MĚSTSKÁ ČÁST PRAHA 3 Rada městské části U S N E S E N Í č. 707 ze dne 17.10.2018 Směrnice pro ochranu osobních údajů Rada městské části I. s c h v a l u j e II. 1. Směrnici pro ochranu osobních údajů dle přílohy č. 1 tohoto usnesení. u k l á d á 1. JUDr. Michaelu Víchovi, tajemníkovi úřadu MČ 1.1. Informovat zaměstnance ÚMČ o přijetí nového vnitřního předpisu. Mgr. Alexander Bellu starosta městské části David Gregor místostarosta městské části
Městská část Praha 3 Směrnice Rady městské části č. RMČ/2018/4 Směrnice pro ochranu osobních údajů Zpracovatel: Vydáno: Účinnost: OOR xx.xx.2018 xx.xx.2018 Revize a změny dokumentu Verze Vydáno Účinnost Popis revize/změny Zpracovatel
Obsah 1. Úvod... - 3-1.1 Předmět a účel... - 3-1.2 Pojmy... - 3-2. Role v systému ochrany osobních údajů... - 5-3. Výkon práv a povinností správce osobních údajů... - 6-3.1 Povinnosti osob... - 6-3.1.1 Tajemník... - 6-3.1.2 Vedoucí odborů... - 7-3.1.3 Oprávněné osoby... - 8-3.1.4 Vedoucí odboru informatiky... - 10-3.2 Neveřejné informační systémy... - 10-3.3 Podklady pro kontrolní činnost... - 11-4. Kamerový systém... - 11-5. Závěrečná ustanovení... - 12-6. Seznam příloh... - 12 -
1. Úvod 1.1 Předmět a účel Směrnice pro ochranu osobních údajů upravuje technické a organizační opatření k zajištění ochrany osobních údajů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen Nařízení ), s cílem zajištění jednotného postupu při přijímání a realizaci opatření ochrany osobních údajů v podmínkách Úřadu městské části Praha 3 (dále jen ÚMČP3 ) 1.2 Pojmy Pro účely této směrnice se rozumí: a) Anonymní údaj: takový údaj, který buď v původním tvaru nebo po provedeném zpracování nelze vztáhnout k určenému subjektu údajů. b) Auditní záznamy: záznamy o bezpečnostně významných událostech prováděných v operačním systému počítače, které tento systém automaticky zapisuje do zvláštních datových souborů. c) Automatizované zpracování: zpracování, které zahrnuje operace: i. ukládání informací na nosiče dat; ii. provádění logických nebo aritmetických operací s těmito daty, jejich změna, výmaz, vyhledávání neb rozšiřování uskutečňované zcela nebo zčásti pomocí automatizovaných postupů; iii. provádění archivování informací jejich ukládáním na archivační paměťová média a v případě potřeby obnovování informací z archivních médií. d) Blokování osobních údajů: vytvoření takového stavu, při kterém je osobní údaj určitou dobu nepřístupný a nelze jej jinak zpracovávat. e) Evidence nebo datový soubor osobních údajů: (dále jen datový soubor ) jakýkoliv soubor osobních údajů uspořádaný nebo zpřístupnitelný podle společných nebo zvláštních kritérií f) Likvidace osobních údajů: fyzické zničení jejich nosiče, jejich fyzické vymazání nebo jejich trvalé vyloučení z dalších zpracování g) Manuální zpracování: jakékoliv zpracování s výjimkou zpracování automatizovaného (listinná podoba, kartotéky, spisy). h) Oprávněné osoby: Stránka- 3 -
i. Starosta MČP3 a místostarostové; ii. iii. iv. zaměstnanci v pracovním poměru k MČP3 (dále jen zaměstnanci ), kteří v rámci plnění pracovních povinností mají přístup k osobním údajům a dále je zpracovávají; zaměstnanci vykonávající práci na základě dohod o pracích konaných mimo pracovní poměr (dále jen zaměstnanci ), kteří v rámci plnění povinností plynoucích jim ze smlouvy mají přístup k osobním údajům a dále je zpracovávají; osoby vykonávající praxi, stáž nebo rekvalifikační kurz u MČP3 na základě smluvního vztahu, které mají přístup k osobním údajům povolený vedoucím věcně příslušného odboru; i) Osobní údaj: jakákoliv informace týkající se určeného nebo určitelného subjektu údajů (viz dále). Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu. j) Příjemce: každý subjekt, kterému jsou osobní údaje zpřístupněny. Za příjemce se nepovažuje subjekt, který zpracovává osobní údaje pro potřeby výkonu kontroly, dozoru, dohledu a regulace spojených s výkonem veřejné moci; v případech veřejného pořádku a vnitřní bezpečnosti; předcházení, vyhledávání, odhalování trestné činnosti a stíhání trestných činů; významného hospodářského a finančního zájmu České republiky nebo Evropské unie. k) Registr zpracování: popis zpracování osobních údajů v rozsahu požadavků na záznamy o zpracování osobních údajů podle Nařízení. Pro účely této směrnice je vytvořen, udržován a uložen v elektronické podobě. l) Shromažďování osobních údajů: postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování. m) Souhlas subjektu údajů: svobodný a vědomý projev vůle subjektu údajů, jehož obsahem je svolení subjektu údajů se zpracováním osobních údajů n) Správce: každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí zpracování a odpovídá za něj. Zpracováním osobních údajů může správce zmocnit nebo pověřit zpracovatele, pokud zvláštní zákon nestanoví jinak o) Subjekt osobních údajů: fyzická osoba, k níž se osobní údaje vztahují. Stránka- 4 -
