Matematický ústav AV ČR, v. v. i. Žitná 25, 115 67 Praha 1 Česká republika Směrnice č. 1/2019 Ochrana a zpracování osobních údajů Článek 1 Předmět úpravy 1. Tato směrnice stanoví zásady a pravidla při zpracování osobních údajů v rámci Matematického ústavu AV ČR (dále MÚ ), stanoví odpovědnost osob zajišťujících ochranu osobních údajů na MÚ, vymezuje práva a povinnosti zaměstnanců, případně dalších fyzických i právnických osob účastnících se činností souvisejících se zpracováním těchto údajů. 2. Tato směrnice vychází z Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů) (dále GDPR ) a ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů, s tím, že doplňuje a rozpracovává některá jejich ustanovení pro úpravu vztahů v rámci MÚ a stanoví organizační opatření v rámci MÚ zajišťující jejich realizaci. Článek 2 Výklad vybraných pojmů 1. Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. 2. Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. 3. Profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu. 4. Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě. 5. Evidencí se rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska. 6. Správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení. 7. Zpracovatelem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
8. Příjemcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování. 9. Třetí stranou se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů; 10. Souhlasem subjektu údajů se rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů. 11. Porušením zabezpečení osobních údajů se rozumí porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. 12. Genetickými údaji se rozumí osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby. 13. Biometrickými údaji se rozumí osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje. 14. Údaji o zdravotním stavu se rozumí osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu. 15. Dozorovým úřadem se rozumí Úřad pro ochranu osobních údajů. Osobní údaje Článek 3 Zásady zpracování osobních údajů a) musí být zpracovávány vždy korektně, zákonným způsobem a transparentním způsobem (zásada korektnosti, zákonnosti a transparentnosti); b) mohou být shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely a nesmí být dále zpracovávány způsoby, které jsou v rozporu s těmito účely (zásada účelového omezení); c) musí být přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu zpracování (zásada minimalizace); d) musí být přesné a v nezbytných případech aktuální; při zpracování osobních údajů je třeba vždy zajistit taková opatření, aby nepřesné osobní údaje byly s ohledem na účel jejich zpracovávání bez odkladu opraveny nebo vymazány (zásada přesnosti); e) mohou být ukládány ve formě umožňující identifikaci subjektu údajů pouze po nezbytně nutnou dobu pro účely, pro které jsou zpracovávány; osobní údaje mohou být ukládány po delší dobu, jestliže jsou zpracovávána výhradně pro archivní účely ve veřejném zájmu, pro výzkumné nebo statistické účely v souladu s čl. 89 odst. 1 GDPR, přičemž musí být zavedena vhodná technická a organizační opatření pro zabezpečení práv a svobod subjektu údajů (zásada omezenosti uložení); f) musí být zpracovávány tak, aby bylo zajištěno vhodné zabezpečení osobních údajů pomocí technických a organizačních opatření zabraňujících neoprávněnému či protiprávnímu zpracování, ztrátě, zničení nebo poškození osobních údajů (zásada integrity a důvěrnosti). Článek 4 Odpovědnost za dodržování zásad zpracování 1. MÚ je subjektem odpovědným za zpracování osobních údajů uvedených v čl. 2 odst. 1. Dle konkrétních případů může MÚ vystupovat jak v roli správce, tak v roli zpracovatele. 2. Ředitel jedná jako statutární orgán MÚ odpovědný za dodržování zásad, pravidel a postupů při zpracování osobních údajů v MÚ, a to v případech realizovaných na centrální úrovni MÚ a tam, kde nedošlo k posunu pravomocí na další osoby uvedené v tomto článku.
