Pokyn Úroveň přístupu A SŽDC PO 33/2018-ŘO7 Pokyn ředitele odboru investičního k zajištění ochrany osobních údajů při zpracování agendy odboru investičního Schváleno pod č.j.46777/2018- SŽDC-GŘ-07 dne 14.9.2018 Ing.Karel Švejda Ředitel odboru investičního
SŽDC PO-33/2018-ŘO7 Pokyn ředitele odboru investičního k zajištění ochrany osobních údajů při zpracování agendy odboru investičního Gestorský útvar: Správa železniční dopravní cesty, státní organizace Generální ředitelství Odbor investiční Mgr. Miluše Škrnová Praha www.szdc.cz Rok vydání: 2018 Správa železniční dopravní cesty, státní organizace, rok Tento dokument je duševním vlastnictvím státní organizace Správa železniční dopravní cesty, na které se vztahuje zákon č. 121/2000 Sb., o právu autorském, o právech souvisejících s právem autorským a o změně některých zákonů (autorský zákon), ve znění pozdějších předpisů. Státní organizace Správa železniční dopravní cesty je v uvedené souvislosti rovněž vykonavatelem majetkových práv. Tento dokument smí fyzická osoba použít pouze pro svou osobní potřebu, právnická osoba pro svou vlastní vnitřní potřebu. Poskytování tohoto dokumentu nebo jeho části v jakékoliv formě nebo jakýmkoliv způsobem třetí osobě je bez svolení státní organizace Správa železniční dopravní cesty zakázáno. Schváleno pod čj. S 46777/2018 2
ZÁZNAMY O OPRAVÁCH A ZMĚNÁCH Držitel listinné podoby tohoto dokumentu je odpovědný za včasné a správné zapracování účinných oprav a změn a za provedení příslušného záznamu. Oprava/změna a její pořadové číslo Číslo jednací Účinnost od Opravu/změnu zapracoval 3
OBSAH Strana ROZSAH ZNALOSTI... 5 ZKRATKY A ZNAČKY... 6 ČÁST PRVNÍ Úvodní ustanovení... 8 ČÁST DRUHÁ Stanovení odpovědnosti... 8 ČÁST TŘETÍ Účel a místo zpracování osobních údajů... 8 ČÁST ČTVRTÁ Postup při zpracování osobních údajů... 9 ČÁST PÁTÁ Opatření k ochraně osobních údajů... 9 ČÁST ŠESTÁ Opatření proti neoprávněnému nebo nahodilému přístupu... 9 ČÁST SEDMÁ Opatření proti neoprávněnému zpracování a zneužití... 10 ČÁST OSMÁ Postup při uplatňování práv subjektů údajů... 10 ČÁST DEVÁTÁ Údržba a opravy výpočetní techniky... 10 ČÁST DESÁTÁ Odborná způsobilost osob... 10 ČÁST JEDENÁCTÁ Závěrečná ustanovení... 11 4
ROZSAH ZNALOSTI Níže uvedená tabulka stanovuje rozsah znalosti tohoto dokumentu pro pracovní zařazení (funkci) nebo činnost, přičemž: informativní znalostí se rozumí taková znalost, při které příslušný zaměstnanec má povědomí o tomto dokumentu, zná předmět jeho úpravy a při náhledu do příslušného ustanovení je schopen se podle takového ustanovení samostatně řídit nebo podle něj samostatně konat; úplnou znalostí se rozumí taková znalost, při které příslušný zaměstnanec má povědomí o tomto dokumentu, zná předmět jeho úpravy a bez náhledu do příslušného ustanovení je schopen se podle takového ustanovení samostatně řídit nebo podle něj samostatně konat; doslovnou znalostí se rozumí taková znalost, při které příslušný zaměstnanec zná text, který je v příslušném ustanovení napsán v uvozovkách kurzivou, přesně a je schopen jej bez náhledu do příslušného ustanovení samostatně reprodukovat. Není-li rozsah znalosti pro pracovní zařazení (funkci) nebo činnost stanoven, stanoví rozsah znalosti, pokud je tak třeba učinit, příslušný vedoucí zaměstnanec. Pracovní činnost nebo zařazení (funkce) Znalost ustanovení Zaměstnanci odboru investičního Úplná: celý pokyn 5
ZKRATKY A ZNAČKY Níže uvedený seznam obsahuje zkratky a značky použité v tomto dokumentu. V seznamu se neuvádějí legislativní zkratky, zkratky a značky obecně známé, zavedené právními předpisy, uvedené v obrázcích, příkladech nebo tabulkách. GDPR Nařízení Evropského parlamentu a Rady (EU) 2016/679 HDD pevný disk SŽDC..Správa železniční dopravní cesty, státní organizace 6
