Posuzovaný subjekt: Střední škola strojírenská a elektrotechnická Brno, příspěvková organizace Trnkova 113, Brno IČO:

Podobné dokumenty
Záznamy o činnostech zpracování osobních údajů

Informace o zpracování osobních údajů

Informace o zpracování osobních údajů

Informace o zpracování osobních údajů

Informace o činnostech zpracování osobních údajů

Záznamy o činnostech zpracování

Informace o zpracování osobních údajů

INFORMACE K ÚČELŮM ZPRACOVÁNÍ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Záznamy o činnostech zpracování osobních údajů

Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů

Správce údajů: Střední škola teleinformatiky, Ostrava, příspěvková organizace. Subjekt údajů. Účel zpracování. Doba uchování.

Subjekt údajů Osobní údaje Právní titul zpracování Kategorie příjemců

Správce údajů : Střední průmyslová škola elektrotechnická, Havířov, příspěvková organizace

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů

Osobní údaje Právní titul zpracování Kategorie příjemců. výsledků ve cizinců), adresa pro. ke kterému byl žák přijat ke

Informace o zpracování osobních údajů, účelu,

ÚČELY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ZŠ MÁNESOVA OTROKOVICE

Správce údajů: Střední škola průmyslová a umělecká, Opava, příspěvková organizace Účel zpracování. Subjekt údajů. Doba uchování

Správce údajů: Střední škola průmyslová a umělecká, Opava, příspěvková organizace Účel zpracování. Subjekt údajů. Doba uchování

Informace o zpracování osobních údajů, účelu, kategoriích subjektů údajů právních důvodech zpracování a době jejich uchování Účel

Osobní údaje Právní titul zpracování Kategorie příjemců. výsledků ve cizinců), adresa pro

GDPR Ochrana osobních údajů. Informace o zpracování osobních údajů. Subjekty údajů mají právo

Osobní údaje Právní titul zpracování Kategorie příjemců. výsledků ve cizinců), adresa pro. informace o schopnostech, 8/2012 Sb.,

Osobní údaje Právní titul zpracování Kategorie příjemců. výsledků ve cizinců), adresa pro

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Informace o zpracování osobních údajů

Kabelíkova 14a, Přerov. Tel.: , fax: Sociální služby města Přerova, p.o. Záznamy o činnostech zpracování

GDPR Ochrana osobních údajů informace o zpracování osobních údajů

ZÁZNAM O ČINNOSTI ZPRACOVÁNÍ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Informace o zpracování osobních údajů, účelu, kategoriích subjektů údajů, právních důvodech zpracování a době jejich uchování

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

INFORMAČNÍ POVINNOST K ÚČELŮM ZPRACOVÁNÍ

Informace o zpracování osobních údajů pro zaměstnance

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Pojmenování a popis agendy / parametr zpracování Osobních údajů

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Základní informace o zpracování osobních údajů

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ ZAMĚSTNANCŮ A UCHAZEČŮ O ZAMĚSTNÁNÍ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ ZAMĚSTNANCŮ

INFORMACE O PLNĚNÍ NAŘÍZENÍ (EU) 2016/679

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Záznam o činnostech školní matrika, katalog o průběhu vzdělávání

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Základní informace o zpracování osobních údajů školy

Záznam o činnostech školní matrika, katalog o průběhu vzdělávání

Informace o zpracování osobních údajů

Informace pro subjekty osobních údajů

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Informace o zpracování osobních údajů- dítě a zákonní zástupci dítěte, dodavatelé

Registr agend obsahující osobní údaje

Přehled základních agend Mateřské školy "Pramínek", Liberec, Březinova 389/8, příspěvková

ZÁZNAM O ČINNOSTI ZPRACOVÁNÍ č. 1

1 účel zpracování UBYTOVÁNÍ CIZÍCH OSOB ZA ÚPLATU

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Název agendy Mateřské školy. Zpracovávané OÚ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Záznam o činnostech zpracování: Průběh pracovněprávního vztahu Základní škola a mateřská škola Brno, Přemyslovo nám. 1, příspěvková organizace

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Přehled základních agend Základní školy a Mateřské školy Barvířská, Liberec, příspěvkové or

GDPR informace podle čl. 13 uvedeného nařízení

ZÁZNAM O ČINNOSTI ZPRACOVÁNÍ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

PROHLÁŠENÍ O OCHRANĚ A O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů (GDPR)

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ PRO ZAMĚSTNANCE

Záznam o činnostech zpracování vedený dle čl. 30 odst. 1 GDPR o ochraně osobních údajů

ZÁZNAMY SPRÁVCE O ČINNOSTECH ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

GDPR informace podle čl. 13 uvedeného nařízení

ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

EVIDENCE. informačního systému osobních údajů. podle článku 30, Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále obecné nařízení )

EVIDENCE. informačního systému osobních údajů. podle článku 30, Nařízení Evropského parlamentu a Rady (EU) 2016/679 (dále obecné nařízení )

1. Správce údajů, kontaktní údaje. 2. Pověřenec správce, kontaktní údaje

Zpracování osobních údajů v souladu s GDPR (Nařízení Evropského parlamentu a Rady (EU)

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

Záznam o činnostech Bezpečnost a ochrana zdraví ve školách a školských zařízeních

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. podle čl. 13 a 14 Obecného nařízení 2016/679 (GDPR)

Informační povinnost správce osobních údajů vůči subjektu údajů

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - PERSONALISTIKA A MZDY

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ č. 1

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ. pro zletilé žáky, zákonné zástupce nezletilých žáků a uchazeče o studium

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Formuláře Gymnázium a Jazyková škola s právem státní jazykové zkoušky Zlín Zlín 2018 schválila: Mgr. Alena Štachová, ředitelka školy

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE PRO ZÁKONNÉ ZÁSTUPCE. Úvodní informace

Posouzení dopadu činnosti na ochranu osobních údajů. 1. Předmět ochrany osobních údajů. Hexpol Compounding s.r.o.