3. Vedoucí zaměstnanci a zaměstnanci pověření zpracováním osobních údajů (dále pověření zaměstnanci ) jsou ve své působnosti odpovědni řediteli MÚ resp. svému přímému nadřízenému za dodržování zásad zpracování osobních údajů uvedených v čl. 3 a jsou povinni kdykoliv na vyžádání nadřízeného zaměstnance nebo dozorového úřadu dodržování zásad doložit. 4. Pověřenými zaměstnanci podle odst. 3 jsou tito zaměstnanci MÚ: a) vedoucí vědeckých oddělení (čl. 8 odst. 1 Organizačního řádu MÚ); b) vedoucí technicko-hospodářské správy; c) vedoucí střediska výpočetní techniky; d) vedoucí knihovny a redakce časopisů; e) vědecký tajemník; f) další osoby pověřené konkrétními úkoly, při nichž dochází ke zpracování osobních údajů. 5. Vedoucí vědeckého oddělení odpovídá za zpracovávání osobních údajů zaměstnanců MÚ zařazených do tohoto oddělení (dále členové oddělení ), cizích pracovníků, kteří navštívili MÚ za účelem vědecké spolupráce s členy oddělení (dále hostující pracovníci ), studentů a dalších spolupracujících osob v rozsahu nezbytném pro výkon vědecké činnosti, řešení výzkumných projektů, šíření výsledků, včetně zveřejňování těchto údajů na webových stránkách MÚ. 6. Vedoucí technicko-hospodářské správy odpovídá za zpracovávání osobních údajů zaměstnanců MÚ a dalších osob v rozsahu nezbytném pro výkon účetnictví, personální a mzdové agendy, bezpečnosti a zdraví při práci, správy majetku a dalších činností při zajišťování provozu a hospodaření MÚ. Rozsah a způsob zpracování osobních údajů vyplývá z platných předpisů České republiky, Akademie věd ČR jako zřizovatele MÚ, poskytovatelů podpory výzkumu a vývoje a MÚ. Odpovídá za předávání údajů třetím osobám v souladu s platnými předpisy. 7. Vedoucí střediska výpočetní techniky odpovídá za zpracovávání osobních údajů zaměstnanců MÚ a dalších osob v rozsahu nezbytném pro zajištění správy výpočetní techniky, počítačové sítě, internetového připojení a telefonní sítě. 8. Vedoucí knihovny a redakce časopisů odpovídá za zpracovávání osobních údajů v rozsahu nezbytném pro zajištění služeb knihovny a vydávání vědeckých časopisů a dalších odborných publikací. 9. Vědecký tajemník odpovídá za zpracovávání osobních údajů v rozsahu nezbytném pro koordinaci vědecké činnosti v MÚ včetně přípravy a řízení vědeckých projektů a vědeckých akcí, pro podporu popularizace vědy, přijímání vědeckých pracovníků a hostů v MÚ, zajišťování podkladů pro zprávy o činnosti MÚ a dalších informací pro nadřízené orgány, spolupracující instituce a partnery MÚ. Odpovídá za předávání údajů třetím osobám v souladu s platnými předpisy. 10. Pověřený zaměstnanec může ustanovit další osobu podle odst. 4 písm. f) pod podmínkou, že se tato osoba předem průkazně seznámí s touto směrnicí, GDPR a dalšími relevantními obecně závaznými právními předpisy. Tato osoba je povinna zpracovávat osobní údaje vždy jen v rozsahu stanoveném pověřeným zaměstnancem, zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po ukončení pracovního poměru nebo výkonu příslušných prací. Článek 5 Zákonnost zpracování 1. V souladu s čl. 6 GDPR je zpracování zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek (tzv. právní tituly pro zpracování): a) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (podmínky vyjádření souhlasu jsou podrobně uvedeny v čl. 7 a 8 GDPR); b) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; c) zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje; d) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby; e) zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
2. Pokud zpracování pro jiný účel, než pro který byly osobní údaje shromážděny, není založeno na souhlasu subjektu údajů nebo na platných obecně závazných právních předpisech, zohlední pověřený zaměstnanec v zájmu zjištění toho, zda je zpracování pro jiný účel slučitelné s účely, pro něž byly osobní údaje původně shromážděny, mimo jiné: a) jakoukoli vazbu mezi účely, kvůli nimž byly osobní údaje shromážděny, a účely zamýšleného dalšího zpracování; b) okolnosti, za nichž byly osobní údaje shromážděny, zejména pokud jde o vztah mezi subjekty údajů a MÚ; c) povahu osobních údajů, zejména zda jsou zpracovávány zvláštní kategorie osobních údajů podle čl. 9 GDPR nebo osobní údaje týkající se rozsudků v trestních věcech a trestných činů podle čl. 10 GDPR; d) možné důsledky zamýšleného dalšího zpracování pro subjekty údajů; e) existenci vhodných záruk, mezi něž může patřit šifrování nebo pseudonymizace. Článek 6 Zpracování zvláštních kategorií osobních údajů 1. Je zakázáno zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. 2. Odstavec 1 se nepoužije, pokud jde o některý z těchto případů: a) subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů, s výjimkou případů, kdy právo Unie nebo členského státu stanoví, že zákaz uvedený v odstavci 1 nemůže být subjektem údajů zrušen; b) zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů; c) zpracování je nutné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby v případě, že subjekt údajů není fyzicky nebo právně způsobilý udělit souhlas; d) zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů. 3. Výjimkami ze zákazu v odstavci 1 jsou také: a) údaje o zdravotním stavu v osobních evidencích zaměstnanců za předpokladu, že tyto údaje byly subjektem údajů do zmíněné evidence dobrovolně předány a jsou vedeny v jeho prospěch (např. mají vliv na poskytování služeb osobě se specifickými nároky nebo výpočet jeho daňové povinnosti či jiných zákonných dávek); b) zvláštní kategorie osobních údajů zpracovávané pro účely výzkumu. 4. Zpracování údajů definovaných v odstavci 1 může probíhat pouze na základě výslovného souhlasu subjektu údajů. Tento souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, jakých údajů se týká, k jakému účelu, na jaké období a kdo jej poskytuje. Subjekt údajů svým podpisem také potvrzuje, že byl předem poučen o svých právech. 5. Zpracování osobních údajů, které nevyžaduje identifikaci subjektu údajů, upravuje čl. 11 GDPR. Článek 7 Informace poskytované subjektu údajů 1. MÚ v roli správce poskytuje subjektu údajů v souladu s čl. 12 GDPR stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace uvedené v čl. 13 a 14 GDPR a učiní veškerá sdělení o zpracování podle čl. 15 až 22 a 34 GDPR. 2. Informace je poskytována v elektronické formě na intranetu MÚ, v informačních systémech MÚ, popř. písemně. 3. Za provedení úkonů dle odst. 1 odpovídá příslušný pověřený zaměstnanec.
