázán spjvat, jsu evidvány a zpracvávány dděleně, vyjma účelů, jejichž spjení umžňuje zvláštní zákn aneb pr účely archivace ve veřejném zájmu. Odpvědnst za ddržvání tét zásady mají všichni veducí zaměstnanci, v jejichž půsbnsti a agendách se sbní údaje zpracvávají. Odpvědnst za kntrlu tét zásady má pvěřenec pr chranu sbních údajů. Pkyny pr realizaci tét zásady jsu pdrbněji rzpracvány ve vnitřním předpisu č. 16/2018 ze dne 24.5.2018 Pvinnsti sb při zpracvání sbních údajů. 3. Minimalizace údajů a mezení ulžení U příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 jsu sbní údaje zpracvávané puze pr stanvený účel a puze p nezbytně dluhu dbu. Pr naplnění tét zásady jsu uplatňvána následující pravidla: 1) Je zakázán shrmažďvat a zpracvávat: nepřiměřené sbní údaje (každý zpracvávaný sbní musí být pr daný účel nezbytný), nerelevantní sbní údaje (každý zpracvávaný sbní údaj musí mít dpvídající právní základ). Tt pravidl je u stávajících účelů zpracvání zaveden tím, že v záznamech činnstech zpracvání jsu vyjmenvány kategrie údajů, které jsu verifikvány pvěřencem pr chranu sbních údajů v sučinnsti s dpvědnými veducími zaměstnanci.
U případných buducích účelů zpracvání bude, v suladu s pravidly standardní chrany, pravidl uplatňván stejným způsbem a před zahájením zpracvání pět verifikván pvěřencem pr chranu sbních údajů. Odpvědnst za ddržvání tét zásady mají všichni veducí zaměstnanci a zaměstnanci, v jejichž půsbnsti a agendách se sbní údaje zpracvávají. Odpvědnst za verifikaci a kntrlu tét zásady má pvěřenec pr chranu sbních údajů. 2) Osbní údaje jsu uchvávány v listinné i elektrnické pdbě puze p mezenu dbu, dpvídající účelu zpracvání. P uknčení tét dby jsu likvidvány neb mazány v suladu s pravidly a lhůtami stanvenými ve vnitřním předpisu č. 05/2015 ze dne 1.9.2015 Spisvý a skartační řád, neb ve lhůtě stanvené dpvědným veducím zaměstnancem, která je uvedena v záznamu činnstech zpracvání. Odpvědnst za ddržvání tét zásady mají u listinné pdby všichni veducí zaměstnanci, v jejichž půsbnsti a agendách se sbní údaje zpracvávají. Odpvědnst za ddržvání tét zásady u elektrnické pdby má zaměstnanec neb sba (fyzická sba pdnikající neb právnická sba na základě uzavřenéh smluvníh vztahu), dpvídající za správu a prvz infrmačních technlgií. Odpvědnst za kntrlu tét zásady má pvěřenec pr chranu sbních údajů. 3) Osbní údaje jsu přístupné jen c nejmenšímu pčtu sb. Tt pravidl je zaveden tím, že jsu určena a zavedena pravidla pr řízení přístupu k sbním údajům v listinné i elektrnické pdbě a dále pr zveřejňvání, sdílení a předávání infrmací. Odpvědnst za ddržvání tét zásady mají všichni veducí zaměstnanci a zaměstnanci. Odpvědnst za kntrlu tét zásady má pvěřenec pr chranu sbních údajů. Pkyny pr realizaci tét zásady jsu pdrbněji rzpracvány ve vnitřním předpisu č. 16/2018 ze dne 24.5.2018 Pvinnsti sb při zpracvání sbních údajů. 4. Přesnst sbních údajů U příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 jsu zpracvávané puze přesné sbní údaje. Zásady aktualizace zpracvávaných dat jsu nastaveny způsbem dpvídajícím kritičnsti jejich mžných dpadů na subjekty údajů. Zaměstnanec dpvědný za přípravu a uzavření pracvní smluvy pučuje každéh zaměstnance pvinnsti hlásit případné změny všech jím předaných sbních údajů. Záknní zástupci jsu pučeni tét pvinnsti vždy při zahájení šklníh rku a tat pvinnst je zahrnuta i ve šklním řádu. Odpvědnst za stanvení způsbu věřvání přesnsti dat mají všichni veducí zaměstnanci, v jejichž půsbnsti a agendách se sbní údaje zpracvávají. Odpvědnst za kntrlu tét zásady má pvěřenec pr chranu sbních údajů.