Záznamy o činnosti zpracování podle článku 30 nařízení

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOCIÁLNÍCH SLUŽBÁCH MĚSTA VELKÉ MEZIŘÍČÍ

KATEGORIE A ÚČEL ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů správcem Obcí Dětmarovice

GDPR informace podle čl. 13 uvedeného nařízení

Transkript:

Analýza procesů zpracování osobních údajů, zabezpečení osobních údajů a dokumentace související se zpracováním osobních údajů v souladu s nařízením 2016/679, obecným nařízením o ochraně osobních údajů Posuzovaný subjekt: Střední škola strojírenská a elektrotechnická Brno, příspěvková organizace Trnkova 113, 628 00 Brno IČO: 65766628 Zpracovatel: Středisko služeb školám a Zařízení pro další vzdělávání pedagogických pracovníků Brno, příspěvková organizace, Hybešova 15, 602 00 Brno IČO: 60555980 2018

Podklady: Pro účely této analýzy byly zpracovateli poskytnuty posuzovaným subjektem informace o zpracovávaných osobních údajích a dále níže uvedené dokumenty: pracovní smlouva, dohoda o pracovní činnosti - vzor, dohoda o provedení práce vzor, osobní dotazník zaměstnance, přihláška na střední školu, přihláška k nástavbovému studiu, přihláška do domova mládeže, přihláška ke stravování, dotazník pro účely matriky (učňovské obory), dotazník pro účely matriky (maturitní obory), dotazník pro účely matriky (dálkové nástavbové studium), dotazník pro účely matriky (denní nástavbové studium), dotazník pro účely matriky (zkrácené dálkové studium), dotazník pro účely matriky (zkrácené denní studium), přihláška na lyžařský kurz, souhlas s činností výchovného poradce, metodika prevence a školního psychologa, souhlas se zpracováním osobních údajů (fotografie), souhlas se zpracováním osobních údajů, souhlas s poskytnutím informací pedagogické poradně, přihláška ke zkoušce z odborné způsobilosti, školní řád, smlouva o zajištění odborné praxe, kopie smlouvy se spol. Alfa software, s.r.o., kopie smlouvy s HM DataSoft spol. s r.o., kopie smlouvy o poskytování služeb a zpracování osobních údajů se spol. Edookit, s.r.o., kopie smlouvy s MUDr. Jarmilou Fuchsovou, kopie smlouvy se spol. Gordic spol. s r.o., kopie smlouvy se spol. ESPO s.r.o., kopie smlouvy se spol. TESYDO, s.r.o., kopie dohody o provedení rekvalifikace se spol. MARLIN, s.r.o., vzor protokolu o zkoušce, vzor přihlášky na soutěž KOVO junior. Související legislativa: nařízení Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybuj těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen GDPR ), zákon č. 561/2004 Sb., o předškolním základním, středním, vyšším odborném a jiném vzdělávání (dále jen školský zákon ), zákon č. 500/2004 Sb., správní řád, v aktuálním znění (dále jen správní řád ), zákon č. 262/2006 Sb., zákoník práce, v aktuálním znění (dále jen zákoník práce ), zákon č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení, v aktuálním znění (dále jen zákon o sociálním zabezpečení ), zákon č. 48/1997 Sb., o veřejném zdravotním pojištění, v aktuálním znění (dále jen zákon o VZP ), zákon č. 586/1992 Sb., o daních z příjmů, v aktuálním znění (dále jen zákon o daních z příjmů ), 2

zákon č. 235/2004 Sb., o dani z přidané hodnoty, v aktuálním znění (dále jen zákon o DPH ), zákon č. 563/1991 Sb., zákon o účetnictví, v aktuálním znění (dále jen zákon o účetnictví ), zákon č. 340/2015 Sb., o registru smluv, v aktuálním znění (dále jen zákon o registru smluv ), zákon č. 133/2000 Sb., o evidenci obyvatel, v aktuálním znění (dále jen zákon o evidenci obyvatel ), zákon č. 326/1999 Sb., o pobytu cizinců na území České republiky, v aktuálním znění (dále jen zákon o pobytu cizinců ), zákon č. 565/1990 Sb., o místních poplatcích, v aktuálním znění (dále jen zákon o místních poplatcích ). 3

Obsah 1. Posouzení procesů zpracování osobních údajů... 5 1.1. Zpracování osobních údajů žáků školy... 5 1.1.1. Školní matrika... 5 1.1.2. Přijímací řízení... 6 1.1.3. Stravování... 7 1.1.4. Ubytování v domově mládeže... 8 1.1.5. Bezpečnostní pomůcky a oděvy... 9 1.1.6. Zajištění vstupu do areálu správce... 10 1.1.7. Pořádání zájezdů a výletů... 11 1.1.8. Záznamy z akcí, propagace školy... 12 1.2. Zpracování osobních údajů zákonných zástupců žáků... 14 1.2.1. Matrika školy a školských zařízení, přijímací řízení, ubytování... 14 1.2.2. Poplatky škole... 15 1.3. Zpracování osobních údajů zaměstnanců správce... 16 1.3.1. Personální a mzdová agenda... 16 1.3.2. Plnění oznamovací povinnosti... 18 1.3.3. Daňová evidence... 19 1.4. Zpracování osobních údajů účastníků soutěží... 21 1.5. Zpracování osobních údajů osob vstupujících do budovy školy... 22 1.6. Zpracování osobních údajů obchodních partnerů a dodavatelů... 23 1.7. Zpracování osobních údajů externích strávníků... 24 1.8. Zpracování osobních údajů klientů ubytovacího zařízení... 24 1.9. Zpracování osobních údajů účastníků odborných kurzů pro veřejnost... 26 1.10. Opatření k zajištění souladu s GDPR... 27 2. Zabezpečení osobních údajů... 28 2.1. Posouzení interních procesů správce při nakládání s osobními údaji... 28 2.2. Nakládání s osobními údaji v listinné podobě... 28 2.2.2. Nakládání s osobními údaji v elektronické podobě... 34 2.3. Organizační opatření k zabezpečení osobních údajů... 39 3. Zpracovatelé osobních údajů... 40 4. Další povinnosti správce... 41 4.1. Informace o činnostech zpracování... 41 4.2. Záznamy o činnostech zpracování... 41 4

1. Posouzení procesů zpracování osobních údajů Z doložených dokladů a informací vyplývá, že v databázi správce jsou evidovány tyto subjekty osobních údajů: žáci školy, zákonní zástupci žáků, zaměstnanci, osoby vstupující do budovy školy, obchodní partneři správce, externí strávníci, klienti ubytovacího zařízení, účastníci kurzů pro veřejnost. 1.1. Zpracování osobních údajů žáků školy 1.1.1. Školní matrika Účel vedení školní matriky, plnění povinností dle školského zákona a souvisejících právních předpisů Rozsah zpracovávaných OÚ jméno, příjmení, místo narození, číslo OP, rodné číslo, státní příslušnost, datum narození, trvalé bydliště, telefonní kontakt, e-mail, korespondenční adresa, informace o průběhu vzdělávání, informace o zdravotní způsobilosti ke vzdělávání, údaje o znevýhodnění žáka, mimořádném nadání, o podpůrných opatřeních Zveřejnění OÚ Příjemci OÚ Doba zpracování Nezveřejňují se zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ a oprávněné orgány MŠMT), smluvní partneři poskytovatelé odborné praxe po dobu školní docházky a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy Účel zpracování je v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze školského zákona a dalších navazujících právních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje výslovně specifikované v 16, 17, 18, 28, 30, 41, 50, 65, 81 a 164 zákona č. 561/2004 Sb., školského zákona, tedy osobní údaje zákonem výslovně vyžadované pro vedení školní matriky. Nad rámec těchto údajů dále zpracovává číslo občanského průkazu, telefonní číslo a emailovou 5