Článek 8 Práva subjektu údajů 1. Právo subjektu údajů na přístup k osobním údajům upravuje čl. 15 GDPR. 2. Právo subjektu údajů na opravu upravuje čl. 16 a 19 GDPR. 3. Právo subjektu údajů na výmaz upravuje čl. 17 a 19 GDPR. 4. Právo subjektu údajů na omezení zpracování upravuje čl. 18 a 19 GDPR. 5. Právo subjektu údajů na přenositelnost údajů upravuje čl. 20 GDPR. 6. Právo subjektu údajů na vznesení námitky a automatizované individuální rozhodování upravuje čl. 21 a 22 GDPR. Článek 9 Zveřejňování osobních údajů 1. Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným osobám či skupinám osob, zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu (např. ve veřejné části internetových stránek MÚ). 2. Osobní údaje chráněné podle této směrnice lze zveřejňovat nejvýše v rozsahu: a) jméno, příjmení; b) tituly, vědecké hodnosti; c) oblasti vědeckých zájmů; d) pracovní zařazení v MÚ a funkce zastávané v MÚ; e) zařazení do organizační struktury MÚ; f) kontaktní údaje v souvislosti s MÚ (adresa pracoviště včetně čísla pracovny, telefonní a faxová čísla, e-mailová adresa); g) podíl na jednotlivých formách tvůrčí činnosti MÚ; h) informace o vydaných publikacích; i) udělená ocenění; j) uskutečňovaná výuka; k) údaje o studentech, jejichž kvalifikační práce zaměstnanec MÚ vede (jméno, příjmení, škola, název práce, údaje o obhajobě); l) významné přednášky; m) odborný životopis a průběh akademické kvalifikace; n) fotografie; o) osobní webové stránky; p) u hostujících pracovníků jméno a příjmení, afiliace, navštívené oddělení, období návštěvy v MÚ; q) případně další údaje, které subjekt o sobě zveřejnil sám. 3. Údaje uvedené v odst. 2 lze zveřejňovat pouze o subjektech údajů, již jsou zaměstnanci MÚ, hostujícími pracovníky nebo studenty školenými zaměstnanci MÚ. 4. Pro účely zajištění své hlavní činnosti MÚ zpracovává ve své interní databázi osobní údaje zaměstnanců MÚ, hostujících pracovníků a dalších osob podílejících se na činnosti MÚ a zveřejňuje je na webových stránkách MÚ http://math.cas.cz (oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR). 5. Zaměstnanec MÚ do databáze vkládá prostřednictvím svého uživatelského účtu zejména údaje podle odst. 2 písm. a) až l). Tyto údaje jsou zveřejňovány na webových stránkách MÚ po dobu jeho zaměstnání v MÚ. Po ukončení zaměstnání v MÚ se dále uchovávají a na webových stránkách zveřejňují pouze údaje podle odst. 2 písm. a), e). Za odstranění ostatních údajů bez zbytečného odkladu odpovídá vedoucí střediska výpočetní techniky. 6. Zaměstnanec MÚ může z vlastního rozhodnutí vkládat do databáze prostřednictvím svého uživatelského účtu údaje podle odst. 2 písm. n), o) a povolit jejich zveřejnění na webových stránkách MÚ po dobu jeho zaměstnání v MÚ. 7. Osobní údaje hostujícího pracovníka (odst. 2 písm. p) vkládá do databáze MÚ zaměstnanec MÚ, kterého hostující pracovník navštívil za účelem vědecké spolupráce, popř. příslušný pověřený zaměstnanec. Hostujícího pracovník o tom informuje a vyžádá si jeho souhlas. Tyto údaje jsou zveřejňovány na webových stránkách MÚ.