ČÁST PRVNÍ Úvodní ustanovení (1) Tento Pokyn vedoucího zaměstnance pro ochranu osobních údajů (dále jen Pokyn ) je vydáván na základě ustanovení Směrnice SŽDC č.97 k zajištění ochrany osobních údajů (dále jen Směrnice č.97 ) v platném znění. V případě jakéhokoli rozporu mezi textem Směrnice č.97 a Pokynu se použije úprava Směrnice č.97. (2) Účelem tohoto Pokynu je aplikace výše uvedené směrnice do konkrétních podmínek při zpracování osobních údajů na odboru investičním (dále jen OI). (3) Veškerá ustanovení tohoto Pokynu lze vykládat jen v souladu s nařízením EP a Rady (EU) 2016/679 obecné nařízení o ochraně osobních údajů (dále jen GDPR), ostatními příslušnými obecně závaznými právními předpisy a Směrnicí č.97. (4) Vymezení základních pojmů - Pro účely tohoto Pokynu se v souladu se Směrnicí č.97 rozumí: a) osobní údaje veškeré informace o identifikované nebo identifikovatelné fyzické osobě, tj. osobě, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (např. jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby); b) subjekt údajů fyzická osoba, k níž se osobní údaje vztahují; c) zpracování jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, která je prováděna pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. ČÁST DRUHÁ Stanovení odpovědnosti (1) Za soulad Pokynu se Směrnicí č.97 a ostatními právními předpisy zodpovídá ředitel OI. (2) Všichni zaměstnanci OI odpovídají za zpracovávání osobních údajů v souladu s Pokynem, stejně jako i se Směrnicí SŽDC č.97. (3) Ředitel OI odpovídá za prokazatelné seznámení zaměstnanců OI s Pokynem. Školení zaměstnanců OI pro oblast GDPR zajistil odbor personální formou e-learningu. ČÁST TŘETÍ Účel a místo zpracování osobních údajů (1) Osobní údaje subjektů údajů jsou obsaženy v dokumentaci zpracovávané sekretariátem OI a jednotlivými odděleními OI. Předmětem zpracování nejsou citlivé údaje. Místem zpracování osobních údajů je sídlo Správy železniční dopravní cesty, státní organizace ( dále též SŽDC ), Dlážděná 1003/7, Praha 1. Konkrétní kanceláře jsou uvedeny níže. a) Sekretariát - Účelem zpracování osobních údajů je dokumentace docházky zaměstnanců OI. Dokumentace obsahuje měsíční přítomnost a nepřítomnost zaměstnanců OI včetně dovolenkových lístků, potvrzení o pracovní neschopnosti, cestovní příkazy apod. Místem zpracování je kancelář č. 519. b) Oddělení plánu a financování investic O7/1 - Účelem zpracování osobních údajů je kontrola dokumentů obsahujících osobní údaje, zejména ve vazbě na uzavírání smluvních vztahů s MD ČR a SFDI, před předložením dokumentů k podpisu příslušnému vedoucímu zaměstnanci. Místem zpracování jsou kanceláře č.515 a 517. 7
c) Oddělení zadávání investic O7/2 - Účelem zpracování osobních údajů je např. kontrola dokumentů obsahujících osobní údaje ( smlouvy o dílo) nebo vyhotovování rozhodnutí o vypořádání námitek uchazečů v rámci zadávacího řízení veřejné zakázky před jejich předložením k podpisu příslušnému vedoucímu zaměstnanci. Místem zpracování jsou kanceláře č.534 a 529. d) Oddělení realizace investic O7/3 - Účelem zpracování osobních údajů je kontrola a vyhledávání dokumentů obsahujících osobní údaje, za účelem přípravy žádostí na VZ a přípravy schvalovacích procesů před jejich předložením k podpisu příslušnému vedoucímu zaměstnanci. Místem zpracování jsou kanceláře č.519, 541 a 544. (2) Osobní údaje obsažené event. v dalších dokumentech, než které nejsou uvedeny v odst.3.1, budou rovněž zpracovávány v souladu se Směrnicí č.97 a tímto Pokynem. Místem zpracování bude některá z kanceláří OI, a to podle věcné příslušnosti zpracovávaného dokumentu obsahujícího osobní údaje. ČÁST ČTVRTÁ Postup při zpracování osobních údajů (1) Osobní údaje jsou získávány v souvislosti s činností zajišťovanou OI. Specifikace činností je uvedena v Organizačním řádu Generálního ředitelství R 1/1. (2) Se všemi dokumenty, které obsahují osobní údaje, se nakládá nejen dle jejich charakteru, ale i současně v souladu s požadavky uvedenými ve Směrnici č.97 a v tomto Pokynu. ČÁST PÁTÁ Opatření k ochraně osobních údajů (1) Vstup do budovy v Dlážděné 1003/7, Praha 1 je zabezpečen elektronickou kontrolou vstupu. (2) Vstup do kanceláří OI, ve kterých jsou zpracovávány osobní údaje, je zabezpečen zámkem. (3) Osobní údaje jsou na OI uloženy v uzamykatelných kancelářích a v uzamykatelných schránkách (skříně, zásuvky). (4) Náhradní klíče od kanceláří jsou uloženy ve vrátnici s nepřetržitým provozem v budově v Dlážděné 1003/7, Praha 1. ČÁST ŠESTÁ Opatření proti neoprávněnému nebo nahodilému přístupu (1) Přístup do kanceláří, kde jsou osobní údaje uloženy, je umožněn samostatně pouze oprávněným osobám (zaměstnancům OI), a to pomocí fyzického klíče. (2) Při každém opuštění kanceláře, kde dochází ke zpracování osobních údajů, poslední zaměstnanec OI při odchodu z kanceláře zamkne. (3) Opravy, úpravy a údržba, včetně běžného úklidu resp. čištění prostoru, kde probíhá zpracování osobních údajů, prováděné nikoliv oprávněnými osobami, v případě, že nejsou veškeré dokumenty s osobními údaji uzamčeny ve schránkách dle odst. 5.3, jsou možné jen za nepřetržitého osobního dohledu oprávněné osoby. ČÁST SEDMÁ Opatření proti neoprávněnému zpracování a zneužití (1) Přístup ke zpracovávaným osobním údajům je umožněn jen oprávněným osobám ve smyslu Směrnice č.97. 8
(2) Přístup k elektronickým záznamům je umožněn jen oprávněným osobám na základě uživatelských oprávnění. Do dotčených PC je přístup zabezpečený heslem. (3) Je třeba dodržovat zásadu prázdného stolu a zamknuté obrazovky při skončení pracovní doby. (4) Karty na vstup do budovy a klíče od kanceláří musí mít zaměstnanci OI neustále pod dohledem. ČÁST OSMÁ Postup při uplatňování práv subjektů údajů (1) Za účelem uplatnění svých práv se může každý subjekt údajů obrátit na Pověřence, a to prostřednictvím e-mailové adresy gdpr@szdc.cz, osobně nebo písemně. (2) Na základě požadavku Pověřence provede odpovědná osoba OI zpracovávající osobní údaje šetření. Po vyřízení žádosti zašle OI odpověď Pověřenci, který zašle odpověď subjektu údajů o vyřízení jeho žádosti (3) Je-li žádost nejasná nebo neúplná, je žadatel vyzván k jejímu upřesnění nebo doplnění. Lhůta pro odpověď na žádost o informaci začne běžet až dostatečném doplnění. ČÁST DEVÁTÁ Údržba a opravy výpočetní techniky (1) Opravy výpočetní techniky zaměstnanců OI musí probíhat v kancelářích OI za nepřetržitého osobního dohledu oprávněné osoby. V případě nutnosti provedení opravy mimo pracoviště OI musí být z výpočetní techniky vyjmut HDD, který obsahuje osobní údaje. Tento HDD musí být uložen v souladu s odst.5.3 tohoto Pokynu. (2) Při výměně výpočetní techniky musí přenos dat probíhat za nepřetržitého osobního dohledu oprávněné osoby. Při přenosu nemůže být využito síťové úložiště. ČÁST DESÁTÁ Odborná způsobilost osob Osoby pověřené obsluhou zařízení, jímž jsou zpracovávány osobní údaje musí zachovat mlčenlivost o technických, organizačních a zjištěných skutečnostech souvisejících s obsluhou a dbát, aby se tyto skutečnosti nedostaly k nepovolaným osobám. Zásada mlčenlivosti se nevztahuje na informační povinnosti podle zvláštních zákonů. Nesmí poskytovat jakékoliv informace související s provozem jiným než oprávněným osobám. ČÁST JEDENÁCTÁ Závěrečná ustanovení V souvislosti s výše uvedeným ukládám všem zaměstnancům zpracování a uchovávání osobních údajů v souladu s tímto Pokynem. Pokyn nabývá účinnosti ode dne zveřejnění v edap. 9
SOUVISEJÍCÍ DOKUMENTY Vnitřní předpisy: SŽDC R1/1 Organizační řád Generálního ředitelství Směrnice č.97 k zajištění ochrany osobních údajů 10