adresu žáka. Jelikož se jedná o osobní údaje nevyjmenované v 28 školského zákona, je jejich zpracování nadbytečné. Rozsah zpracování je tedy v rozporu se zásadou minimalizace údajů dle čl. 5 odst. 1 psím. c) nařízení GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány orgánům státní správy, a to výhradně v případě, že je k tomuto správce ze zákona povinen, a dále zpracovatelům osobních údajů v rozsahu nezbytném pro naplnění účelu zpracování. Osobní údaje mohou být taktéž předány poskytovatelům odborné praxe dle 65 odst. 2 školského zákona, zajišťuje-li pro žáka praxi správce. Předávání osobních údajů je tedy v souladu s účelem jejich zpracování. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po dobu školní docházky subjektu osobních údajů a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování dochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR, konkrétně informací o zdravotním stavu žáka, a to na základě a v souladu s ust. 28 zákona č. 561/2004 Sb., školského zákona, a to pouze v rozsahu nezbytně nutném. Doporučujeme ukončit zpracování kontaktů na žáka (email, telefonní číslo) a čísla občanského průkazu, nebo definovat samostatný účel zpracování těchto osobních údajů. V případě kontaktních údajů je možné jako účel zpracování stanovit vedení databáze kontaktů pro komunikaci související s běžným provozem školy. Právním důvodem pro zpracování osobních údajů pro daný účel může být pouze souhlas se zpracováním osobních údajů, který musí splňovat náležitosti dle čl. 7 GDPR. 1.1.2. Přijímací řízení Účel Rozsah zpracovávaných OÚ přijímací řízení jméno, příjmení, rodné příjmení, místo narození, trvalé bydliště, datum narození, rodné číslo, státní občanství, stupeň podpůrných opatření, korespondenční adresa, ID DS, výsledky předchozího studia, kontaktní údaje žáka ( 16, 60, 60a, 60d, 60e zákona č. 561/2004 Sb., školského zákona a 37 zákona č. 500/2004 Sb., správní řád) 6 Zveřejnění OÚ Příjemci OÚ Doba zpracování Nezveřejňují se zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ a oprávněné orgány MŠMT) po dobu školní docházky a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy

Účel zpracování je v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze školského zákona a dalších navazujících právních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje výslovně specifikované v 60 a násl. školského zákona, tedy osobní údaje zákonem výslovně vyžadované pro přijímací řízení. Nad rámec zákonného rozsahu správce zpracovává rodné příjmení žáka a dále kontaktní údaje žáka (telefon, e-mail). Jelikož se jedná o údaje, které zákon nevyžaduje ani jejich zpracování neumožňuje, jsou zpracovávány v rozporu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány orgánům státní správy, a to výhradně v případě, že je k tomuto správce ze zákona povinen, a dále zpracovatelům osobních údajů v rozsahu nezbytném pro naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s účelem jejich zpracování. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po dobu školní docházky subjektu osobních údajů a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Pro zpracování rodného příjmení a kontaktních údajů žáka doporučujeme zajistit souhlas subjektu se zpracováním osobních údajů dle čl. 7 GDPR, případně tyto osobní údaje po obdržení přihlášky dále nezpracovávat. 1.1.3. Stravování Účel stravování Rozsah zpracovávaných OÚ jméno, příjmení, datum narození, třída, bydliště, státní příslušnost, telefon, číslo čipu Zveřejnění OÚ Příjemci OÚ Doba zpracování nezveřejňují se zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) po dobu čerpání služby a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy Účel zpracování je v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze školského zákona a dalších navazujících právních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. 7

Správce zpracovává osobní údaje nezbytné pro řádné poskytnutí plnění, tj. identifikační údaje a kontaktní údaje a informace nutné pro vyúčtování plnění. Nad rámec nutného rozsahu je zpracováváno telefonní číslo subjektu, pro jehož zpracování správci nesvědčí žádný právní důvod. Rozsah zpracování osobních údajů je tedy v tomto údaji v rozporu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány zpracovatelům osobních údajů v rozsahu nezbytném pro naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s účelem jejich zpracování. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po dobu čerpání služeb a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Doporučujeme ukončit zpracování telefonního účtu subjektu údajů, případně definovat samostatný účel zpracování tohoto osobního údaje s ohledem na charakter údajů a jejich užití je možné jako účel zpracování stanovit vedení databáze kontaktů pro komunikaci v souvislosti se stravováním. Právním důvodem pro zpracování osobních údajů pro daný účel může být pouze souhlas se zpracováním osobních údajů, který musí splňovat náležitosti dle čl. 7 GDPR. 1.1.4. Ubytování v domově mládeže Účel ubytování v ubytovacím zařízení Rozsah zpracovávaných OÚ jméno, příjmení, státní občanství, datum narození, místo narození, číslo OP, kód zdravotní pojišťovny, adresa trvalého bydliště, škola, kterou bude žák navštěvovat, telefon, e-mail, zdravotní stav, zájmová činnost ( 16, 17, 18, 28, 30, 41, 50, 65, 81, 164 zákona č. 561/2004 Sb., školského zákona) Zveřejnění OÚ Příjemci OÚ Doba zpracování nezveřejňují se oprávněné orgány veřejné správy a státní orgány (školní inspekce, PČR), zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) po dobu čerpání služby a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy Účel zpracování je v souladu s ust. článku 5 odst. 1 písm. b) GDPR. 8

Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze školského zákona a dalších navazujících právních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje výslovně specifikované v 16, 17, 18, 28, 30, 41, 50, 65, 81 a 164 zákona č. 561/2004 Sb., školského zákona. Nad rámec těchto údajů správce zpracovává informace o zdravotní pojišťovně subjektu osobních údajů, kontaktní údaje subjektu (e-mail, telefonní číslo) a informace o zájmech subjektu. Pro zpracování těchto osobních údajů nemá správce oporu v zákoně a zpracovává je tedy v rozporu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány orgánům státní správy, a to výhradně v případě, že je k tomuto správce ze zákona povinen, a dále zpracovatelům osobních údajů, je-li to nezbytné pro naplnění účelu zpracování osobních údajů. Předávání osobních údajů je tedy v souladu s účelem jejich zpracování. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po dobu čerpání ubytovacích služeb a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování dochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR, konkrétně informací o zdravotním stavu žáka, a to na základě a v souladu s ust. 28 zákona č. 561/2004 Sb., školského zákona. Pro zajištění souladu s GDPR je nutné zpracování osobních údajů o zdravotní pojišťovně, kontaktních údajích a zájmech subjektu ukončit, nebo definovat nový účel zpracování a zajistit samostatný právní důvod zpracování. Informace o zdravotní pojišťovně doporučujeme zpracovávat pro účely vedení evidence pro případ úrazu a ošetření žáka. Kontaktní údaje lze zpracovávat pro účely vedení databáze kontaktů pro komunikaci související s běžným provozem školy. Informace o zájmech subjektů lze zpracovávat například pro účely vedení evidence doplňkových informací pro výchovnou činnost v ubytovacím zařízení. Právním důvodem pro zpracování osobních údajů pro každý z výše navržených účelů je výhradně souhlas se zpracováním osobních údajů, splňující náležitosti dle čl. 7 GDPR. 1.1.5. Bezpečnostní pomůcky a oděvy Účel Rozsah zpracovávaných OÚ Zveřejnění OÚ zajištění bezpečnostních a pracovních pomůcek a oděvů jméno, příjmení, obor, třída, míry Nezveřejňují se Příjemci OÚ Doba zpracování zpracovatelé osobních po dobu docházky údajů (poskytovatelé do zařízení a po služeb, při kterých dobu skartačních dochází ke zpracování a archivačních lhůt OÚ) a dále smluvní stanovených partneři výroba Ministerstvem a prodej pracovních školství, mládeže pomůcek a oděvů a tělovýchovy 9

Účel zpracování je v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti dle 65 školského zákona ve spojení se zákoníkem práce a souvisejícími a navazujícími právními předpisy, když zajišťuje bezpeční a ochranu zdraví žáků při praktické části výuky nákupem ochranných bezpečnostních pomůcek a pracovních oděvů. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje v rozsahu nezbytném pro naplnění účelu zpracování, tedy pro nákup a vydání bezpečnostních pomůcek. Osobní údaje jsou zpracovávány v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány zpracovatelům osobních údajů a obchodním partnerům jakožto samostatným správcům, a to vždy v rozsahu nezbytném pro naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s účelem jejich zpracování. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. do doby zajištění a vydání ochranných pomůcek a pracovních oděvů. Lhůta pro zpracování však není jednoznačně stanovena a deklarována. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Žádná. 1.1.6. Zajištění vstupu do areálu správce Účel zajištění vstupu do budovy Rozsah zpracovávaných OÚ jméno a příjmení, číslo čipu, čas otevření dveří Zveřejnění OÚ Příjemci OÚ Doba zpracování Nezveřejňují se oprávněné orgány veřejné správy a státní orgány (školní inspekce, PČR), zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) po dobu školní docházky a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel pořizovány a zpracovávány v souladu se čl. 6 odst. 1 psím. c) GDPR za účelem plnění zákonné povinnosti správce, kdy tento pomocí elektronického systému čipů umožňuje subjektům přístup do budovy školy. Správce zpracovává osobní údaje v rozsahu nezbytném pro naplnění účelu zpracování, kdy zpracovávané osobní údaje slouží pouze k identifikaci žáka, spárování s elektronickým systémem a data nezbytná pro 10

zjištění oprávnění vstupu. Rozsah zpracovávaných osobních údajů je tedy v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány oprávněným orgánům veřejné správy a státním orgánům, je-li k tomuto správce povinen, a dále zpracovatelům osobních údajů, a to v případech nezbytných k naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s účelem zpracování osobních údajů. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po trvání školní docházky a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. 1.1.7. Pořádání zájezdů a výletů Účel pořádání výletů a zájezdů Rozsah zpracovávaných OÚ jméno, příjmení, třída, telefon, Zveřejnění OÚ Příjemci OÚ Doba zpracování Nezveřejňují se oprávněné orgány veřejné správy a státní orgány (PČR, celní správa, apod.). Zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ), poskytovatelé služeb souvisejících s daným výletem či zájezdem, např. cestovní kancelář, poskytovatel ubytovacích služeb (místní poplatky), organizátor kulturní či vzdělávací akce apod., a to vždy v rozsahu nezbytném pro naplnění účelu po dobu trávní zájezdu a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy Účel zpracování je v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze školského zákona a dalších navazujících právních předpisů a dále 11

v souladu se čl. 6 odst. 1 písm. b) GDPR, když zajišťování zájezdu má charakter poskytnutí služby. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje výslovně specifikované ve školském zákoně a dále údaje nezbytné pro účast žáka na školním výletu či zájezdu a nutnou komunikaci s žákem po dobu trvání zájezdu. Rozsah zpracovávaných osobních údajů je tedy v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány oprávněným orgánům státní správy, a to výhradně v případě, že je k tomuto správce ze zákona povinen, a dále zpracovatelům osobních údajů, je-li to nezbytné pro naplnění účelu zpracování osobních údajů. Osobní údaje jsou taktéž předávány třetím osobám (obchodní partneři správce), jestliže je toto nezbytné pro naplnění účelu zpracování, když se jedná především o cestovní kancelář, poskytovatele ubytovacích služeb, organizátora kulturní či vzdělávací akce apod. Předávání osobních údajů je tedy v souladu s účelem jejich zpracování. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po dobu zájezdu a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. 1.1.8. Záznamy z akcí, propagace školy Účel pořizování záznamů z akcí školy pro účely evidence, archivace a propagace školy a jejích akcí Rozsah zpracovávaných OÚ jméno, příjmení, studijní obor, třída, fotografie, audiovizuální záznamy Zveřejnění OÚ Příjemci OÚ Doba zpracování Osobní údaje žáků v uvedeném rozsahu se zveřejňují na nástěnkách, v propagačních materiálech, na webových stránkách a sociálních sítích školy a propagačních materiálech školy, v případě významných úspěchů též v místním a regionálním tisku. Účel zpracování je v souladu s ust. článku 5 odst. 1 písm. b) GDPR. zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ), tiskové agentury po dobu školní docházky Osobní údaje jsou pro daný účel pořizovány a zpracovávány na základě souhlasu se zpracováním osobních údajů dle čl. 6 odst. 1 písm. a) GDPR. Osobní údaje jsou zpracovávány na základě písemného souhlasu vyjádřeného na samostatné listině. Součástí souhlasu je i demonstrativní výčet způsobu použití a zveřejnění osobních údajů. Souhlas je tedy udělován svobodně a informovaně. Ze souhlasu je zřejmé, že byl subjekt údajů informován o okolnostech dle čl. 13 odst. 1 GDPR i o právu souhlas kdykoliv odvolat. Souhlas tedy splňuje formální náležitosti dle čl. 7 GDPR. 12