8. V případě subjektů aktuálně působících v radě pracoviště, v dozorčí radě pracoviště či v poradních orgánech MÚ, které nejsou v pracovním poměru k MÚ, bude zveřejňování osobních údajů upravováno individuálně (oprávněný zájem podle čl. 6 odst. 1 písm. f) GDPR). 9. Osobní údaje přednášejících a dalších účastníků konferencí, workshopů, škol, seminářů a dalších vědeckých akcí, na jejichž organizaci se členové vědeckého oddělení podílejí, jsou v oddělení zpracovávány v nezbytném rozsahu (jméno, příjmení, afiliace, název přednášky) a se souhlasem subjektu. Údaje se zpravidla zveřejňují na webových stránkách akcí prostřednictvím webové stránky MÚ. Pro účely organizování těchto akcí se v oddělení shromažďují kontaktní údaje potenciálních zájemců. Článek 10 Poskytování osobních údajů třetím stranám 1. Poskytování osobních údajů třetím stranám mimo MÚ se řídí touto směrnicí, GDPR a platnými obecně závaznými právními předpisy. 2. Za dodržování správného postupu při poskytování osobních údajů třetím osobám mimo MÚ v souladu s ustanovením odst. 1 je odpovědný příslušný pověřený zaměstnanec. Článek 11 Zabezpečení osobních údajů 1. Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponuje MÚ a které obsahují osobní údaje chráněné podle této směrnice, musí být uchovávány pouze v uzamykatelných skříních na pracovištích MÚ, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů. Kopie osobních údajů chráněných podle této směrnice musí být ukládány zásadně vždy v jiné místnosti než originální údaje. 2. Pokud jsou zpracovávány osobní údaje, které se bezprostředně vztahují k činnostem vykonávaným na MÚ (např. docházkové archy, prezenční listiny), postupuje se při jejich zabezpečení obvyklým způsobem tak, aby se předcházelo riziku zneužití osobních údajů. Další povinnosti stanovené v tomto článku se na zpracování takových osobních údajů použijí pouze v takovém rozsahu, v jakém to odpovídá jejich povaze a okolnostem jejich obvyklého zpracovávání. 3. Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní údaje chráněné podle této směrnice, musí být zabezpečeny před volným přístupem neoprávněných osob, zpravidla přístupovými hesly, či uzamčením. Článek 12 Postup při porušení zabezpečení osobních údajů 1. V případě, kdy pověřený zaměstnanec zjistí nebo nabude podezření, že by mohlo dojít nebo že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně oznámit e-mailem vedoucímu střediska výpočetní techniky a řediteli prostřednictvím formuláře Ohlášení porušení zabezpečení osobních údajů (příloha č. 3). 2. Vedoucí střediska výpočetní techniky prošetří oznámený incident a vyhodnotí ho. O veškerých porušeních zabezpečení osobních údajů v MÚ vede vedoucí střediska výpočetní techniky dokumentaci, která obsahuje skutečnosti týkající se daného porušení, jeho účinky, přijatá nápravná opatření a odůvodnění rozhodnutí přijatých v reakci na porušení. O těchto skutečnostech podá oznamovateli incidentu a jeho nadřízenému zprávu. 3. Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu (čl. 33 GDPR) a oznamování případů porušení ochrany osobních údajů subjektu údajů (čl. 34 GDPR) provádí ředitel. Článek 13 Závěrečná ustanovení 1. Všichni zaměstnanci MÚ, kteří zpracovávají osobní údaje, mají povinnost seznámit se s touto směrnicí. Odpovídají za to jejich přímí nadřízení.
2. Zaměstnanci jsou povinni před schválením procesů, které by mohly mít vztah ke zpracování osobních údajů, před zahájením nového zpracování osobních údajů a při pochybnostech při uplatňování práv a povinností při zpracování a ochraně osobních údajů si vyžádat stanovisko ředitele. 3. Tato směrnice nabývá účinnosti dnem 1. 1. 2019. V Praze dne 30. prosince 2018 RNDr. Jiří Rákosník, CSc. ředitel MÚ AV ČR Seznam příloh: Příloha č. 1 Vysvětlivky a komentáře Příloha č. 2 Záznamy o činnostech zpracování Příloha č. 3 Ohlášení porušení zabezpečení osobních údajů