p) Uchování osobních údajů: udržování údajů v takové podobě, která je umožňuje dále zpracovávat. q) Věcně příslušné odbory: pro účely tohoto předpisu se jedná o pracovníka krizového řízení a odbory ÚMČP3 podle platného Organizačního řádu, které jsou věcně příslušné ke zpracování osobních údajů. r) Vedoucí věcně příslušných odborů: vedoucí zaměstnanci plnící povinnosti správce osobních údajů dále uvedené v této směrnici v působnosti jim podřízeného organizačního prvku: i. tajemník; ii. pracovník krizového řízení; iii. odbory ÚMČP3 vedoucí příslušného odboru ÚMČP3; s) Zpracovatel: každý subjekt, který na základě zvláštního zákona nebo pověření správcem zpracovává osobní údaje podle Nařízení. t) Zpracování osobních údajů: jakákoliv operace nebo soustava operací, které správce nebo zpracovatel systematicky provádějí s osobními údaji, a to automatizovaně nebo jinými prostředky. Zpracováním osobních údajů se rozumí zejména shromažďování, ukládání na nosiče informací, zpřístupňování, úprava nebo pozměňování, vyhledávání, používání, předávání, šíření, zveřejňování, uchovávání, výměna, třídění nebo kombinování, blokování a likvidace. u) Zveřejněný osobní údaj: osobní údaj zpřístupněný zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu v) Zvláštní údaj: osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, odsouzení za trestný čin, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů. Zvláštním údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů (např. vzorek DNA, otisk prstu, scan oční sítnice). w) Jiný platný právní předpis: je pro účely této směrnice každý zákon, na který je prováděn odkaz v textu této směrnice. Dále jsou to další zákony (mimo zákon 101/2000 Sb.), které nařizují nebo jinak stanovují zpracování osobních údajů pro naplnění účelu daného zákona. 2. Role v systému ochrany osobních údajů V souladu s příslušnými ustanoveními této směrnice a v souladu s organizačním řádem úřadu je povoleno shromažďovat, zpracovávat a uchovávat osobní údaje pouze ke stanovenému účelu a v souladu s níže uvedenými odstavci. Osobní údaje v rozsahu zákonného zmocnění a v souladu se zákonem o ochraně osobních údajů a touto směrnici jsou oprávněny Stránka- 5 -
zpracovávat jako odbory působící v přenesené působnosti, tak i odbory působící v samostatné působnosti. Pro řízení ochrany osobních údajů zpracovávaných u ÚMČP3 jsou zřízeny následující bezpečnostní role: Starosta Správce osobních údajů zastupuje starosta MČP3. Tajemník Tajemník odpovídá starostovi za realizaci ustanovení Zákona a ostatních zvláštních zákonů, vztahujících se k problematice ochrany osobních údajů, v ÚMČP3. Vedoucí věcně příslušných odborů Vedoucí plní resp. zajišťují splnění opatření stanovených touto směrnicí ve své působnosti. Prakticky řídí, prosazují a kontrolují opatření k zajištění bezpečnosti osobních údajů zpracovávaných u jimi řízených odborů. Oprávněné osoby Oprávněné osoby v rámci plnění svých pracovních povinností plní opatření k ochraně osobních údajů ve smyslu této směrnice. 3. Výkon práv a povinností správce osobních údajů 3.1 Povinnosti osob a) Správce a zpracovatel jsou ze zákona na ochranu osobních údajů povinni přijmout taková opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, k jejich jinému neoprávněnému zpracování, jakož i k jinému zneužití osobních údajů. Tato povinnost platí i po ukončení zpracování osobních údajů. b) Zpracovávat osobní údaje mohou jen ti zaměstnanci, kterým tato činnost vyplývá ze stanovené pracovní náplně a organizačního řádu, a to jen v rozsahu nezbytně nutném pro výkon pracovních povinností. 3.1.1 Tajemník Tajemník v rámci své odpovědnosti za ochranu osobních údajů na ÚMČP3: a) zajišťuje zahrnutí problematiky ochrany osobních údajů do plánu vzdělávání úředníků; b) pravidelně (dle potřeby) zajišťuje informovanost oprávněných osob uvedených v čl. 1.2 písm. h) této směrnice k problematice ochrany osobních údajů se zaměřením na: změny v případě novelizace nařízení, příp. dalších nařízení s dopadem do problematiky zpracování osobních údajů, Stránka- 6 -
zevšeobecnění poznatků z kontrolní činnosti, nové skutečnosti na ÚMČP3 promítající se do systému ochrany osobních údajů. c) zajišťuje ochranu osobních údajů v jiných vnitřních předpisech a směrnicích ÚMČP3 již při jejich tvorbě; d) organizuje a provádí prostřednictvím pověřených zaměstnanců kontrolní činnost k dodržování zásad ochrany osobních údajů e) stanovuje a zajišťuje realizaci neodkladných opatření v oblasti zabezpečení ochrany osobních údajů; f) zajišťuje provedení změnového řízení této směrnice při změnách právního prostředí; g) při zpracování osobních údajů plní povinnosti oprávněné osoby podle čl. 3.1.3 směrnice. 