Správce zpracovává osobní údaje v souladu s uděleným souhlasem a v rozsahu, jaký je obvyklý a nezbytný pro naplnění daného účelu, když vedle podoby subjektu osobních údajů dále zpracovává pouze jméno, příjmení, studijní obor a třídu v rámci organizace správce. Tento rozsah zpracování je u daného typu instituce a pro daný účel běžný, slouží pouze k informovanosti široké veřejnosti v souvislosti s veřejnými akcemi školy a především studijními úspěchy žáků školy a není způsobilý významným způsobem narušit soukromí či práva subjektů osobních údajů. Rozsah zpracovávaných osobních údajů je tedy v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se v souladu se souhlasem zveřejňují na webových stránkách školy, v propagačních materiálech školy, na sociálních sítích (např. Facebook, Instagram, YouTube apod.), intranetu, nástěnkách školy a místním a regionálním tisku, případně jiným adekvátním způsobem, a to tak, že se zveřejňuje podoba subjektu osobních údajů a je-li to vhodné a účelné také identifikační osobní údaje subjektu. Zveřejnění osobních údajů je tedy přiměřené a v souladu s uděleným souhlasem ke zpracování osobních údajů. Osobní údaje jsou předávány zpracovatelům osobních údajů, a to v rozsahu nezbytném pro řádné zpracování osobních údajů v souladu s uděleným souhlasem ke zpracování osobních údajů, především se jedná o externí poskytovatele IT služeb. Osobní údaje dále mohou být předávány zpravodajským agenturám a médiím, je-li to v souladu s účelem zpracování, tedy především pokud zpravodajský subjekt zveřejňuje zprávu o úspěších či aktivitách správce a jeho studentů. Předávání osobních údajů je tedy v souladu s GDPR. Osobní údaje jsou zpracovávány po dobu školní docházky žáka. Lhůta pro zpracování je tak určena přiměřeně vzhledem k povaze a účelu zpracování a v souladu se čl. 5 odst. 1. písm. e) GDPR. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. 13

1.2. Zpracování osobních údajů zákonných zástupců žáků 1.2.1. Matrika školy a školských zařízení, přijímací řízení, ubytování Účel vedení školní matriky, plnění povinností dle školského zákona a souvisejících právních předpisů přijímací řízení ubytování žáka v ubytovacím zařízení Rozsah zpracovávaných OÚ jméno, příjmení, telefon, e-mail, bydliště jméno, příjmení, datum narození, trvalé bydliště, korespondenční adresa, telefonické spojení, email, DS jméno, příjmení, trvalé bydliště, e- mail, telefon Zveřejnění OÚ Nezveřejňují se Nezveřejňují se nezveřejňují se Příjemci OÚ zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ a oprávněné orgány MŠMT), smluvní partneři poskytovatelé odborné praxe zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ a oprávněné orgány MŠMT) oprávněné orgány veřejné správy a státní orgány (školní inspekce, PČR, OSPOD) zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) Doba zpracování po dobu školní docházky a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy po dobu školní docházky a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy po dobu školní docházky dítěte nebo po dobu čerpání jiných služeb a po dobu skartačních a archivačních lhůt stanovených Ministerstvem školství, mládeže a tělovýchovy Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze školského zákona, správního řádu a souvisejících právních předpisů. Souhlas se zpracováním osobních údajů není nutný. Nad rámec rozsahu osobních údajů definovaný zákonem správce zpracovává informace o datu narození subjektu osobních údajů a osobní email subjektu osobních údajů, kdy tyto údaje jsou uvedeny ve formuláři přihlášky ke vzdělávání zpracovaném spol. SEVT. Uvedené osobní údaje není správce oprávněn shromažďovat a zpracovávat na základě školského zákona ani jiného právního předpisu a pro jejich zpracování mu tak nesvědčí právní důvod. Datum narození se obecně používá jako identifikátor fyzické osoby, nicméně v daném případě se jedná pouze o údaj o zákonném zástupci, nikoliv o účastníku přijímacího řízení. Rozsah zpracovávaných osobních údajů je tedy v rozporu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. 14

Osobní údaje jsou předávány orgánům státní správy, a to výhradně v případě, že je k tomuto správce ze zákona povinen, a dále zpracovatelům osobních údajů, je-li to nezbytné pro naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s GDPR. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po dobu školní docházky subjektu osobních údajů a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Pro zajištění souladu s GDPR je nezbytné definovat nový účel a právní důvod správce pro zpracování informací o osobních údajích subjektu, případně ukončit zpracování těchto údajů. Vzhledem k okolnostem zpracování je dle našeho názoru možné informace o osobních emailech zpracovávat pro účely vedení databáze kontaktů pro komunikaci související s běžným provozem školy. Osobní údaje pro výše specifikované účely lze zpracovávat výhradně na základě souhlasu se zpracováním osobních údajů dle čl. 6 odst. 1 písm. a) GDPR, který bude splňovat náležitosti dle čl. 7 GDPR. Informace o datu narození subjektu doporučujeme dále nezpracovávat, neboť se jedná o údaj nadbytečný. v případě zájmu správce jej lze po dobu školní docházky zpracovávat pouze na základě samostatně definovaného účelu a právního důvodu zpracování. 1.2.2. Poplatky škole Účel Rozsah zpracovávaných OÚ Zveřejnění OÚ evidence poplatků jméno, příjmení číslo spojených se školní účtu docházkou nezveřejňují se Příjemci OÚ Doba zpracování zpracovatelé po dobu školní osobních údajů docházky dítěte a po (poskytovatelé dobu skartačních služeb, při kterých a archivačních lhůt dochází ke stanovených zpracování OÚ) Ministerstvem školství, mládeže a tělovýchovy Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel pořizovány a zpracovávány na v souladu se čl. 6 odst. 1 písm. b) a c) nařízení GDPR, tedy pro plnění povinností subjektu a správce, které mu vyplývají jednak ze školského zákona a zvláštních právních předpisů, tak i z individuálních žádostí o poskytování souvisejících služeb, jako je stravování či ubytování žáka. Správce zpracovává osobní údaje v rozsahu, který je nezbytný pro naplnění specifikovaného účelu zpracování, tedy identifikační údaje a číslo bankovního účtu, které slouží k identifikaci subjektem provedené platby, tak i k vratce přeplatků, ke které je správce povinen. Rozsah zpracovávaných osobních údajů je tedy v souladu s ust. čl. 5 odst. 1 písm. c) GDPR. 15

Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány orgánům státní správy, a to výhradně v případě, že je k tomuto správce ze zákona povinen, a dále zpracovatelům osobních údajů. Předávání osobních údajů je tedy v souladu s GDPR. Osobní údaje jsou v souladu se čl. 5 odst. 1. písm. e) GDPR zpracovávány po dobu nezbytně nutnou pro naplnění daného účelu, tj. jsou zpracovávány po dobu školní docházky dítěte subjektu osobních údajů a dále jsou uloženy po dobu archivačních lhůt stanovených zákonem a Ministerstvem školství, mládeže a tělovýchovy jakožto nadřazeným správním orgánem. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. 1.3. Zpracování osobních údajů zaměstnanců správce 1.3.1. Personální a mzdová agenda Účel Rozsah zpracovávaných OÚ Zveřejnění OÚ Příjemci OÚ Doba zpracování vedení personální osobní číslo, jméno, osobní údaje a mzdové agendy příjmení, rodné příjmení, v rozsahu jméno, a plnění povinností vyplývajících z pracovního poměru titul, místo narození, bydliště, datum narození, informace o zdravotní způsobilosti, rodné číslo, telefon, pohotovostní kontakt, číslo bankovního účtu, druh účtu, pracovní zařazení, dosažené vzdělání, kvalifikace, odborné znalosti a dovednosti, průběh dosavadního zaměstnání, potvrzení o předchozím zaměstnání/studiu/úp, zdravotní stav, informace o pojištění, pobíraném důchodu, srážky ze mzdy, příjmení, pracovní zařazení jsou uvedeny na webu školy V případě ředitele školy jsou uveřejněny údaje o jménu, příjmení, pracovním zařazení a pracovním telefonu na webu školy. bankovní instituce (identifikace osob oprávněných disponovat s bankovními účty), zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) po dobu trvání pracovního poměru a po dobu archivačních lhůt výpis z RT, informace o vedení trestního řízení 16

Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. b), písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající z uzavřené smlouvy a povinnosti zaměstnavatele vyplývající ze zákoníku práce a souvisejících pracovněprávních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje v rozsahu, jaký je nezbytně nutný pro plnění pracovněprávních povinností zaměstnavatele, a to s ohledem na text zákoníku práce, v případě pedagogických zaměstnanců školského zákona a souvisejících právních předpisů. Nad rámec rozsahu osobních údajů definovaný zákonem správce dále zpracovává informace zdravotním stavu subjektu a o trestním stíhání. Konkrétní informace o zdravotním stavu není správce oprávněn zpracovávat, vůči zaměstnanci má nárok výhradně na předložení zdravotního posudku o pracovněprávní způsobilosti. Informace o vedení aktuálního trestního řízení jsou taktéž nadbytečné, neboť zaměstnavatel má nárok na informace o pravomocně uložených odsuzujících řízeních (výpis z rejstříku trestů) a ve vztahu k probíhajícím řízením pouze jedná-li se o trestní řízení související s výkonem zaměstnání, na základě kterého je zaměstnavatel oprávněn převést zaměstnance na jinou práci. Rozsah zpracovávaných osobních údajů je v rozporu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se zveřejňují ve vnitřních prostorách školy, a to tak, že se uvádí jméno, příjmení a pracovní zařazení zaměstnance, kdy toto slouží k informovanosti žáků školy a jejich zákonných zástupců a k označení pracoviště jednotlivých zaměstnanců. Na webu školy jsou dále zveřejněny údaje o jménu, příjmení, pracovním zařazení a pracovním telefonu u zaměstnanců, kteří v rámci svého pracovního zařazení komunikují s veřejností, např. pedagogičtí pracovníci, pracovníci ekonomického úseku, vedení správce. Jelikož pro výkon pracovní činnosti je komunikace s žáky školy a jejich zákonnými zástupci, případně s třetími osobami nezbytná, jedná se o zveřejnění osobních údajů nutné pro řádné plnění pracovněprávních povinností zaměstnance. Způsob, forma a rozsah zveřejněných osobních údajů jsou přiměřené a obvyklé vzhledem k pracovnímu zařazení zaměstnanců. Osobní údaje jiných zaměstnanců, zejména provozních zaměstnanců, kteří nemají v náplni své práce komunikovat s veřejností, zveřejněny nejsou. Osobní údaje jsou předávány bankovním institucím, jedná-li se o zaměstnance, kteří mají v rámci náplně své pracovní činnosti právo disponovat s bankovními účty správce. Osobní údaje jsou dále předávány orgánům veřejné správy jakožto samostatným správcům, jsou-li k tomuto orgány veřejné správy oprávněny. Osobní údaje jsou taktéž předávány zpracovatelům osobních údajů, a to v případě a v rozsahu nezbytném pro naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s účelem zpracování osobních údajů. Lhůta zpracování osobních údajů není výslovně stanovena. v rozporu se čl. 5 odst. 1. písm. e) GDPR tedy není zřejmé, po jakou dobu budou osobní údaje zpracovávány a uloženy. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Mimo výše uvedených osobních údajů správce taktéž pořizuje a zveřejňuje vizuální a audiovizuální záznamy obsahující podobu subjektů. Tyto záznamy nejsou nijak systematicky zpracovávány ani k nim nejsou přiřazovány další osobní údaje subjektů. v souladu se stanoviskem Úřadu na ochranu osobních údajů č. 12/2012 se tedy nejedná o zpracování osobních údajů ve smyslu nařízení GDPR. Je nutné definovat lhůtu zpracování osobních údajů zaměstnanců, kdy doporučujeme lhůtu následovně: Osobní údaje jsou zpracovávány po dobu trvání pracovněprávního vztahu a dále jsou pak uloženy po dobu běhu archivačních lhůt, nejméně po dobu 15 let od ukončení pracovního poměru. 17

Zpracování po dobu trvání pracovněprávního poměru je nejkratší možnou lhůtou pro zpracování. Dále doporučujeme osobní údaje uložit po dobu nejméně 15 let od ukončení pracovněprávního poměru, tedy po dobu běhu objektivní promlčecí lhůty k uplatnění případných nároků zaměstnance či správce. Dále doporučujeme ukončit zpracování informace o zdravotním stavu a o aktuálně vedených trestních řízeních, resp. upravit osobní dotazník tak, aby správce zpracovával pouze takové informace o trestním řízení, které mají vliv na pracovněprávní poměr. 1.3.2. Plnění oznamovací povinnosti Účel Rozsah zpracovávaných OÚ Zveřejnění OÚ Příjemci OÚ Doba zpracování plnění ohlašovací povinnosti vůči oprávněným orgánům jméno, příjmení, rodné příjmení, místo narození, bydliště, přechodné bydliště, datum narození, rodné číslo, státní příslušnost ( 37 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení) nezveřejňuje se orgány veřejné správy, zdravotní pojišťovna, zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) po dobu trvání pracovního poměru a po dobu archivačních lhůt zdravotní pojišťovna ( 10 zákon č. 48/1997, o veřejném zdravotním pojištění) zdravotní způsobilost a znevýhodnění ( 83 zákona č. 435/2004 Sb., o zaměstnanosti) počet dětí, výše pobíraných dávek nemocenského pojištění ( 36 zákona č. 582/1991 Sb., o organizaci a provádění sociálního zabezpečení) Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze zákoníku práce a souvisejících pracovněprávních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje v rozsahu, jaký je nezbytně nutný pro plnění ohlašovací povinnosti zaměstnavatele dle zákona o sociálním zabezpečení, zákona o VZP a souvisejících právních. Rozsah zpracovávaných osobních údajů je v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. 18

