Velké Poříčí ZACHÁZENÍ S OSOBNÍMI ÚDAJI VE ŠKOLE Označení: Směrnice Číslo: Skartační znak: S5 Platnost od: 25. 5. 2018 Schválil: Mgr. Rudolf Volhejn Vypracoval: Ing. Lucie Voltrová Ruší se: - Určeno: Všem zaměstnancům Počet stran: 10 Počet příloh: 10 Obsah: 1. Úvod... 2 2. Zpracování osobních údajů... 3 Osobní údaje při výchově a vzdělávání... 3 Zpracování zvláštní kategorie osobních údajů... 4 3. Obecné zásady pro zpracování osobních údajů... 4 4. Informace o ochraně osobních údajů... 5 5. Práva subjektu údajů... 5 Právo na přístup k osobním údajům... 5 Právo na opravu osobních údajů... 5 Právo na výmaz osobních údajů... 5 Právo vznést námitku proti zpracování osobních údajů... 6 6. Prevence a výchova k ochraně osobních údajů... 6 7. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů.... 6 8. Postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji... 7 9. Organizační a technická opatření k zabezpečení osobních údajů ve škole... 8 10. Odpovědnost školy jako správce osobních údajů... 8 11. Odpovědnost zpracovatele osobních údajů... 8 12. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu... 9 13. Jmenování pověřence pro ochranu osobních... 9 14. Porušení povinnosti mlčenlivosti... 10 Přílohy - Záznamy o činnostech zpracování... 10
1. Úvod Ředitel školy vydává tuto směrnici na základě nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů. Cílem směrnice je vytvořit ucelený soubor pravidel na ochranu osobních údajů ve škole, aby byla zajištěna jejich ochrana proti neoprávněnému zacházení s daty. Tato směrnice upravuje postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji, upravuje pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice je závazná pro všechny zaměstnance školy i pro další osoby, které mají se školou jiný právní vztah (smlouva o dílo, nájemní smlouva) a které se zavázaly postupovat podle této směrnice. Základní pojmy jsou: Zpracování osobních údajů Zpracováním je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Zpracování ve smyslu Obecného nařízení však nelze chápat jako jakékoli nakládání s osobním údajem. Zpracování osobních údajů je nutné považovat již za sofistikovanější činnost, kterou správce s osobními údaji provádí za určitým účelem a z určitého pohledu tak činí systematicky. Pro nakládání s osobními údaji způsobem, který není zpracováním, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník. Obecným nařízením se tak jako správci řídí pouze subjekty, které osobní údaje zpracovávají ve smyslu definice zpracování. Osobní údaje Obecné nařízení definuje osobní údaj jako veškeré informace o identifikované nebo identifikovatelné fyzické osobě, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. Citlivé údaje Citlivé údaje jsou zvláštní kategorií osobních údajů, jimiž jsou údaje: - rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje: - genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů. Správce Správcem je orgán veřejné moci (škola, školské zařízení), který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů (Právní subjekt vykonávající činnost školy). Zpracovatel 2
Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce na základě doložitelných pokynů. Příjemce Příjemcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v souladu s právem, se za příjemce nepovažují. Příjemcem může být také zpracovatel, který pro správce osobní údaje zpracovává (typicky provozovatel informačních systémů). Subjekt údajů Fyzická osoba (dítě, žák, student, zákonný zástupce), kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. 2. Zpracování osobních údajů Osobní údaje se mohou ve škole zpracovávat pouze na základě právního předpisu nebo na základě souhlasu subjektu údajů (žák, zákonný zástupce žáka, zaměstnanec školy). Zpracování osobních údajů může být také na základě veřejného zájmu nebo při výkonu veřejné moci. Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (ze zákona vyplývá i oprávněný zájem, plnění právní povinnosti, plnění smlouvy, veřejný zájem) je nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být poučený, informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje (určené např. druhově), na konkrétní dobu a pro konkrétní účel. Udělený souhlas může být v souladu s právními předpisy odvolán. Souhlas se zpracováním osobních údajů vydává zákonný zástupce žáka nebo žák, a to v návaznosti na splnění podmínky rozumové a volní vyspělosti nezletilého ( 31 občanského zákoníku). Ředitel školy důsledně zakazuje předávání osobních údajů žáků třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy. Osobní údaje při výchově a vzdělávání Organizace výchovy a vzdělávání je nezbytně spojena se zpracováním osobních údajů. Lze rozlišit tři skupiny při zpracovávání osobních údajů: Osobní údaje zpracovávané na základě školského zákona - školní matrika, - doklady o přijímání dětí, žáků, studentů a uchazečů ke vzdělávání, o průběhu vzdělávání a jeho ukončování, - třídní kniha, - záznamy z pedagogických rad, - kniha úrazů a záznamy o úrazech dětí, žáků a studentů, popřípadě lékařské posudky. Osobní údaje zpracovávané podle zvláštních zákonů - podněty pro jednání OSPOD, přestupkové komise, - podklady žáků pro vyšetření v PPP, - hlášení trestných činů, neomluvená absence, 3
- údaje o zdravotní způsobilosti dítěte nebo žáka na zotavovacích akcích. Osobní údaje zpracovávané na základě informovaného souhlasu - seznamy žáků na mimoškolních akcích a zahraničních zájezdech, - seznamy žáků na soutěžích a olympiádách, - seznamy zákonných zástupců pro sdružení rodičů, - kontakt na zákonné zástupce (není shodný s adresou dítěte), - fotografie za účelem propagace či zvýšení zájmu žáků o studium na dané škole, - zveřejnění výtvarných a obdobných děl žáků na výstavách a přehlídkách, - záznamy z kamerového systému školy pořizované za účelem bezpečnosti žáků a ochrany jejich majetku. Zpracování zvláštní kategorie osobních údajů Zvláštní pozornost je věnována zpracování citlivých údajů. Jedná se například o: - údaje o zdravotním stavu dítěte nebo zaměstnance školy, - mentální omezení (poruchy učení, ), - specifické stravovací plány související se zdravotním stavem, filozofickým nebo náboženským přesvědčením, - popis rodinného prostředí žáka, - politický názor, - genetické a biometrické údaje zpracované za účelem jedinečné identifikace fyzické osoby, - sexuální život, sexuální orientace. Nevhodná práce s citlivými údaji může mít nepříznivý vliv na dotčené osoby. Škola proto zpracovává tyto údaje pouze v nezbytném rozsahu a dbá ve zvýšené míře o jejich zabezpečení. 3. Obecné zásady pro zpracování osobních údajů Při práci s osobními údaji se všichni zaměstnanci školy řídí těmito obecnými zásadami: Zákonnost - zpracování osobních údajů na základě právního předpisu (například 28 školského zákona), zpracování osobních údajů na základě informovaného souhlasu. Korektnost - správné použití, přesné, společensky bezvadné. Transparentnost - všechny informace o ochraně osobních údajů určené subjektu údajů (žák, zákonný zástupce, zaměstnanec) jsou stručné, snadno přístupné a srozumitelné, podávané za použití jasných a jednoduchých jazykových prostředků. Účelové omezení - shromažďování osobních údajů jen za jasně stanoveným účelem. Minimalizace údajů - nezpracovávat více údajů, než je pro daný účel nezbytně nutné. Přesnost - zpracovávané osobní údaje musí být přesné. Omezené uložení - osobní údaje jsou uloženy jen po dobu nezbytně nutnou. Integrita a důvěrnost - náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením. Odpovědnost správce - škola zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU. 4
4. Informace o ochraně osobních údajů Veškeré informace o tom, jak škola zajišťuje ochranu osobních údajů, jsou v listinné podobě uloženy v sekretariátu školy, v elektronické podobě na www stránkách školy. Informace o ochraně osobních údajů jsou zpracovány v podobě Směrnice ředitele školy - Zacházení s osobními údaji ve škole s přílohami. Ředitel školy je povinen: - informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji ve škole, a to bez zbytečného odkladu, - zajistit, aby zaměstnanci školy byli řádně poučeni o právech a povinnostech při ochraně osobních údajů, - zajistit, aby škola byla schopna řádně doložit plnění povinností školy při ochraně osobních údajů, které vyplývají z právních předpisů. Třídní učitelé nejméně 1x ročně informují žáky (třídnické hodiny) a zákonné zástupce žáků (třídní schůzky) o ochraně osobních údajů ve škole. 5. Práva subjektu údajů Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců. Každý subjekt údajů (žák, zákonný zástupce žáka, zaměstnanec školy) má právo získat od správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům. Informace poskytnuté subjektu údajů podle článků 13 a 14 a veškerá sdělení a úkony podle článku 15 až 22 a 34 Obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může ředitel školy rozhodnout o uložení přiměřeného poplatku, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce. V takovém případě se výše poplatku řídí sazebníkem úhrad za poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Každý subjekt údajů (žák, zákonný zástupce žáka, zaměstnanec školy) má právo na opravu k osobním údajům, které se ho týkají. Může se jednat o změnu adresy, jména, bydliště, telefonního čísla apod. Třídní učitelé do 30. září školního roku zapracují do školní matriky dotazník na kontrolu aktuálnosti osobních údajů žáků. Další doplnění nebo změny ve školní matrice provádějí dle aktuální změny. Zaměstnanci školy mají povinnost ohlašovat zaměstnavateli všechny skutečnosti, které jsou nezbytné pro vedení personální a mzdové dokumentace. Každý subjekt údajů (žák, zákonný zástupce žáka, zaměstnanec školy) má právo na výmaz k osobním údajům, které se ho týkají. Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je školní matrika, přijímací řízení, personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního plánu školy. Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjektu údajů (žák, zákonný zástupce žáka, zaměstnanec školy) dává souhlas se zpracováním osobních údajů. V závěru školního roku se vždy provádí kontrola dokumentace školy, aby dále neobsahovala zbytečné osobní údaje (žáci odcházející ze školy, rozvázání pracovního poměru zaměstnance apod.). 5
Každý subjekt údajů (žák, zákonný zástupce žáka, zaměstnanec školy) má právo vznést námitku proti zpracování osobních údajů, které se ho týkají. Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je školní matrika, přijímací řízení, personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního plánu školy. Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjekt údajů (žák, zákonný zástupce žáka, zaměstnanec školy) dává souhlas se zpracováním osobních údajů. 6. Prevence a výchova k ochraně osobních údajů Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana se vztahuje zejména na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních i uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Žáci budou v hodinách seznamováni s problematikou ochrany osobních údajů: - zásady ochrany osobních údajů, - práva při ochraně osobních údajů, - používání osobních údajů pro účely marketingu, - bezpečné využívání informačních technologií a chování na internetu. 7. Pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Škola nakládá a zpracovává pouze osobní údaje, které: - souvisejí s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků, se sociálním a zdravotním pojištěním (např. dosažené vzdělání, délka praxe, funkční zařazení apod.), - souvisejí s jednoznačnou identifikací zákonných zástupců žáků v souladu se zákonem (jméno, příjmení, bydliště, kontakt, např. telefonní číslo pro případ nutného kontaktu školy se zákonným zástupcem v rámci ochrany zdraví, bezpečnosti a práv žáka, další údaje nezbytné např. pro vydání správního rozhodnutí apod.), - související s identifikací žáka ze zákona (datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, údaj o zákonném zástupci, soudní rozhodnutí vztahující se k přidělení dítěte do výchovy, nutný zdravotní údaj apod.), - jsou nezbytné pro plnění právní povinnosti, ochranu oprávněných zájmů školy nebo ve veřejném zájmu, - k jejichž zpracování získala souhlas subjektu údajů. Osobní údaje se uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich zpracování, včetně archivace. K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě zákona. Do jednotlivých dokumentů školy, které obsahují osobní údaje, mohou nahlížet: - do osobního spisu zaměstnance vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni a zaměstnanci pověření ředitelem školy. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní 6
bezpečnostní úřad a zpravodajské služby. Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele ( 312 zákoníku práce), - do údajů žáka ve školní matrice pedagogičtí pracovníci školy (v rozsahu daném pedagogickou funkcí), sekretářka, - do údajů o zdravotním stavu žáka, zpráv o vyšetření ve školním poradenském zařízení, lékařských zpráv - výchovný poradce, vedoucí pedagogičtí pracovníci, třídní učitel, - do spisu, vedeném ve správním řízení účastníci správního řízení, vedoucí pedagogičtí pracovníci (ředitel, zástupce ředitele, vedoucí vychovatel), osoba, která je zmocněna s úředním spisem pracovat po dobu řízení. Každý zaměstnanec, který má přístup k informacím, je vázán mlčenlivostí. Informace, spojené s ochranou osobních údajů, získané při výkonu páce, nebude využívat v soukromém životě. 8. Postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji Škola všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom škola především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň řediteli školy známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením ředitele školy nebo jím pověřené osoby. Škola zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled alespoň ředitel školy nebo jím pověřená osoba a pověřenec pro ochranu osobních údajů. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou škola uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o poskytování služeb). Škola alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zhodnocení se provede stručným záznamem např. v zápisu z porady. Zjistí-li se, že některé postupy školy jsou zastaralé, zbytečné nebo se neosvědčily, učiní škola bezodkladně nápravu. Každý zaměstnanec školy při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na ředitele školy nebo jím určenou osobu nebo na pověřence pro ochranu osobních údajů. Škola při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů. Škola ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to v součinnosti s pověřencem pro ochranu osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního žáka, studenta, zaměstnance, zákonného zástupce atd., škola tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu škola informuje Úřad pro ochranu osobních údajů. Vzhledem k tomu, že škola eviduje v podstatě údaje o žácích a zaměstnancích, které stanovují právní předpisy (zejména školský zákon a pracovněprávní předpisy), nemá oznamovací povinnost vůči Úřadu pro ochranu osobních údajů. 7
9. Organizační a technická opatření k zabezpečení osobních údajů ve škole Veškeré materiály v listinné (tištěné) podobě, které obsahují osobní údaje žáků a zaměstnanců, jsou uloženy v uzamykatelných skříních v kancelářích školy, dle povahy dokumentů, a přístup k nim má ředitel, zástupce ředitele a pověřený pracovník zpracovávající danou agendu. Třídní výkazy, katalogové listy, další materiály ze školní matriky či jejich části nelze vynášet ze školy, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám. Elektronická školní matrika je vedena v zabezpečeném informačním systému Bakaláři. Do tohoto systému mají přístup jednotliví pedagogové školy a další osoby pověřené ředitelem školy a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Veškeré postupy pro jednotlivé oblasti jsou popsány v Záznamech o činnostech zpracování správce, které jsou přílohami této směrnice. Zaměstnanci neposkytují bez právního důvodu žádnou formou osobní údaje zaměstnanců školy a žáků cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání. Seznamy žáků se nezveřejňují, neposkytují bez vědomého souhlasu žáků či zákonných zástupců žáků jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného škole nebo nevyplývá-li to ze zákona. Ve škole se neprovozují kamerové systémy se záznamovým zařízením. 10. Odpovědnost školy jako správce osobních údajů Škola, zastoupená ředitelem, jako správce osobních údajů nese odpovědnost za to, že zpracovává osobní údaje dětí, žáků, jejich zákonných zástupců a zaměstnanců v souladu s nařízením EU. Tuto odpovědnost nelze přenést na někoho jiného. Škola jako správce osobních údajů má zpracovaný přehled osobních údajů, které zpracovává na základě zákona a které na základě informovaného souhlasu, viz Záznamy o činnostech zpracování správce. Škola má stanovena technická a organizační opatření k ochraně osobních údajů. Škola zpracovává pouze takové osobní údaje, jež jsou pro její činnost nezbytné a také po nezbytně nutnou dobu. 11. Odpovědnost zpracovatele osobních údajů Uzavírá-li škola jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, škola vždy a bezpodmínečně bude trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost: - přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů, - poskytnuté osobní údaje chránit v souladu s právními předpisy, - zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem, 8
- zajistit, aby se osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti, nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu školy, - zajistit, že dodavatel bude škole bez zbytečného odkladu nápomocen při plnění povinností školy, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzultace dle čl. 36 nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje školu, - poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví škola, součinnost potřebnou pro plnění zákonných povinností školy spojených s ochranou osobních údajů, jejich zpracováním, - po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí škole a vymaže existující kopie apod., - poskytnout škole veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené škole právními předpisy, - umožnit kontrolu, audit či inspekci prováděné školou nebo příslušným orgánem dle právních předpisů. Ve všech záležitostech ochrany osobních údajů je zpracovatel podřízen správci osobních údajů. 12. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu Jestliže kterákoliv ze zúčastněných stran (správce, zpracovatel, subjekt údajů) získá podezření, že je porušeno zabezpečení osobních údajů, je postup následující: - Ihned o tom informuje ředitele školy a pověřence k ochraně osobních údajů. - Ředitel školy a pověřenec pro ochranu osobních údajů zhodnotí, zda došlo k porušení zabezpečení osobních údajů dle článku 33 a 34 nařízení. - Ředitel školy a pověřenec pro ochranu osobních údajů zjistí povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro školu. - V případě potvrzení bezodkladně, nejpozději do 72 hodin, informují dozorový orgán (Úřad na ochranu osobních údajů). - V případě pochybností, zda došlo/nedošlo k porušení zabezpečení osobních údajů je vždy vznesen dotaz na dozorový orgán. - V případě, že došlo k porušení zabezpečení osobních údajů, oznámí tuto skutečnost ředitel školy subjektu údajů (žák, zákonný zástupce, zaměstnanec). - Ředitel školy a pověřenec pro ochranu osobních údajů na základě doporučení dozorového orgánu učiní taková opatření, aby nedocházelo k dalšímu porušování zabezpečení osobních údajů. 13. Jmenování pověřence pro ochranu osobních Ředitel školy jmenuje pověřence pro ochranu osobních údajů dle čl. 37 nařízení. 9
14. Porušení povinnosti mlčenlivosti Pokud zaměstnanec vědomě poruší povinnost mlčenlivosti, bude to zaměstnavatel považovat za porušení pracovní kázně zvlášť hrubým způsobem a může se zaměstnancem okamžitě rozvázat pracovní poměr podle 55 odst. 1 písm. b) zákoníku práce. Jestliže zaměstnanec, který byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly shromážděné v souvislosti s výkonem veřejné moci, vystavuje se nebezpečí trestního stíhání pro trestný čin dle 180 zákona č. 40/2009 Sb., trestní zákoník - Neoprávněné nakládání s osobními údaji. Stejnému postihu se vystavuje zaměstnanec, který byť i z nedbalosti, poruší povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého zaměstnání. Mgr. Rudolf Volhejn ředitel školy Přílohy - Záznamy o činnostech zpracování 10