3.1.2 Vedoucí odborů Vedoucí v souladu s požadavky Zákona a této směrnice realizují opatření k ochraně osobních údajů ve své působnosti. Vedoucí je povinen: a) stanovit účely zpracování osobních údajů formou Registru zpracování; pokud účel zpracování podléhá oznamovací povinnosti vůči ÚOOÚ, informovat o této skutečnosti tajemníka alespoň 10 pracovních dnů před odesláním registračního formuláře Úřadu pro ochranu osobních údajů (dále jen ÚOOÚ ); b) stanovit oprávněné osoby ke zpracování osobních údajů včetně rozsahu a způsob zpracování osobních údajů, vytvořit jim podmínky k této činnosti včetně zajištění prostředků pro zpracování osobních údajů; c) na základě nových skutečností průběžně aktualizovat záznamy zpracování osobních údajů v Registru zpracování a seznamy osob oprávněných ke zpracování osobních údajů; d) zajistit průkazné seznámení nového zaměstnance v pracovněprávním nebo jiném smluvním vztahu, resp. osoby vykonávající u odboru praxi, stáž nebo rekvalifikační kurz s touto směrnicí a konkrétními podmínkami zpracování osobních údajů (vzhledem k působnosti odboru); e) zajistit účast oprávněných osob v rozsahu dle článku 1.2 Pojmy h) a zajistit proškolení problematiky osobních údajů dle platných nařízení právních předpisů; f) zajistit oprávněným osobám podmínky pro ukládání přenosných nosičů s osobními údaji a vyžadovat jejich používání (uzamykatelné úschovné objekty nebo uzamykatelné místnosti s možností samostatného vstupu pouze oprávněných osob); Stránka- 7 -
g) zajistit bez zbytečného odkladu práva fyzických osob, jejichž osobní údaje jsou v rámci odboru zpracovávány v případě, že fyzická osoba žádá informaci o tomto zpracování nebo žádá o provedení nápravy ve zpracování svých osobních údajů; žádá-li fyzická osoba informaci o zpracování svých osobních údajů v rámci celého ÚMČP3; postupovat v souladu s přílohou č. 1 této směrnice; h) zajistit, aby písemnosti, jejichž původcem je jím řízený odbor a které jsou doručované zveřejněním na úřední desce (i elektronické úřední desce na webových stránkách města) obsahovaly pouze takové osobní údaje, které vyžaduje zvláštní zákon, dle kterého ke zveřejnění dochází; i) provádět kontrolní činnost k ochraně osobních údajů a v případě zjištěných nedostatků přijímat opatření k jejich odstranění. O zjištěných skutečnostech a přijatých opatřeních písemně informovat tajemníka; j) vyhodnocovat změny právního prostředí (např. změny právních předpisů) ve vztahu k oblasti ochrany osobních údajů; k) zajistit plnění oznamovací povinnost vůči ÚOOÚ o zpracování osobních údajů v rámci odboru v případech, které nejsou Zákonem vyňaty z této povinnosti; l) zajistit zpřístupnění informací veřejnosti o zpracování osobních údajů v rámci daného odboru prostřednictvím portálu MČP3; m) zajistit předání osobních údajů do jiných států (nastane-li tato situace) v souladu s Nařízení; n) novým zaměstnancům zajistit zřízení přístupových oprávnění do informačních systémů a aplikací ÚMČP3; rovněž zajistit změny nebo zrušení těchto oprávnění v návaznosti na změnu zařazení příslušného zaměstnance, popisu jeho pracovních činností nebo ukončení jeho pracovního poměru k MČP3; o) při zpracování osobních údajů plnit povinnosti oprávněné osoby dle čl. 3.1.3 této směrnice; p) při přípravě vnitřních předpisů ÚMČP3 zajišťovat ochranu osobních údajů; q) schvalovat přidělení přístupů zaměstnanců do neveřejných informačních systémů v případech, kdy je takové schválení správcem tohoto systému vyžadováno; 3.1.3 Oprávněné osoby Oprávněné osoby jsou povinny v rámci plnění svých pracovních povinností nebo povinností plynoucích z volené funkce plnit i opatření k ochraně osobních údajů stanovená Nařízením, tímto a dalšími vnitřními předpisy MČP3, zejména: a) zpracovávat osobní údaje za podmínek a v rozsahu jim stanoveném v souladu s platnými přístupy do informačních systémů a SW aplikací; b) zachovávat mlčenlivost o osobních údajích a přijatých opatřeních k jejich ochraně, o nichž se v souvislosti se svým zaměstnáním, výkonem funkce nebo plněním smlouvy dozvěděly; Stránka- 8 -
c) v rámci průběžného vzdělávání se účastnit kurzů zaměřených na problematiku ochrany osobních údajů; d) osobní údaje shromažďovat a dále zpracovávat v rozsahu: stanoveném jiným platným právním předpisem, resp. stanoveném v Registru zpracování, není-li rozsah zpracovávaných osobních údajů stanoven pro konkrétní účel (agendu) jiným platným právním předpisem. e) při shromažďování osobních údajů od subjektů údajů: v případě zpracování na základě uděleného souhlasu zajistit uchování prokazatelného souhlasu po celou dobu zpracování těchto osobních údajů, informovat a poučit subjekty údajů o jejich právech, neshromažďovat osobní údaje skrytě nebo pod záminkou jiného účelu. f) při zpracování osobních údajů: zpracovávat pouze přesné osobní údaje s ohledem na účel zpracování; v případě zjištění, že zpracovávané osobní údaje nejsou přesné, zpracování omezit do doby jejich opravy nebo doplnění dle článku 18 bod 1 a) Nařízení, pokud nenastanou podmínky dle článku 18 od 2 Nařízení, zpracovávat osobní údaje pouze k účelům, k nimž byly shromážděny (k jinému účelu pouze v případě, že fyzická osoba, ke které se osobní údaje vztahují, dala k tomu předem souhlas), nesdružovat osobní údaje získané k rozdílným účelům, pokud nenastane podmínka definovaná v článku 6 bod 4 Nařízení. uchovávat osobní údaje pouze po dobu, která je nezbytně nutná k účelu zpracování. Pominul-li účel zpracování konkrétních osobních údajů postupovat v souladu s platným Spisovým a skartačním řádem ÚMČP3, příp. údaje zlikvidovat. g) ukládat nosiče obsahující osobní údaje, a to v listinné i elektronické podobě, na náležitě zajištěná místa (uzamykatelné úschovné objekty nebo uzamykatelné místnosti s možností samostatného vstupu pouze oprávněných osob). Při práci s nosiči postupovat tak, aby jiná osoba nemohla zneužít tyto nosiče jako zdroj informace (dle zásad čistého stolu a prázdné obrazovky ); h) nepořizovat kopie nosičů s osobními údaji či osobních údajů samých pro jinou než pracovní potřebu a ani to umožňovat jiným; s takovými kopiemi nakládat stejně jako s originálem; i) neumožnit zpracování osobních údajů jiné osobě, která není pro konkrétní účel zpracování oprávněnou osobou; j) vytištěné dokumenty, obsahující osobní údaje, neprodleně po vytištění odebírat z tiskáren, kopírek nebo faxů; k) osobní údaje předávat a poskytovat: Stránka- 9 -
v rámci ÚMČP3 pouze oprávněným osobám způsoby stanovenými platným Spisovým a skartačním řádem ÚMČP3. mimo ÚMČP3 pouze v případech plynoucích z působnosti ÚMČP3, stanoví-li tak platný právní předpis nebo v souladu s platnou smlouvou v zákonem stanovených mezích. l) při používání prostředků IT se řídit vnitřním předpisem v platném znění; m) oznámit vedoucímu krizového týmu pro ochranu osobních údajů, příp. kterémukoliv jinému členu tohoto týmu, podezření na údajné nebo skutečné porušení osobních údajů. 3.1.4 Vedoucí odboru informatiky Vedoucí Odboru informatiky je pro zajištění ochrany osobních údajů v prostředcích IT povinen zajistit: a) aplikaci opatření bezpečnosti IT uvedené v dokumentu Bezpečnostní politika IS MČP3; b) fyzickou bezpečnost datových úložišť a provozních serverů ÚMČP3; c) na základě písemného požadavku vedoucích přístupová oprávnění oprávněným osobám do informačních systémů a SW aplikací ÚMČP3, v případě nutnosti jejich blokaci; d) kontrolní činnost k ochraně osobních údajů zpracovávaných v informačních systémech; o zjištěných skutečnostech informovat vedoucí, o zásadních nedostatcích i tajemníka; e) poskytování informací o zásadách bezpečnosti IT při ochraně osobních údajů v informačním systému prostřednictvím vnitřního předpisu; f) vymazání osobních údajů z pevného disku nebo vyjmutí paměťového média prostředků IT v případě jejich odeslání mimo ÚMČP3 (oprava u servisní organizace, výpůjčka, pronájem, vyřazení, likvidace apod.). 3.2 Neveřejné informační systémy Pro plnění povinností, plynoucích z působnosti MČP3, jsou využívány datové fondy neveřejných informačních systémů, jejichž správcem jsou jiné subjekty. Při přidělování přístupových oprávnění do těchto systémů je nutno respektovat pravidlo nutno znát, tj. přístupová oprávnění přidělit pouze těm oprávněným osobám, kteří údaje z příslušných systémů potřebují k výkonu svých pracovních povinností. Stránka- 10 -
Oprávněné osoby, kterým bylo přiděleno přístupové oprávnění do takového systému, jsou povinny využívat zjištěné údaje výlučně k plnění pracovních povinností a dodržovat závazná pravidla, vydaná správci těchto systémů, požadavky zákona i povinnosti stanovené touto směrnicí. 3.3 Podklady pro kontrolní činnost Plán kontrolních činností k ochraně osobních údajů je uveden následujícím rozpisu: Zaměření kontroly Provádí Interval Realizace opatření k ochraně osobních údajů u jednotlivých odborů ÚMČP3 Plnění povinností oprávněnými osobami dle čl. 3.1.3 směrnice Aktuálnost Registru zpracování Dodržování pravidel používání informačních technologií Správnost a integrita vytvářených auditních logů, kontrola vytvořených auditních logů Správnost a aktuálnost nastavení uživatelských oprávnění v informačních systémech Stanovené postupy při využívání datových fondů neveřejných IS (aktuálnost evidence uživatelů, využívání oprávnění přístupu, evidence přístupů) včetně zápisu o výsledcích kontroly Oznamovací povinnost aktuálnost Tajemník nebo jím pověřená osoba Vedoucí nebo jím pověřená osoba Vedoucí nebo jím pověřená osoba Vedoucí Odboru informatiky nebo jím pověřená osoba Vedoucí Odboru informatiky nebo jím pověřená osoba Vedoucí Odboru informatiky nebo jím pověřená osoba v součinnosti s vedoucími Vedoucí nebo jím pověřená osoba Tajemník nebo jím pověřená osoba Průběžně Průběžně Průběžně Průběžně Průběžně Průběžně Průběžně Průběžně 4. Kamerový systém Kamerový systém (dále jen CCTV ) je využíván k zabezpečení objektů a k ochraně majetku a osob na právním základě oprávněného zájmu správce. a) CCTV je uzavřený kamerový okruh, skládající se z kamer, monitorů, záznamových a dalších doplňujících zařízení určených pro monitorování prostorů ÚMČP3. Stránka- 11 -
b) Záznam z CCTV - je informace v digitální podobě zaznamenaná na vhodný záznamový nosič (počítačový disk apod.) za účelem pořízení audio a video záznamu. c) Archivace záznamů z CCTV - je uchovávání pořízených záznamů po dobu 6 dní za účelem prokázání aktivity na zabezpečeném místě. d) Osoba určená - je osoba určená pro zpracování údajů získaných ze záznamů CCTV, které to vyplývá z pracovní náplně, nebo k tomu byla zvlášť určena. e) Přístup k záznamovému zařízení a k záznamům z CCTV mají pouze osoby určené, jejichž povinností je pravidelně dohlížet na funkčnost CCTV, udržovat jej v řádném technickém stavu a pravidelně kontrolovat úplnost systému, archivovat pořízené záznamy v závislosti na technických možnostech záznamového zařízení. f) Správce poskytne na žádost orgánů Policie ČR záznam z CCTV v rámci prováděného vyšetřování trestné činnosti. g) K informování zaměstnanců a veřejnosti o monitorování prostor objektů pomocí CCTV je na vstupu do monitorovaného prostoru instalován piktogram s textem: Objekt je střežen kamerovým systémem. h) Nosiče informací (CD, DVD, HDD apod.) se záznamy z CCTV jsou evidovány v samostatné evidenci. Tato evidence je součástí dokumentace k CCTV a je zapsána v jejím seznamu. Vyjímatelné záznamové médium je označeno názvem objektu a pořadovým číslem z příslušné evidence. Pořizování neevidované kopie záznamů z CCTV je zakázáno. 5. Závěrečná ustanovení Nedílnou součástí této směrnice jsou přílohy podle bodu 6. Tato směrnice nabývá účinnosti dnem schválení Radou městské části Praha 3. Tato směrnice ruší Směrnici o ochraně osobních údajů ze dne 20. 10. 2010. 6. Seznam příloh Příloha č. 1 Uplatnění práv subjektů údajů Příloha č. 2 Zásady při porušení osobních údajů Příloha č. 3 Registr zpracování Stránka- 12 -
Stránka- 13 -
Příloha č. 1 Uplatnění práv subjektů údajů Uplatnit svá práva může subjekt údajů (fyzická osoba) písemně: s úředně ověřeným podpisem na adrese Správce, elektronicky doručením datové zprávy do datové schránky Správce, elektronicky prostřednictvím emailu s platným uznávaným elektronickým podpisem doručeným na elektronickou adresu podatelny Správce, nebo na jinou elektronickou adresu Správce. osobním podáním na podatelně se zaručením jednoznačné identifikace žadatele. Právo na přístup k osobním údajům Subjekt údajů má právo požadovat po Správci, aby mu sdělil informaci o tom, zda zpracovává osobní údaje, které se ho týkají. Pokud Správce osobní údaje zpracovává, má subjekt údajů právo tyto osobní údaje a informace o zpracování obdržet. Informaci ve stanoveném rozsahu (čl. 15 GDPR), případně kopii zpracovávaných osobních údajů, vyhotoví Správce bez zbytečného odkladu, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, například prostřednictvím opakovaných žádostí uplatňovaných krátce po sobě, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady. Vnitřní postup: Vedoucí příslušného odboru (odboru, který spravuje předmětné osobní údaje) zajistí uplatnění práva subjektu údajů Další členové response týmu, definovaní v příloze 2 této směrnice, poskytnou vedoucímu odboru veškerou nezbytnou součinnost Právo na opravu osobních údajů Subjekt údajů může požádat o opravu osobních údajů, které se ho týkají, v případě, že jsou nepřesné nebo neúplné. Po obdržení žádosti Správce bezodkladně omezí zpracování osobních údajů do doby ověření jejich správnosti a provedení případné opravy. Po ověření, případně opravení osobních údajů, Správce bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti, informuje subjekt údajů o tom, že byla ověřena správnost osobních údajů, případně provedena oprava, omezení zpracování bude zrušeno a ve zpracování osobních údajů bude Správce dále pokračovat. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze Stránka- 14 -
strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady. Vnitřní postup: Vedoucí příslušného odboru (odboru, který spravuje předmětné osobní údaje) zajistí uplatnění práva subjektu údajů Další členové response týmu, definovaní v příloze 2 této směrnice, poskytnou vedoucímu odboru veškerou nezbytnou součinnost Právo na výmaz osobních údajů Subjekt údajů může požadovat po Správci, aby zlikvidoval jeho osobní údaje a dále je neuchovával. Správce zlikviduje osobní údaje za následujících podmínek: pokud je již nepotřebuje pro účel, za kterým je shromáždil, pokud jsou osobní údaje zpracovávány na základě souhlasu se zpracováním osobních údajů a subjekt údajů souhlas odvolá, pokud subjekt vznese námitku proti zpracování osobních údajů a při posouzení vyjde najevo, že v konkrétní situaci převažuje zájem subjektu údajů nad zájmem Správce na zpracování osobních údajů, pokud Správce zpracovává osobní údaje protiprávně. Správce nevymaže osobní údaje, pokud je zpracování nezbytné pro splnění právní povinnosti nebo pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je Správce pověřen, případně jsou-li splněny další podmínky z výjimky práva na výmaz dle čl. 17 odst. 3 GDPR. O provedení (neprovedení) výmazu informuje Správce subjekt údajů bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady. Vnitřní postup: Vedoucí příslušného odboru (odboru, který spravuje předmětné osobní údaje) zajistí uplatnění práva subjektu údajů Další členové response týmu, definovaní v příloze 2 této směrnice, poskytnou vedoucímu odboru veškerou nezbytnou součinnost Právo na omezení zpracování Stránka- 15 -
Subjekt údajů může požádat Správce, aby omezil zpracování osobních údajů, které se ho týkají, a to v následujících případech: - subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby Správce mohl přesnost osobních údajů ověřit - zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití - Správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků - subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody Správce převažují nad oprávněnými důvody subjektu údajů. O omezení zpracování osobních údajů Správce bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti, informuje subjekt údajů. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady. Pokud pominou důvody pro omezení zpracování, Správce omezení neprodleně zruší. O zrušení omezení bude Správce subjekt údajů dopředu bezodkladně informovat. Vnitřní postup: Vedoucí příslušného odboru (odboru, který spravuje předmětné osobní údaje) zajistí uplatnění práva subjektu údajů Další členové response týmu, definovaní v příloze 2 této směrnice, poskytnou vedoucímu odboru veškerou nezbytnou součinnost Právo na přenositelnost údajů Subjekt údajů může toto právo uplatnit pouze v případě, že je zpracování osobních údajů prováděno automatizovaně a zároveň je založeno na souhlasu subjektu údajů nebo na plnění smlouvy. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil. Vnitřní postup: Vedoucí příslušného odboru (odboru, který spravuje předmětné osobní údaje) zajistí uplatnění práva subjektu údajů Další členové response týmu, definovaní v příloze 2 této směrnice, poskytnou vedoucímu odboru veškerou nezbytnou součinnost Stránka- 16 -
Právo vznést námitku Subjekt údajů má právo vznést námitku proti zpracování osobních údajů na základě právního titulu oprávněného zájmu a plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Jakmile Správce námitku proti zpracování obdrží, bez zbytečného odkladu omezí zpracování osobních údajů subjektu údajů, jež námitku podal a námitku posoudí. V rámci posouzení námitky musí Správce prokázat, že má pro zpracování závažné oprávněné důvody, které převažují na zájmy a svobodami subjektu údajů tzv. balanční test. V případě, že Správce prokáže oprávněné důvody zpracování, je oprávněn osobní údaje dále zpracovávat; pokud Správce oprávněné důvody neprokáže, musí zpracování osobních údajů ukončit. O výsledku řízení informuje Správce subjekt údajů bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od doručení žádosti. Pokud Správce prokáže oprávněné důvody pro zpracování osobních údajů, informuje zároveň subjekt údajů o ukončení omezení zpracování osobních údajů. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by námitky byly zjevně nedůvodné nebo nepřiměřené, je možné jim nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady. Vnitřní postup: Vedoucí příslušného odboru (odboru, který spravuje předmětné osobní údaje) zajistí uplatnění práva subjektu údajů Další členové response týmu, definovaní v příloze 2 této směrnice, poskytnou vedoucímu odboru veškerou nezbytnou součinnost Právo na odvolání souhlasu se zpracováním osobních údajů Subjekt údajů může kdykoli odvolat svůj souhlas se zpracováním osobních údajů. Odvoláním souhlasu ztrácí Správce právní titul pro zpracování osobních údajů a subjektu údajů vzniká právo na výmaz osobních údajů. Správce na základě uplatnění tohoto práva vyhledá a zlikviduje všechny osobní údaje zpracovávané na základě odvolaného souhlasu. Vnitřní postup: Vedoucí příslušného odboru (odboru, který spravuje předmětné osobní údaje) zajistí uplatnění práva subjektu údajů Další členové response týmu, definovaní v příloze 2 této směrnice, poskytnou vedoucímu odboru veškerou nezbytnou součinnost Právo podat stížnost u dozorového úřadu Stránka- 17 -
Subjekt údajů se může obrátit na dozorový úřad se stížností, pokud se domnívá, tedy má důvodné podezření, že při zpracování osobních údajů dochází k porušení GDPR. Stránka- 18 -
Příloha č. 2 Zásady při porušení osobních údajů Účel, rozsah a uživatelé Tyto zásady stanovují obecná pravidla a způsoby postupu ke zmírnění porušení osobních údajů v jedné nebo obou následujících situacích: Osobní údaje identifikují subjekty údajů, které jsou rezidenty členských států Evropské unie (EU) a / nebo zemí Evropského hospodářského prostoru (EHP), bez ohledu na to, v které části světa jsou tyto údaje zpracovány; a Osobní údaje podléhají zpracování v EU a / nebo EHP bez ohledu na zemi pobytu subjektu údajů. Zásady stanovují obecné postupy a opatření pro úspěšné řízení reakce na porušení údajů, jakož i plnění povinností týkajících se oznámení orgánům dohledu a subjektům údajů dle požadavků nařízení GDPR. Všichni zaměstnanci / personál, spolupracovníci nebo dočasní zaměstnanci a třetí osoby, které pracují nebo jednají jménem organizace MČ Praha 3, dále jen ( Organizace ) si musí být vědomi těchto zásad a dodržovat následující postupy v případě porušení osobních údajů. Referenční dokumenty nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a zrušení směrnice 95/46 / ES (dále jen Nařízení) Příslušné vnitrostátní právní předpisy nebo vyhlášky stanovující provádění GDPR Bezpečnostní politika Informačního systému MČ Praha 3 Definice Následující definice pojmů použitých v tomto dokumentu vycházejí z článku 4 Nařízení: Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen subjekt údajů ); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby. správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů. zpracovatelem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce. zpracováním jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, Stránka- 19 -
nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. porušením zabezpečení osobních údajů porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů. dozorovým úřadem nebo orgánem dohledu se rozumí nezávislý orgán veřejné moci zřízený členským státem podle článku 51 Nařízení. Response team krizový tým pro ochranu osobních údajů Jedná se o tým odpovědný za reakci při porušení ochrany osobních údajů. Tento tým musí být multidisciplinární a složený ze zkušených a kvalifikovaných osob z oddělení informačních technologií, IT bezpečnosti, právní oblasti, oblasti komunikace s veřejností. Tým může být složen lokálně (fyzicky přítomné osoby) nebo virtuálně (odborníci z různých míst). Tým reaguje na jakékoli podezření na možné porušení osobních údajů. Response team Úřadu městské části Praha 3 je tímto dokumentem stanoven ve složení: Vedoucí odboru organizačního vedoucí týmu Vedoucí odboru informatiky Metodik spisové služby Tiskový mluvčí Pověřenec pro ochranu osobních údajů Vedoucí oddělení krizového řízení a informační služba Tým musí zajistit existenci nezbytné připravenosti k reakci na porušení osobních údajů. Smyslem existence a posláním týmu je poskytnout okamžitou, účinnou a adekvátní reakci na jakékoli podezření na možné nebo skutečné porušení osobních údajů, které má nebo může mít vliv na společnost a její aktiva. V případě potřeby mohou členové týmu zapojit také externí strany (např. dodavatele informační bezpečnosti pro provádění forenzních úkolů v digitální podobě nebo externí komunikační agenturu pro zajištění krizové komunikace v případě potřeby). Vedoucí týmu má právo rozhodnout o zařazení dalšího člena do týmu za účelem řešení konkrétního porušení osobních údajů. Tým musí být po celý rok připraven reagovat při podezření na údajné nebo skutečné porušení osobních údajů, tak aby splnil předepsané časové lhůty dané Nařízením. Kontaktní údaje každého člena týmu, včetně osobních kontaktních údajů, se proto ukládají na centrálním místě a slouží k sestavení týmu vždy, když dojde k oznámení o podezření na údajné nebo skutečné porušení osobních údajů. Povinnosti týmu při porušení ochrany Stránka- 20 -
Jakmile dojde k oznámení porušení osobních údajů vedoucímu týmu, pak musí tým realizovat neprodleně následující kroky: Ověřit / posoudit porušení osobních údajů a závažnost situace Zajistit, aby bylo zahájeno, provedeno, zdokumentováno a uzavřeno řádné a nestranné vyšetřování, včetně forenzního Určit požadavky a opatření na nápravu a stanovení postupu vyšetřování Nahlásit zjištění tajemníkovi Koordinovat postup s příslušnými orgány podle potřeby Koordinovat vnitřní a vnější komunikaci Ujistit se, že jsou dotčené subjekty údajů v případě potřeby náležitě upozorněny Tým se schází při každém hlášeném (i údajném) porušení osobních údajů a bude řízen vedoucím týmu. Postup při porušení ochrany osobních údajů Reakce týmu je iniciována vždy, když je oznámeno porušení osobních údajů nebo vzniklo i jen podezření na údajné porušení osobních údajů nebo byl kterýkoli člen týmu informován o možném porušení osobních údajů. Tým je zodpovědný za zjištění, zda by taková situace měla být považována za skutečné porušení, které ovlivňuje osobní údaje subjektů údajů, tedy zda se jedná o skutečný bezpečnostní incident. Vedoucí týmu je zodpovědný za dokumentaci všech hlavních rozhodnutí týmu. Vzhledem k tomu, že tyto dokumenty mohou být následně přezkoumány orgány dohledu, je třeba je vést velmi přesně a důkladně vypracovat tak, aby byla zajištěna jejich dohledatelnost a auditovatelnost odpovědnosti. Oznámení o porušení osobních údajů: zpracovatel směrem ke správci Pokud narušení osobních údajů nebo podezření na porušení údajů ovlivní osobní údaje, které jsou zpracovávány jménem třetí strany, musí pověřenec pro ochranu osobních údajů společnosti, která je v pozici zpracovatele údajů, ohlásit jakékoli porušení osobních údajů příslušnému správci údajů bez zbytečného odkladu. Pověřenec pro ochranu osobních údajů zašle správci oznámení, které bude obsahovat následující: Popis povahy porušení Postihnuté kategorie osobních údajů Přibližný počet dotčených (ovlivněných) osob Jméno a kontaktní údaje vedoucího response týmu / pověřence pro ochranu osobních údajů Důsledky porušení osobních údajů Opatření přijatá k řešení porušení osobních údajů Stránka- 21 -
Jakékoli další informace týkající se porušení údajů Vedoucí response týmu zaznamená porušení osobních údajů do registru porušení osobních údajů. Oznámení o porušení osobních údajů: správce směrem k orgánu dohledu Pokud porušení osobních údajů nebo podezření na jejich porušení ovlivní osobní údaje, které organizace zpracovává jako správce osobních údajů, zajistí pověřenec pro ochranu osobních údajů provedení následujících činností: 1) Starosta musí rozhodnout, zda závažnost porušení osobních údajů zakládá povinnost ohlásit incident orgánu dohledu. 2) Ke stanovení rizika pro práva a svobody dotčených subjektů údajů musí pověřenec pro ochranu osobních údajů provést posouzení dopadů na ochranu osobních údajů pro zpracování (procesy), která jsou dotčena porušením údajů. 3) Pokud porušení osobních údajů pravděpodobně nepovede k ohrožení práv a svobod dotčených subjektů údajů, nevyžaduje se žádné oznámení incidentu. Porušení osobních údajů by však mělo být zaznamenáno do registru porušení osobních údajů. 4) Orgán dohledu musí být informován s minimálním zpožděním, nejpozději však do 72 hodin, pokud narušení osobních údajů pravděpodobně povede k ohrožení práv a svobod subjektů údajů dotčených porušením osobních údajů. Jakékoli možné důvody prodlení po dobu delší než 72 hodin musí být sděleny orgánu dohledu. Pověřenec pro ochranu osobních údajů zajistí zaslání oznámení orgánu dohledu, které bude obsahovat: Popis povahy porušení Postihnuté kategorie osobních údajů Přibližný počet dotčených (ovlivněných) osob Jméno a kontaktní údaje vedoucího response týmu / pověřence pro ochranu osobních údajů Důsledky porušení osobních údajů Opatření přijatá k řešení porušení osobních údajů Jakékoli informace týkající se porušení údajů Oznámení o porušení osobních údajů: správce směrem k subjektům údajů Starosta musí posoudit, zda porušení osobních údajů bude mít pravděpodobně za následek vysoké riziko pro práva a svobody subjektu údajů. Pokud ano, musí pověřenec pro ochranu osobních údajů MČ P3 s minimálním zpožděním oznámit tuto skutečnost dotčeným subjektům údajů. Stránka- 22 -
Oznámení subjektům údajů musí být napsáno jasným a srozumitelným jazykem a musí obsahovat stejné informace, které jsou uvedené v článku Oznámení o porušení osobních údajů: zpracovatel směrem ke správci. Pokud je kvůli počtu dotčených osob údajů nepřiměřeně složité oznámit informaci o porušení osobních údajů každému dotčenému subjektu údajů, vedoucí response týmu musí přijmout nezbytná opatření a iniciovat kroky k tomu, aby zajistila informování dotčených subjektů údajů pomocí vhodných, veřejně dostupných kanálů. Odpovědnost Nedodržení povinností uvedených v této směrnici se považuje za hrubé porušení pracovní kázně. Řízení záznamů vyhrazených na základě tohoto dokumentu Název záznamu Umístění Odpovědná osoba Kontaktní údaje Intranet vedoucí response týmu Zabezpečení záznamů Editovat soubory mohou pouze členové response týmu Retenční doba Dle spisového a skartačního řádu Dokumentovaná rozhodnutí response týmu espis vedoucí response týmu Editovat soubory může pouze vedoucí response týmu Dle spisového a skartačního řádu Ohlášení porušení osobních údajů espis vedoucí response týmu Editovat soubory může pouze vedoucí response týmu Dle spisového a skartačního řádu Registr porušení osobních údajů Intranet Pověřenec pro ochranu osobních údajů Editovat soubory může pouze pověřenec pro ochranu osobních údajů a vedoucí response týmu Dle spisového a skartačního řádu Stránka- 23 -
Příloha č. 3 Registr zpracování Příloha je v elektronické formě přístupná na intranetu ÚMČP3. Stránka- 24 -
Důvodová zpráva Zpracoval: Jonáš Merta, vedoucí odboru organizačního Radě městské části je předkládána nově zpracovaná směrnice pro ochranu osobních údajů, která nahrazuje původní směrnici o ochraně osobních údajů schválenou usnesením Rady MČ č. 780 z roku 2010. Oblast ochrany osobních údajů prošla v nedávném období podstatnými změnami, které souvisejí především s nabytím účinnosti nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (také GDPR), ke kterému došlo v květnu tohoto roku. Předkládaná směrnice reaguje na změny v oblasti ochrany osobních údajů. Byla zpracována externí odbornou společností za úzké spolupráce s příslušnými odbory Úřadu MČ a s pověřencem pro ochranu osobních údajů městské části. Předmětem předkládané směrnice pro ochranu osobních údajů je upravení technických a organizačních opatření k zajištění ochrany osobních údajů v souladu s nařízením Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen Nařízení ), s cílem zajištění jednotného postupu při přijímání a realizaci opatření ochrany osobních údajů v podmínkách Úřadu městské části Praha 3.