Osobní údaje jsou předávány orgánům veřejné správy a zdravotní pojišťovně subjektu jakožto samostatným správcům. Osobní údaje jsou taktéž předávány zpracovatelům osobních údajů, a to v případě a v rozsahu nezbytném pro naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s účelem zpracování osobních údajů. Lhůta zpracování osobních údajů není výslovně stanovena. v rozporu se čl. 5 odst. 1. písm. e) GDPR tedy není zřejmé, po jakou dobu budou osobní údaje zpracovávány a uloženy. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Je nutné definovat lhůtu zpracování osobních údajů zaměstnanců, kdy doporučujeme lhůtu následovně: Osobní údaje jsou zpracovávány po dobu trvání pracovněprávního vztahu a dále jsou pak uloženy po dobu běhu archivačních lhůt, nejméně po dobu 15 let od ukončení pracovního poměru. Zpracování po dobu trvání pracovněprávního poměru je nejkratší možnou lhůtou pro zpracování. Dále doporučujeme osobní údaje uložit po dobu nejméně 15 let od ukončení pracovněprávního poměru, tedy po dobu běhu objektivní promlčecí lhůty k uplatnění případných nároků zaměstnance či správce. 1.3.3. Daňová evidence Účel vedení daňového účetnictví dle zákona č. 586/1992 Sb., o daních z příjmů Rozsah zpracovávaných OÚ Jméno, příjmení, rodné příjmení, bydliště, přechodné bydliště, rodné číslo, státní příslušnost, rodinný stav, údaje o rodinných příslušnících a další vyživované osoby ( 6 a násl. zákona č. 586/1992 Sb., o daních z příjmů), informace o příjmech Zveřejnění OÚ Příjemci OÚ Doba zpracování nezveřejňují se orgány veřejné správy, zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) není definována Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. c) GDPR, neboť správce plní své právní povinnosti vyplývající ze zákona o daních z příjmů a souvisejících právních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. 19

Správce zpracovává osobní údaje v rozsahu, jaký je nezbytně nutný pro splnění daňových povinností správce jakožto zaměstnavatele. Rozsah zpracovávaných osobních údajů je tedy v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Nad rámec rozsahu osobních údajů definovaný zákonem správce zpracovává informace o rodinném stavu subjektu osobních údajů, datu narození rodinných příslušníků a zaměstnavateli rodinných příslušníků. Informace o rodinném stavu jsou relevantní pouze co do existence manželství, ostatní informace jsou nadbytečné a správce tak nemá důvod k jejich zpracování. Stávající koncepce osobního dotazníku přitom uvádění takových nadbytečných informací nevylučuje. Pro zpracování data narození rodinných příslušníků není právní důvod, když v daňových tiskopisech se uvádí výhradně jejich rodné číslo. Informace o zaměstnavateli je správce oprávněn zpracovávat pouze ve vztahu k dalšímu poplatníkovi, který spolu se subjektem vyživuje děti dle 38k odst. 4 zákona o daních z příjmů. Stávající koncepce osobního dotazníku však umožňuje uvedení tohoto osobního údaje i jinými osobami. Rozsah zpracovávaných osobních údajů je tedy v rozporu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány orgánům veřejné správy, jakožto samostatným správcům, a to z důvodu plnění zákonné povinnosti správce, a zpracovatelům osobních údajů v rozsahu nezbytném pro naplnění účelu zpracování. Předávání osobních údajů je tedy v souladu s účelem zpracování osobních údajů. Lhůta zpracování osobních údajů není výslovně stanovena. v rozporu se čl. 5 odst. 1. písm. e) GDPR tedy není zřejmé, po jakou dobu budou osobní údaje zpracovávány a uloženy Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Je nutné definovat lhůtu zpracování osobních údajů zaměstnanců, kdy doporučujeme lhůtu následovně: Osobní údaje jsou zpracovávány po dobu trvání pracovněprávního vztahu a po dobu archivačních lhůt. Zpracování po dobu trvání pracovněprávního poměru je nejkratší možnou lhůtou pro zpracování. Dále doporučujeme osobní údaje uložit po dobu příslušných archivačních lhůt. Doporučujeme ukončit zpracování informací o datu narození rodinných příslušníků subjektu. Současně doporučujeme upravit osobní dotazník zaměstnance tak, aby byly nebyly požadovány informace o rodinném stavu ale pouze o existenci manželství a dále aby bylo výslovně uvedeno, že informace o zaměstnavateli rodinného příslušníka se vyplňují pouze ve vztahu k dalšímu poplatníkovi, který se subjektem společně vyživuje děti ve smyslu 38k odst. 4 zákona o daních z příjmů. 20

1.4. Zpracování osobních údajů účastníků soutěží Účel pořádání soutěží Rozsah zpracovávaných OÚ Zveřejnění OÚ jméno, příjmení, Jméno, příjmení, datum narození, soutěžní kategorie obor ročník, škola, a umístění účastníka do které účastník v soutěži se dochází, soutěžní zveřejňuje kategorie, informace na webových o průběhu soutěže stránkách školy a v prostorách školy. Příjemci OÚ Doba zpracování pořadatelé vyšších úrovní soutěže, zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) není definována Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. b) GDPR, neboť správce plní své právní povinnosti vyplývající z veřejného příslibu vypsáním ceny za nejlepší výkon v soutěži. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje v rozsahu, jaký je nezbytně nutný pro organizaci dané soutěže, tedy informace sloužící k identifikaci účastníka soutěže a k jeho zařazení v rámci soutěžních kategorií. Rozsah zpracovávaných osobních údajů je tedy v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se zveřejňují na webových stránkách školy, ve vnitřních prostorách školy, případně jiným adekvátním způsobem, a to tak, že se zveřejňuje jméno a příjmení účastníka soutěže, soutěžní kategorie a jeho umístění v soutěži. Výčet zveřejňovaných osobních údajů je tedy v souladu se zásadou minimalizace osobních údajů dle čl. 5 odst. 1 písm. c) GDPR. Jelikož soutěže jsou v zájmu zachování transparentnosti a jejich řádného průběhu veřejnosti přístupné, je zveřejnění výsledků soutěže v souladu s účelem zpracování osobních údajů, kdy se jedná o postup přiměřený, obvyklý pro daný účel zpracování osobních údajů a představující minimální riziko pro soukromí a práva subjektů osobních údajů. Osobní údaje jsou předávány organizátorům vyšší kategorie dané soutěže, jedná-li se o soutěž rozdělenou na více oblastních kategorií, a to v rozsahu nezbytném pro zařazení účastníka do vyšší úrovně soutěže, a dále zpracovatelům osobních údajů. Předávání osobních údajů je tedy v souladu s účelem zpracování. Lhůta zpracování osobních údajů není výslovně stanovena. v rozporu se čl. 5 odst. 1. písm. e) GDPR tedy není zřejmé, po jakou dobu budou osobní údaje zpracovávány a uloženy. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Pro splnění zákonných požadavků je nezbytné určit dobu zpracování nebo kritéria použitá pro stanovení této doby. Stanovení doby zpracování doporučujeme následovně: Osobní údaje jsou zpracovávány po dobu trvání soutěže a dále uloženy pro účely archivace po dobu běhu archivačních lhůt. 21