5. Krektnst a transparentnst při zpracvání sbních údajů Při zpracvání sbních údajů v půsbnsti příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 jsu subjekty údajů transparentně infrmvány těmit způsby: základní infrmace na webvých stránkách příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 dstupná všem subjektům údajů dálkvým přístupem, dplňující infrmace zpracvání sbních údajů pskytvané k jedntlivým účelům zpracvání před zahájením shrmažďvání sbních údajů, písemná infrmace zpracvání sbních údajů pr účely pracvněprávní agendy pskytvaná nvým zaměstnancům, infrmace zaměstnancům dhledu nad užíváním infrmačních a kmunikačních technlgií na pracvišti, infrmace zaměstnancům mnitringu dcházky, infrmace mnitringu bjektů a prstr kamervými systémy. U příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 jsu stanveny pstupy pr výkn práv subjektu údajů. Těmit právy se rzumí: práv na přístup k sbním údajům, práv na pravu nepřesných sbních údajů, práv na výmaz (být zapmenut), práv na mezení zpracvání, práv na přensitelnst, práv vznést námitku prti zpracvání sbních údajů, práv nebýt předmětem autmatizvanéh individuálníh rzhdvání. Výkn práv subjektů údajů u příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 krdinuje pvěřenec pr chranu sbních údajů ve splupráci s příslušnými veducími zaměstnanci, d jejichž půsbnsti příslušný pžadavek na uplatnění práva spadá. Za výkn práv subjektů údajů u příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 jsu dpvědní: pvěřenec pr chranu sbních údajů, veducí zaměstnanci.
Pkyny pr realizaci tét zásady jsu pdrbněji rzpracvány ve vnitřním předpisu č. 16/2018 a č. 17/2018 ze dne 24.5.2018 Pvinnsti sb při zpracvání sbních údajů, Výkn práv subjektu údajů. 6. Důvěrnst, integrita a dstupnst sbních údajů U příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 jsu za účelem chrany sbních údajů přijata vhdná technická a rganizační patření dpvídající kntextu a účelům zpracvání sbních údajů. Veškerá technická a rganizační patření jsu přijata na základě prvedené analýzy infrmačních rizik. Analýza rizik byla prvedena na základě: a) psuzení hrzeb půsbících na aktiva, v rámci kterých jsu zpracvávány sbní údaje, b) psuzení hrzeb pr práva a svbdy subjektů údajů. Na základě závěrů z prvedené analýzy rizik byla implementvána přiměřená rganizační a technická patření pr zajištění dpvídající úrvně chrany zpracvávaných sbních údajů. Pr prvedení analýzy rizik byla stanvena metdika hdncení rizik, která vychází z pžadavků vyhlášky č. 316/2014 Sb., bezpečnstních patřeních, kybernetických bezpečnstních incidentech, reaktivních patřeních a stanvení náležitstí pdání v blasti kybernetické bezpečnsti (vyhláška kybernetické bezpečnsti). V rámci prvedené analýzy rizik byly sučasně zhledněny hrzby, které představují zejména mžnst náhdnéh neb prtiprávníh zničení, ztráty, pzměňvání, neprávněné zpřístupnění předávaných, ulžených neb jinak zpracvávaných sbních údajů neb neprávněný přístup k nim. Za stanvení a aktuálnst technických a rganizačních patření vyplývajících z analýzy rizik dpvídá zaměstnanec neb sba (fyzická sba pdnikající neb právnická sba na základě uzavřenéh smluvníh vztahu), dpvídající za správu a prvz infrmačních a kmunikačních technlgií a příslušní veducí zaměstnanci. Za kntrlu ddržvání stanvených technických a rganizačních patření dpvídá pvěřenec pr chranu sbních údajů v sučinnsti s veducími zaměstnanci. Pkyny pr realizaci tét zásady, včetně stanvení dpvídajících technických a rganizačních patření pr blast fyzické, persnální, administrativní a pčítačvé bezpečnsti, jsu pdrbněji rzpracvány v následujících vnitřních předpisech a dkumentech: Směrnice Pvinnsti sb při zpracvání sbních údajů, Směrnice Výkn práv subjektu údajů, Směrnice Záměrná a standardní chrana sbních údajů, Směrnice Bezpečnst ICT, Směrnice Ochrana sbních údajů v kamervém systému,
Metdika analýzy rizik GDPR, Seznam hrzeb a patření, Plán zvládání rizik, Nástrj pr hdncení rizik GDPR, 7. Odpvědnst správce sbních údajů Správcem sbních údajů je příspěvkvé rganizace Základní škla nám. Curievých se sídlem nám. Curievých 886/2, 110 00 Praha 1 Správce je pvinen zajistit sulad s GDPR a tent sulad prkazuje: 1) zpracváním Plitiky chrany sbních údajů, stanvující: cíle chrany sbních údajů, zásadami zpracvání a chrany sbních údajů, dpvědnsti za realizaci zásad, dpvědnst za kntrlu. 2) zpracváním záznamů činnstech zpracvání, 3) rzpracváním Plitiky chrany sbních údajů d vnitřních předpisů a dkumentů uvedených v bdě 6, 4) jmenváním pvěřence pr chranu sbních údajů a stanvením jeh půsbnsti a dpvědnsti, 5) zajištěním zásad záměrné a standardní chrany sbních údajů, realizvané: návrhem vhdných technických a rganizačních patření záměrné chrany stanvených příslušnými veducími zaměstnanci a pvěřencem pr chranu sbních údajů, před zahájením vlastníh zpracvání, ještě v dbě určvání prstředků pr zpracvání sbních údajů, zavedením a udržváním záměrné a standardní chrany přiměřenými technickými a rganizačními patřeními zalženými na výsledcích analýzy rizik. 6) ddržváním všech zásad GDPR ve vztahu ke zpracvatelům a dalším správcům. V Praze, dne 24.5.2018 Mgr. Tereza Martínkvá ředitelka škly