1.5. Zpracování osobních údajů osob vstupujících do budovy školy Účel ochrana majetku školy a bezpečí žáků a zaměstnanců, prevence proti vandalismu Rozsah zpracovávaných OÚ jméno, příjmení, důvod návštěvy, čas příchodu, odchodu, podoba Zveřejnění OÚ Příjemci OÚ Doba zpracování nezveřejňují se orgány činné v trestním řízení kamerové záznamy po dobu 1 měsíce, kniha návštěv do naplnění Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel pořizovány a zpracovávány pro ochranu oprávněných zájmů příslušného správce, které spočívají především v ochraně majetku, v ochraně zájmů žáků školy, spočívající v zajištění jejich bezpečí, a v prevenci proti vandalismu, když nutnou úroveň zabezpečení není možné organizačně zajistit jinými nástroji. Zásah do soukromí a práv subjektů osobních údajů je pouze minimální a krátkodobý, zájmy subjektů osobních údajů tedy nemají přednost před oprávněnými zájmy správce. Zpracování osobních údajů je tedy v souladu s ust. čl. 6 odst. 1 písm. f) GDPR. Správce zpracovává osobní údaje v rozsahu, který je v souladu s účelem zpracování, kdy správce zpracovává prostřednictvím kamerového systému podobu subjektů osobních údajů a monitoruje jejich pohyb ve veřejných prostorách správce. Kamerový systém je umístěn tak, aby došlo k naplnění účelu zpracování za současného respektování práva na ochranu soukromého a osobního života subjektů osobních údajů. Kamerový systém je veden samostatně a nijak nedochází k jeho spojování s ostatními databázemi. Správce dále vedení knihu návštěv, která obsahuje základní identifikační údaje a informace o vstupu subjektu do objektu správce a jeho odchodu. Rozsah zpracovávaných osobních údajů je tedy v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se nezveřejňují. Osobní údaje jsou předávány výhradně orgánům činným v trestním řízení, a to pouze v případě, že takové předání může napomoci k ochraně či uplatňování oprávněných zájmů správce či třetí strany. Předávání osobních údajů je tedy v souladu s účelem zpracování osobních údajů. Lhůta zpracování podoby subjektů osobních údajů činí 1 měsíc. Vzhledem k charakteru záznamu a obecné správní praxi se jedná o dobu nepřiměřeně dlouhou, kdy dle názoru Úřadu na ochranu osobních údajů je nejvhodnější dobou ukládání záznamu délka 2-3 dnů. Doba zpracování identifikačních údajů a informací o trvání návštěvy je vedena v knize návštěv do doby jejího naplnění s ohledem na organizační možnosti správce a minimální rozsah zpracovávaných osobních údajů, na základě kterého lze jen s velkými obtížemi zpětně identifikovat konkrétní subjekty, se doba uložení jeví jako přiměřená. Doba zpracování osobních údajů je tedy v souladu se čl. 5 odst. 1. písm. e) GDPR. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Pro splnění zákonných požadavků doporučujeme zkrátit dobu uložené kamerového záznamu na délku 2-3 dnů. 22

1.6. Zpracování osobních údajů obchodních partnerů a dodavatelů Účel Rozsah zpracovávaných OÚ Zveřejnění OÚ plnění povinností jméno, příjmení, Osobní údaje se vyplývajících ze sídlo, IČ, DIČ, datum zveřejňují v registru smlouvy uzavřené narození, číslo smluv za podmínek mezi subjektem bankovního účtu dle zákona o registru a správcem, vedení smluv účetnictví Příjemci OÚ Doba zpracování zpracovatelé osobních údajů (poskytovatelé služeb, při kterých dochází ke zpracování OÚ) není definována Účel zpracování je definován v souladu s ust. článku 5 odst. 1 písm. b) GDPR. Osobní údaje jsou pro daný účel zpracovávány v souladu se čl. 6 odst. 1 písm. b) GDPR, neboť správce plní své právní povinnosti vyplývající z uzavřené soukromoprávní smlouvy, a dále v souladu se čl. 6 odst. 1. písm. c) GDPR, kdy správce plní své zákonné povinnosti vyplývající ze zákona o účetnictví, zákona o DPH a souvisejících právních předpisů. Souhlas se zpracováním osobních údajů se nevyžaduje. Správce zpracovává osobní údaje v rozsahu, jaký je nezbytně nutný pro realizaci uzavřené smlouvy a pro vedení řádného a daňového účetnictví. Rozsah zpracovávaných osobních údajů je tedy v souladu se zásadou minimalizace údajů dle čl. 5 odst. 1 písm. c) GDPR. Zpracovávané osobní údaje se zveřejňují výhradně v registru smluv, je-li zveřejnění smlouvy v registru dle zákona o registru smluv povinné, a to pouze v rozsahu nezbytně nutném. Zveřejnění osobních údajů je tedy v souladu s GDPR. Osobní údaje jsou předávány dále zpracovatelům osobních údajů, a to v rozsahu nezbytném pro splnění smlouvy o zpracování osobních údajů. Předávání osobních údajů je tedy v souladu s účelem zpracování. Lhůta zpracování osobních údajů není výslovně stanovena. v rozporu se čl. 5 odst. 1. písm. e) GDPR tedy není zřejmé, po jakou dobu budou osobní údaje zpracovávány a uloženy. Při zpracování nedochází ke zpracování zvláštní kategorie osobních údajů dle čl. 9 GDPR. Pro splnění zákonných požadavků je nezbytné určit dobu zpracování nebo kritéria použitá pro stanovení této doby. Stanovení doby zpracování doporučujeme následovně: Osobní údaje jsou zpracovávány po dobu trvání smluvního vztahu a dále po dobu 15 let. Zpracování po dobu trvání smluvního vztahu je nejkratší možnou lhůtou pro zpracování. Dále doporučujeme osobní údaje uložit po dobu nejméně 15 let od ukončení smluvního vztahu, tedy po dobu běhu objektivní promlčecí lhůty k uplatnění případných nároků subjektu či správce. 23

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář