Směrnice O OCHRANĚ OSOBNÍCH ÚDAJŮ

Podobné dokumenty
Město Benešov nad Ploučnicí IČ Směrnice č. 02/2018. o zpracování osobních údajů. a postupech jejich zabezpečení

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - OBECNÉ

Základní škola Děčín II, Kamenická 1145 S M Ě R N I C E Č. 22

POLITIKA ZPRACOVÁNÍ A OCHRANY OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚTVAR INTERNÍHO AUDITU

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - REGISTR SMLUV

GDPR Obecné nařízení o ochraně osobních údajů

SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - VÝBĚROVÁ ŘÍZENÍ

zákona 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), a souvisejících právních předpisů;

INFORMACE K OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V ANKETĚ STROM ROKU I. SPRÁVCE OSOBNÍCH ÚDAJŮ A SUBJEKT OSOBNÍCH ÚDAJŮ

Směrnice. Záměrná a standardní ochrana osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ODBOR DORAVY

Obecné nařízení o ochraně osobních údajů a jeho dopady do sociálních služeb

Politika ochrany osobních údajů

Základní škola Pelhřimov, Komenského Směrnice GDPR

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ

Informování veřejnosti o zpracování osobních údajů

vnitřní směrnici: Správce osobních údajů (osoba odpovědná za správu domu podle občanského zákoníku) :

SMĚRNICE Č. 01/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Poučení o ochraně osobních údajů

Informování veřejnosti o zpracování osobních údajů

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Zásady ochrany osobních údajů

Informování veřejnosti o zpracování osobních údajů

SMĚRNICE Č. 001, O OCHRANĚ OSOBNÍCH ÚDAJŮ 1. ÚČEL 2. PŮSOBNOST 3. TERMÍNY, DEFINICE A ZKRATKY

Informace k ochraně osobních údajů

Informování veřejnosti o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

SPISOVÁ SLUŽBA A GDPR

Informování veřejnosti o zpracování osobních údajů

Politika ochrany osobních údajů. Platnost a účinnost od: Mgr. Milan KRÁL

Informování veřejnosti o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Bratislava GDPR. v systému KREDIT. Ing. Jozef Kurica

Směrnice č. 01/2018 Ochrana osobních údajů na Asociace pro vodu ČR z.s. Článek 1 Předmět úpravy. Článek 2 Základní pojmy

Informování veřejnosti o zpracování osobních údajů

V Olomouci dne 25. května Politika ochrany osobních údajů Gymnázia, Olomouc, Čajkovského 9

Informování veřejnosti o zpracování osobních údajů

Obecné nařízení o ochraně osobních údajů. a jeho dopady do zdravotnictví

ORGANIZAČNÍ ŘÁD ŠKOLY

Prohlášení o ochraně osobních údajů

Informování veřejnosti o zpracování osobních údajů

Prohlášení o ochraně osobních údajů ve společnosti. TAJMAC-ZPS, a.s.

Informace o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Vnitřní směrnice GDPR Výkon práv subjektů údajů

Prohlášení o ochraně osobních údajů ve společnosti ZPS MECHANIKA, a. s.

Prohlášení o ochraně osobních údajů ve společnosti. ZPS-TRANSPORT, a.s.

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Základní škola, Ostrava-Poruba, Čkalovova 942, příspěvková organizace Zásady zpracování osobních údajů (GDPR)

B1 SMĚRNICE O OCHRANĚ OSOBNÍCH ÚDAJŮ. (smluvních partnerů) ZERAS a.s.

INFORMAČNÍ POVINNOSTI SPRÁVCŮ VŮČI DOTČENÝM SUBJEKTŮM ÚDAJŮ

Informace o zpracování a ochraně osobních údajů

Informace o zpracování osobních údajů bytovým družstvem (správcem osobních údajů)

Výkon práv subjektů zpracování

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - PERSONALISTIKA A MZDY

Informace o zpracování osobních údajů uchazečů o zaměstnání

POLITIKA OCHRANY OSOBNÍCH ÚDAJŮ

INFORMAČNÍ LISTINA O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ PRO ZÁKAZNÍKY

Prohlášení o ochraně osobních údajů

Informování veřejnosti o zpracování osobních údajů

SMĚRNICE O OCHRANĚ A PRÁCI S OSOBNÍMI ÚDAJI Č. 01/2018

Máte právo požadovat od správce přístup k osobním údajům, které se ho týkají, podle článku 15 GDPR:

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ HOTELU OLŠANKA

Informace o zpracování osobních údajů

Informování veřejnosti o zpracování osobních údajů

Miloš Sarauer, Libenice 151, Kolín, IČ : , DIČ : CZ Směrnice pro práci s osobními údaji. Článek 1 Úvodní ustanovení

Zásady zpracování osobních údajů.

Směrnice ČLS JEP číslo 1/2018 O ochraně a zpracování osobních údajů

Zásady a informace o zpracování osobních údajů

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V MĚSTSKÉ KNIHOVNĚ NERATOVICE

tímto podle čl. 12 a násl. GDPR informujeme o zpracování osobních údajů a o právech subjektů údajů.

POUČENÍ O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ:

Informování veřejnosti o zpracování osobních údajů

SMĚRNICE Č. 1/2018, O OCHRANĚ OSOBNÍCH ÚDAJŮ

Informace o zpracování osobních údajů a poučení o právech subjektu údajů

OCHRANA OSOBNÍCH ÚDAJŮ. Mgr. Pavla Strnadová, Expert na ochranu duševního vlastnictví

INFORMACE O ZPRACOVÁNÍ A OCHRANĚ OSOBNÍCH ÚDAJŮ

Název organizace: SOŠ dopravy a cestovního ruchu v Krnově, p. o. Datum účinnosti: Verze: 1

PROHLÁŠENÍ SPOLEČNOSTI O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

ŽÁDOST SUBJEKTU ÚDAJŮ PODLE GDPR Penzion pro důchodce Rosice, příspěvková organizace, IČ: , sídlem Kaštanová 1223, Rosice, PSČ:

VNITŘNÍ SMĚRNICE DDM VĚTRNÍK

Ochrana osobních údajů

Zásady zpracování osobních údajů společnosti SALTEN s.r.o.

Informace o zpracování osobních údajů. Úvodní informace

Informace o zpracování osobních údajů

INFORMACE O ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ V SOCIÁLNÍCH SLUŽBÁCH MĚSTA VELKÉ MEZIŘÍČÍ

SMĚRNICE NA OCHRANU OSOBNÍCH ÚDAJŮ

ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ - ÚSEK PERSONALISTIKY A MEZD

INFORMACE O OCHRANĚ OSOBNÍCH ÚDAJŮ ZAMĚSTNANCŮ A UCHAZEČŮ O ZAMĚSTNÁNÍ

Mgr.Zdeňka Říhová, ředitelka DDM

ALIS spol. s r.o., Česká Lípa říjen 2017

Informace o zpracování osobních údajů společností FREE ARCHITECTS s.r.o.

Poučení subjektu údajů

Informační memorandum ke zpracování osobních údajů Vyšší odborné školy zdravotnické Brno, příspěvková organizace

Transkript:

Směrnice O OCHRANĚ OSOBNÍCH ÚDAJŮ Účinnost od 25. 05. 2018

O b s a h Část první - Úvod. 03 Článek 1 až 2 Část druhá - Principy zpracování osobních údajů. 04 Článek 3 až 8 Část třetí - Povinnosti Správce.... 06 Článek 9 až 19 Část čtvrtá - Práva subjektu údajů a postup při jejich uplatnění.... 13 Článek 20 až 26 Část pátá Souhlasy... 16 Článek 27 Část šestá Zvláštní kategorie osobních údajů. 17 Článek 28 Část sedmá Informační povinnost.. 18 Článek 29 až 30 Část osmá - Závěrečná ustanovení.. 19 stránka 2 (celkem 19)

ČÁST PRVNÍ ÚVOD Článek 1 Úvodní ustanovení 1. Město Písek je veřejnoprávní korporací, má vlastní majetek, vystupuje v právních vztazích svým jménem a nese odpovědnost z těchto vztahů vyplývající. Město Písek je účetní jednotka: Město Písek Velké náměstí 114 397 19 Písek IČ: 00249998 DIČ: CZ00249998 2. Tato směrnice je závazná pro všechny zaměstnance, kteří jsou zařazeni do Městského úřadu Písek, městské policie, organizační složky a ostatní zaměstnance, kteří se v rámci plnění svých úkolů dostanou do kontaktu s osobními údaji subjektů údajů (dále jen Správce ) Kontrolu dodržování směrnice zabezpečují vedoucí odborů, velitel městské policie a vedoucí organizační složky v rámci svých pravomocí daných organizačním řádem Městského úřadu Písek, organizačním řádem městské policie, kontrolním řádem a pracovními náplněmi. 3. Legislativní rámec: NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů. Dále jen GDPR ). Článek 2 Vymezení pojmů 1. Pro účely této směrnice se níže uvedenými pojmy rozumí: a. GDPR: General Data Protection Regulation b. Osobní údaj: veškeré informace o fyzické osobě (např. jméno, adresa, datum narození, rodné číslo ) na základě kterých lze tuto osobu identifikovat. c. Zvláštní kategorie údajů: osobní údaj takového charakteru, že může subjekt údajů sám o sobě poškodit ve společnosti, v zaměstnání, ve škole, nebo může zapříčinit jeho diskriminaci. Jde o údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v odborových organizacích, náboženství a filozofickém přesvědčení, zdravotním stavu a sexuálním životě subjektu údajů a genetický údaj subjektu údajů; citlivým údajem je také biometrický údaj, který umožňuje přímou identifikaci nebo autentizaci subjektu údajů. d. Zpracování osobních údajů: jakákoliv operace s osobními údaji, jako je shromáždění, zaznamenání, uložení, pozměnění, nahlédnutí, použití, šíření, omezení, výmaz apod. e. Správce: právnická nebo fyzická osoba (v tomto případě Městský úřad Písek v přenesené působnosti a město Písek v samostatné působnosti), která určuje účely a prostředky zpracování osobních údajů. stránka 3 (celkem 19)

f. Zpracovatel: fyzická nebo právnická osoba, nebo subjekt, který zpracovává osobní údaje pro Správce. g. Subjekt údajů: fyzická osoba, k níž se osobní údaje vztahují. h. Pověřenec pro ochranu osobních údajů: osoba, která posuzuje činnost Správce či zpracovatele, zda je v souladu s platnou právní úpravou, informuje je, radí, dává doporučení. ČÁST DRUHÁ PRINCIPY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ Článek 3 Zákonnost, korektnost, transparentnost 1. Jakékoli osobní údaje jsou zpracovávány zákonným způsobem, tedy buď na základě zákona (právního předpisu), se souhlasem subjektu údajů, jehož údaje se zpracovávají a z dalších právních důvodů. Správce zajišťuje průběžnou kontrolu, zda nedochází ke zpracování nad rámec stanovený právním předpisem, zda údaje, které Správce získává, jsou pro jeho činnost nezbytné; zda všechny údaje jsou zpracovávány v souladu s právními předpisy. Údaje jsou poskytovány stručným, srozumitelným a snadno přístupným způsobem, za použití jednoznačných a jednoduchých jazykových prostředků. 2. Subjekty údajů, jejichž osobní údaje jsou Správcem zpracovávány, jsou informovány prokazatelným způsobem a. o rozsahu a účelu zpracovávaných údajů, b. zda jde o zpracovávání pro splnění právní povinnosti, nebo o zpracování na základě poskytnutého souhlasu, c. o důvodech a lhůtách uložení informací, d. o možnostech subjektu údajů při odvolání souhlasu, obracet se na zpracovatele dat, na možnosti námitek, na právo požadovat omezení zpracování dat jejich opravu či výmaz. 3. Pokud je pro zpracování osobních údajů nezbytný souhlas subjektu údajů, pak musí být informovaný, konkrétní, svobodný a jednoznačný. Zpracování osobních údajů je možné provádět až po získání souhlasu. Souhlas se uchovává po celou dobu zpracování údajů. Článek 4 Účelové omezení 1. Osobní údaje jsou shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely. Údaje shromážděné pro různé účely nelze spojovat, musí být evidovány a zpracovány odděleně. 2. Rozsah zpracovávaných informaci je dán a. platnými právními předpisy, stránka 4 (celkem 19)

b. platnými smlouvami, c. veřejným zájmem, d. výkonem veřejné moci, e. oprávněným zájmem Správce, f. zpracováním nezbytným pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, g. zvláštními účely, které vyplynou z provozu Správce. Při těchto účelech jsou informace od subjektů údajů zpracovávány výhradně na základě poskytnutého souhlasu. 3. Rozsah osobních údajů zpracovávaných o zaměstnancích je dán požadavky právních předpisů, zejména zákoníku práce aj.; a je stanoven tak, aby zpracovávané údaje spolehlivě a věrohodně prokazovaly vznik, průběh a ukončení pracovně právního vztahu zaměstnance, včetně poskytování platu; dále splnění povinností vůči třetím osobám (např. zdravotní pojišťovny, Česká správa sociálního zabezpečení, finanční úřad) a předpisů o archivaci. 4. Rozsah osobních údajů zpracovávaných o uchazečích o zaměstnání: po uchazečích jsou vyžadovány pouze údaje nezbytné pro posouzení vhodnosti uchazečů (kvalifikace, zdravotní způsobilost, apod.). Další rozšiřující informace jsou požadovány až po případném rozhodnutí o uzavření pracovně právního vztahu. Neúspěšným uchazečům jsou vráceny jimi zaslané dokumenty a jejich osobní údaje jsou vymazány, pokud zde není jiný právní důvod zpracování. 5. Rozsah osobních údajů zpracovávaných o veřejnosti, novinářích, zastupitelích je dán požadavky právních předpisů, platných smluv aj. Článek 5 Minimalizace údajů 1. Zpracovávané informace jsou omezeny jen na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány, nelze požadovat údaje nepřiměřené, nerelevantní a pokud nejsou nezbytné. Údaje nelze uchovávat poté, co pomine právní základ, poté, co je naplněn účel zpracování. Zaměstnanci jsou při získávání údajů subjektů údajů povinni používat výhradně Správcem schválené formuláře a jiné dokumenty. 2. Zvýšená pozornost je věnována zpracování zvláštní kategorii údajů. Tyto údaje jsou Správcem zpracovávány jen v nezbytném rozsahu a při zvýšeném zabezpečení. 1. Přesnost údajů je zajištěna Článek 6 Přesnost a. ověřováním údajů poskytnutých subjektem údajů, například porovnáním s osobními doklady, b. pravidelnými opakovanými kontrolami, c. aktivním dotazováním, stránka 5 (celkem 19)

d. uplatněním práva na opravu subjektem údajů. Článek 7 Omezení uložení 1. Osobní údaje jsou uloženy pouze po nezbytnou dobu. Ta vychází zejména ze zákona o archivnictví, dalších relevantních předpisů a skartačního plánu, který je součástí spisového a skartačního řádu. 2. Na konci úložné doby jsou data přezkoumána a odstraněna, pokud neexistuje oprávněný důvod pro jejich další uchování. 3. Listinné dokumenty jsou zničeny pomocí skartovacích kancelářských zařízení a dále prostřednictvím certifikovaných společností zabývající se skartací a archivací dokumentů. 4. Dokumenty uložené v elektronické podobě jsou zničeny a. fyzickou destrukcí nosičů, pokud jde o CD, DVD, b. použitím software zabezpečující vymazání. V tomto případě nesmí jít o pouhé smazání dokumentů, protože i poté by byla možná obnova smazaných souborů, musí jít o opakované přepsání původních souborů novými údaji. Článek 8 Integrita a důvěrnost 1. Osobní data jsou Správcem zpracovávána způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí technických a organizačních opatření před neoprávněným přístupem k údajům, náhodnou ztrátou, zničením, nebo poškozením. 1. Povinnosti zaměstnanců jsou: ČÁST TŘETÍ POVINNOSTI SPRÁVCE Článek 9 Technické opatření a. zabezpečit spisy s osobními údaji v uzamykatelných prostorách budou dokumenty s osobními údaji umístěny do zamčených skříní, kartoték, spisoven (pouze u spisů s osobními údaji fyzických osob a fyzických osob podnikajících), b. v době jejich přítomnosti i nepřítomnosti umožnit přístup do kanceláře pouze oprávněným osobám, stránka 6 (celkem 19)

c. zamykat kanceláře v nepřítomnosti zaměstnanců na pracovišti (i v krátkodobé nepřítomnosti) a zamezit vniknutí třetí neoprávněné osobě. Dveře musejí být v nepřítomnosti oprávněné osoby uzamčeny a okna uzavřeny, d. odhlásit se z PC v případě nečinnosti, e. nepracovat s osobními údaji na ploše, je nutné vše zabezpečit a ukládat do příslušných zabezpečených složek, f. zavést pravidla čistého stolu, g. nutnost dodržovat bezpečnostní pravidla při manipulaci s vlastním zařízením zaměstnance (mobilní telefon, počítač - zabezpečení displeje zámkem/otiskem prstu, ochrana PC heslem apod. 2. Další technická opatření: a. pseudonymizace, b. anonymizace, c. šifrování, d. antivirus a firewall, e. pravidelně aktualizované operační systémy ICT, f. logování, g. diferencované přístupy v ICT systémech, h. politika hesel, i. pravidla pro emaily - důsledná kontrola adresátů, patička emailu s žádostí o zaslání zpět, není-li email adresován dané osobě, j. automatická archivace a likvidace emailů po určité době, k. pravidelné zálohování a zabezpečení záloh. Článek 10 Záznamy o činnostech zpracování 1. O činnostech při zpracování jsou vedeny písemné záznamy, které jsou dostupné na webových stránkách města. 2. Záznamy jsou vedeny podle jednotlivých agend pověřencem pro ochranu osobních údajů. 3. Každý zaměstnanec má záznamy k dispozici v listinné nebo elektronické podobě. 4. Záznamy o činnostech obsahují následující údaje: a. identifikace Správce, b. identifikace pověřence pro ochranu osobních údajů, c. účely zpracování, d. popis kategorií subjektů údajů a kategorií osobních údajů, e. kategorie příjemců, f. případné předání do třetích zemí, stránka 7 (celkem 19)

g. lhůty pro výmaz, h. popis opatření. 5. Správce poskytne na požádání záznamy dozorovému úřadu. 1. Organizace zajišťuje: Článek 11 Organizační opatření a. úvodní proškolení všech zaměstnanců při nabytí účinnosti směrnice GDPR, b. vstupní školení všech nových zaměstnanců při vzniku jejich pracovněprávního vztahu, c. periodická školení 2. Dále zajišťuje preventivní školení postupu: a. při výskytu případů porušení zabezpečení osobních údajů a při změně pravidel pro zabezpečení osobních údajů daných touto směrnicí, nebo směrnicemi, na které se odkazuje, b. při ukončování pracovněprávního vztahu zaměstnanců jsou poučeni o tom, že jejich povinnosti při ochraně osobních údajů trvají i po ukončení pracovněprávního vztahu k organizaci. 3. Každý zaměstnanec je povinen seznámit se s ochranou osobních údajů při přijetí do pracovního poměru. Dále je povinen podepsat protokol o vstupním proškolení, který mu bude Správcem předložen v podobě přílohy pracovní smlouvy. 4. Správce je povinen každého nově příchozího zaměstnance proškolit. 5. Spisový a skartační řád Městského úřadu Písek:: a. je nutné postupovat dle skartačního řádu v případě dokumentů, u nichž uplynula skartační či archivační doba, b. skartovat veškeré dokumenty s osobními údaji, u kterých skončil účel jejich zpracování, a není zde žádný právní důvod jejich dalšího zpracování, c. u dokumentů, u kterých skončil účel jejich zpracování a které je nutné si nadále ponechat, je nezbytné stanovit následný účel zpracování a podřadit jej pod některý z výčtu právních důvodů. 6. Klíčový režim: klíč od uzamykatelného prostoru i od uzamykatelných uložišť bude mít u sebe pouze oprávněná osoba a tyto klíče bude mít stále u sebe. Vedoucí odboru má k dispozici klíče od všech uzamykatelných prostorů v rámci odboru a je povinen stanovit svého zástupce v této záležitosti. 7. Správce je povinen každý subjekt údajů seznámit s informacemi dle článku 13 a 14 GDPR. Informační povinnost Správce je upravena v části sedmé této směrnice. stránka 8 (celkem 19)

Článek 12 Zajištění počítačové (kybernetické) bezpečnosti 1. Kybernetická bezpečnost je zajišťována na všech počítačích: a. instalací antivirových programů, firewallu, b. stanovením přístupových práv, hesel, zákazu sdílení hesel několika osobami, c. pravidelné zálohování dat tak, aby nedošlo k jejich ztrátě při případném odcizení či poruše počítače a byla zajištěna schopnost obnovy dat v případě fyzických či technických incidentů, d. zajištění automatických bezpečnostních aktualizací používaného software, e. při jakékoli likvidaci hardware musí být znemožněna možnost získání uložených osobních údajů, f. používání pouze silných hesel (heslo o délce minimálně osmi znaků, vždy musí jít o kombinaci malých a velkých písmen a čísel, případně zvláštních znaků), g. mazání a neotvírání nevyžádané pošty, odmazávání SPAM v emailové schránce i v počítačích, h. pravidelný servis a výpočetní techniky je zaměřen i na kontrolu oblasti bezpečnosti dat, i. je prováděno pravidelné testování přijatých technických a organizačních opatření, j. pravidelným školením zaměstnanců v této oblasti. 2. Skenování: 3. Kopírování: při skenování dokumentů do společné složky je nutné vše neprodleně vymazat. a. při tisku a kopírování je nutné ihned vyzvedávat vytištěné či okopírované dokumenty z tiskárny, b. dokumenty s osobními údaji přednostně tisknout na tiskárnách v kancelářích, c. každý zaměstnanec je povinen zamykat místnost s kopírovacím zařízením. Článek 13 Provozování kamerového systému 1. Kamerové systémy jsou nainstalovaný na budovách ve vlastnictví města pro zajištění bezpečnosti obyvatel a veřejného pořádku. 2. Informace o kamerových systémech jsou uveřejněny na internetových stránkách města. 3. Provoz je zajišťován v souladu s informacemi Úřadu pro ochranu osobních údajů. 4. Kamerové systémy mají záznamové zařízení s uchováním dat po dobu 10 dní. Poté jsou data vymazány z datového uložiště. stránka 9 (celkem 19)

Článek 14 Směrnice, vnitřní předpisy 1. Vydané vnitřní předpisy města jsou průběžně doplňovány o problematiku GDPR. 2. Postup v oblasti ochrany osobních údajů se řídí vždy touto směrnicí. 3. Ostatní interní předpisy města musí být vždy v souladu se směrnicí o ochraně osobních údajů. Článek 15 Zpracovatelské smlouvy a úprava ostatních smluv 1. Správce je povinen uzavřít s každým zpracovatelem zpracovatelskou smlouvu nebo dodatek zpracovatelské smlouvy. 2. Náležitost zpracovatelské smlouvy nebo dodatku: a. předmět zpracování, doba trvání zpracování, povaha a účel zpracování, typ osobních údajů, kategorie osobních údajů, povinnosti a práva Správce, b. informace, že zpracování probíhá na základě doložených pokynů Správce, c. povinnost mlčenlivosti, d. závazek přijmout vhodná technická a organizační opatření dle článku 32 GDPR, e. podmínka pro zapojení dalšího zpracovatele, f. závazek zohlednění povahy zpracování a nápomoci Správci včetně nápomoci dle článku 32 a 36 GDPR, g. na pokyn Správce je zpracovatel povinen vymazat osobní údaje nebo je vrátit Správci a kopie vymaže, h. zpracovatel je povinen poskytnout správci součinnost k doložení uvedených povinností. Článek 16 Postup ohlašování případů porušení zabezpečení Úřadu pro ochranu osobních údajů 1. V případě, kdy dojde k porušení zabezpečení osobních údajů je Správce povinen bez zbytečného odkladu tj. do 72 hodin od doby, kdy se o této skutečnosti dozvěděl, nahlásit porušení zabezpečení Úřadu pro ochranu osobních údajů. 2. Vyhodnotí-li Správce, že je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody subjektu údajů, nemusí porušení ohlašovat. 3. Správce je povinen v této záležitosti vést evidenci porušení zabezpečení ochrany osobních údajů ve formě schválených šablon. Vedení těchto evidencí je přeneseno na vedoucí jednotlivých odborů nebo jím pověřenou osobu. 4. Ohlášení se prování ve formě formuláře, který jsou vedoucí odboru nebo jím pověřená osoba povinni mít u sebe v listinné nebo elektronické podobě. stránka 10 (celkem 19)

5. Vedoucí odboru nebo jím pověřená osoba zaznamená neprodleně porušení zabezpečení do šablony a ohlásí tuto skutečnost pověřenci pro ochranu osobních údajů bez zbytečného odkladu. 6. Pověřenec pro ochranu osobních údajů je odpovědný za ohlášení porušení zabezpečení Úřadu pro ochranu osobních údajů ve stanovené lhůtě. V případě nedodržení stanovené povinnosti ve formě zaznamenání porušení zabezpečení do šablony a nahlášení této skutečnosti pověřenci, dopadá odpovědnost na vedoucího odboru nebo jím pověřenou osobu. 7. Náležitosti šablony: a. popis povahy případu, kategorií a množství dotčených subjektů údajů, b. kontaktní údaje pověřence pro ochranu osobních údajů, c. popis pravděpodobných důsledků, d. popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit porušení nebo zmírnit důsledky. 8. Náležitosti formuláře: a. identifikační údaje Správce, b. identifikace pověřence pro ochranu osobních údajů, c. typ oznámení, d. hlavní údaje k porušení zabezpečení, e. doplňující informace. 9. Správce je povinen seznámit zaměstnance s touto povinností. 10. Vedoucí oboru je povinen nahlásit pověřenci pro ochranu osobních údajů kontaktní osobu, která s ním bude jednat v této záležitosti. Článek 17 Postup oznamování případů porušení zabezpečení subjektu údajů 1. V případě, kdy dojde k porušení zabezpečení osobních údajů je Správce povinen bez zbytečného odkladu tj. do 72 hodin od doby, kdy se o této skutečnosti dozvěděl, oznámit porušení zabezpečení subjektu údajů. 2. Vyhodnotí-li Správce, že je nepravděpodobné, že by porušení mělo za následek vysoké riziko pro práva a svobody subjektu údajů, nemusí porušení ohlašovat. 3. Správce je povinen v této záležitosti vést evidenci porušení zabezpečení ochrany osobních údajů ve formě schválených šablon. Vedení těchto evidencí je přeneseno na vedoucí jednotlivých odborů nebo jím pověřenou osobu. 4. Oznámení se prování ve formě formuláře, který jsou vedoucí odboru nebo jím pověřená osoba povinni mít u sebe v listinné nebo elektronické podobě. 5. Vedoucí odboru nebo jím pověřená osoba zaznamená neprodleně porušení zabezpečení do šablony a ohlásí tuto skutečnost pověřenci pro ochranu osobních údajů bez zbytečného odkladu. 6. Pověřenec pro ochranu osobních údajů je odpovědný za oznámení porušení zabezpečení subjektu údajů ve stanovené lhůtě. V případě nedodržení stanovené stránka 11 (celkem 19)

povinnosti ve formě zaznamenání porušení zabezpečení do šablony dopadá odpovědnost na vedoucího odboru nebo jím pověřenou osobu. 7. Náležitosti šablony: a. popis povahy případu, kategorií a množství dotčených subjektů údajů, b. kontaktní údaje pověřence pro ochranu osobních údajů, c. popis pravděpodobných důsledků, d. popis opatření, která Správce přijal nebo navrhl k přijetí s cílem vyřešit porušení nebo zmírnit důsledky. 8. Náležitosti formulář: a. identifikační údaje Správce, b. identifikace pověřence pro ochranu osobních údajů, c. typ oznámení, d. hlavní údaje k porušení zabezpečení, e. doplňující informace. 9. Správce je povinen seznámit zaměstnance s touto povinností. 10. Vedoucí oboru je povinen nahlásit pověřenci pro ochranu osobních údajů kontaktní osobu, která s ním bude jednat v této záležitosti. Článek 18 Pověřenec pro ochranu osobních údajů 1. Pro Městský úřad Písek a jím zřízené příspěvkové organizace byl jmenován pověřenec pro ochranu osobních údajů, který je zaměstnancem města. S příspěvkovými organizacemi je uzavřena Smlouva o výkonu funkce pověřence GDPR. 2. Kontaktní údaje pověřence pro ochranu osobních údajů je Správce povinen uveřejnit na internetových stránkách a sdělit je dozorovému úřadu. 3. Povinnosti pověřence pro ochranu osobních údajů: a. poskytování informací a poradenství Správci a příspěvkovým organizacím, b. monitorování souladu s GDPR, c. poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů a monitorování jeho uplatňování dle článku 35 GDPR, d. spolupráce s dozorovým úřadem, e. působení jako kontaktní místo pro dozorový orgán. 4. Pověřenec pro ochranu osobních údajů je také kontaktní osobou pro subjekty osobních údajů. 5. Pověřenec pro ochranu osobních údajů řeší uplatňování práv subjektů údajů v součinnosti s kontaktními osoba věcně příslušných odborů. Článek 19 stránka 12 (celkem 19)

Posouzení vlivu a předchozí konzultace s Úřadem pro ochranu osobních údajů 1. Správce je povinen posoudit vliv městského kamerového systému na ochranu osobních údajů zaznamenaných osob, jelikož zákon č. 553/1991 Sb., o obecní policii pouze umožňuje provozování kamerového systému, avšak nejedná se o povinnost ze zákona. ČÁST ČTVRTÁ PRÁVA SUBJEKTU ÚDAJŮ A POSTUP PŘI JEJICH UPLATNĚNÍ Článek 21 Právo na přístup 1. Subjekt údajů má právo získat od Správce potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k informacím dle článku 15 GDPR. 2. Správce je povinen poskytnout kopii zpracovávaných osobních údajů. Za další kopie je Správce oprávněn účtovat poplatek na základě administrativních nákladů. 3. Uplatňování práv subjektů údajů vyřizuje pověřenec pro ochranu osobních údajů případně jeho zástupce. 4. V případě uplatňování práv ze strany subjektů údajů je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Pověřenec pro ochranu osobních údajů, v záležitosti vyřízení žádosti subjektu údajů, kontaktuje neprodleně po obdržení žádosti osoby, vedoucího odboru nebo jím určené osoby. 6. Kontaktní osoby jsou povinny poskytnout součinnost pověřenci pro ochranu osobních údajů ve lhůtě 7 dnů. 7. Na základě shromážděných dat od kontaktních osob vyhotoví pověřenec pro ochranu osobních údajů odpověď ve lhůtě stanové GDPR. Článek 22 Právo na opravu a doplnění 1. Subjekt údajů má právo na to, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelu zpracování má subjekt údajů právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení. 2. Správce je povinen na základě upozornění subjektu údajů opravit či doplnit jím udávané nepřesné údaje stránka 13 (celkem 19)

3. V případě provedené opravy informuje o těchto změnách příjemce osobních údajů a ostatní správce. 4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci o ochraně osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Po vyhodnocení oprávněného nároku budou údaje opraveny nebo doplněny zaměstnanci zpracovávajícími dotčené osobní údaje. Článek 23 Právo na výmaz 1. Subjekt údajů má právo na to, aby Správce bez zbytečného odkladu vymazal osobní údaje, které se daného subjektu údajů týkají, a Správce má povinnost osobní údaje bez zbytečného odkladu vymazat, pokud je dán jeden z důvodů uvedených v článku 17 GDPR. 2. Pokud Správce osobní údaje zveřejnil a je povinen je podle článku 17 GDPR odst. 1 vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval správce, kteří tyto osobní údaje zpracovávají, že je subjekt údajů žádá, aby vymazali veškeré odkazy na tyto osobní údaje, jejich kopie či repliky. 3. V případě provedeného výmazu informuje o těchto změnách příjemce osobních údajů a ostatní správce. 4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Po vyhodnocení oprávněného nároku budou údaje vymazány zaměstnanci zpracovávajícími dotčené osobní údaje. Článek 24 Právo na omezení zpracování 1. Subjekt údajů má právo na to, aby Správce omezil zpracování v případech uvedených v článku 18 GDPR. stránka 14 (celkem 19)

2. V případě provedeného omezení zpracování informuje o těchto skutečnostech příjemce osobních údajů a ostatní správce. 3. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 4. Po vyhodnocení oprávněného nároku bude omezeno zpracování osobních údajů provedeno zaměstnanci zpracovávajícími dotčené osobní údaje. Článek 25 Právo na přenositelnost 1. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl Správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu Správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě že: a. zpracování je založeno na souhlasu podle článku 6 odst. 1 písm. a) nebo článku 9 odst. 2 písm. a), b. zpracování je založeno na smlouvě podle článku 6 odst. 1 písm. b), c. a zpracování se provádí automatizovaně (pomocí výpočetní techniky). 2. Subjekt údajů má právo na to, aby osobní údaje byly předány přímo jedním Správcem správci druhému, je-li to technicky proveditelné. 3. Toto právo se nevztahuje na zpracování nezbytné pro plnění úkolů ve veřejném zájmu nebo při výkonu veřejné moci, kterým je Správce pověřen. 4. V případě uplatňování práv ze strany subjektů údaje je postupováno následovně: a. při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, b. při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, c. při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 5. Po vyhodnocení oprávněného nároku bude postupováno dle článku 20 GDPR. Článek 26 Právo vznést námitku 1. Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě článku 6 odst. stránka 15 (celkem 19)

1 písm. e) nebo f), včetně profilování založeného na těchto ustanoveních. Správce osobní údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon nebo obhajobu právních nároků. 2. V případě uplatňování práv ze strany subjektů údajů je postupováno následovně: - při osobní žádosti zaměstnanec podatelny poskytne subjektu údajů informaci o pověřenci pro ochranu osobních údajů, který je kompetentní v tomto případě žádost přijmout. Pověřenec pro ochranu osobních údajů sepíše se subjektem údajů záznam, - při písemné žádosti odevzdá zaměstnanec podatelny písemnost pověřenci pro ochranu osobních údajů, - při elektronické žádosti zaměstnanec podatelny odešle písemnost pověřenci pro ochranu osobních údajů. 3. Po vyhodnocení oprávněného nároku bude postupováno dle článku 21 GDPR, ČÁST PÁTÁ SOUHLASY Článek 27 Výčet situací a postupy při vyžadování souhlasu se zpracováním a při odvolání souhlasu 1. Souhlas musí být konkrétní, jednoznačný, svobodný a informovaný. Udělení souhlasu muže být následující: a. výslovné, b. nevýslovné. 2. Správce musí být po celou dobu trvání souhlasu schopen doložit, že subjekt údajů souhlas udělil. 3. Pokud je souhlas subjektu údajů vyjádřen písemným prohlášením, které se týká rovněž jiných skutečností, musí být žádost o vyjádření souhlasu předložena způsobem, který je od těchto jiných skutečností jasně odlišen (např. Smlouva). 4. Subjekt údajů má právo svůj souhlas kdykoliv odvolat. O této možnosti musí být subjekt údajů předem informován. Odvolání souhlasu musí být stejně snadné, jako jeho udělení. 5. Souhlas může být odvolán: a. v papírové podobě, b. elektronicky, c. ústně o čemž bude proveden záznam. 6. Správce vyžaduje po subjektu údajů souhlas pouze tehdy, je-li to nezbytně nutné. 7. Správce je oprávněn souhlas vyžadovat tehdy, pokud zde není jiný právní důvod shromáždění nebo zpracování osobních údajů dle článku 6 GDPR. stránka 16 (celkem 19)

8. Náležitosti souhlasu: a. identifikace Správce, b. identifikace pověřence pro ochranu osobních údajů, c. údaje subjektu údajů, d. účel zpracování, e. rozsah zpracovávaných osobních údajů, f. oprávněný zájem Správce, g. příjemce nebo kategorie příjemců, h. případný úmysl Správce poskytnou údaje do třetích zemí, i. doba trvání souhlasu, j. existence práv subjektu údajů, k. právo souhlas kdykoliv odvolat, l. informaci o tom, že osobní údaje budou zpracovávány automatizovaně, m. podpis, datum a místo, 9. Souhlas může být vyžadován v těchto následujících případech: a. zaměstnanci: pořizování fotografií, uveřejňování fotografií, uveřejňování kontaktních údajů, b. uchazeči o zaměstnání: souhlas se zpracováním osobních údajů pro budoucí oslovení, c. zastupitelé a radní: uveřejňování soukromých kontaktních údajů, d. veřejnost: při získávání osobních údajů nad rámec důvodů zpracování uvedených v článku 6 odst. 1. písm. b - f GDPR, e. děti: při vyžadování souhlasu pro marketingové účely u dětí od 16 let. ČÁST ŠESTA ZVLÁŠTNÍ KATEGORIE OSOBNÍCH ÚDAJŮ Článek 28 Nakládání se zvláštní kategorií osobních údajů 1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. 2. Zvláštní kategorii osobních údaje může Správce zpracovávat v případech uvedených v článku 9 GDPR. stránka 17 (celkem 19)

3. Do zvláštní kategorie osobních údajů řadíme také osobní údaje dětí. ČÁST SEDMÁ INFORMAČNÍ POVINNOST Článek 29 Informační povinnost dle článku 13 GDPR 1. Správce přijme vhodná opatření, aby poskytl subjektu údajů stručným, transparentním, srozumitelným, a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků veškeré informace dle článku 13 a 14 GDPR a učiní veškerá sdělení dle článku 15 až 22 a 34 o zpracování, zejména pokud se jedná o informace určené konkrétně dítěti. 2. Informace jsou poskytovány písemně nebo jinými prostředky, ve vhodných případech v elektronické formě. 3. Správce je povinen poskytnout subjektu údajů v okamžiku získání jeho osobních údajů informace dle článku 13 GDPR. 4. Informační povinnost provede Správce prostřednictvím zásad ochrany osobních údajů (dále jen zásady ) následovně: a. žádosti: zásady budou vyvěšeny na internetových stránkách a v prostorách Správce a odkazy na ně budou zakomponovány do jednotlivých žádostí, b. smlouvy: zásady budou ke smlouvám přikládány v papírové podobě, c. rozhodnutí, výzvy k doplnění atd.: zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, d. ohlášení: zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, e. matrika: zásady budou přikládány k relevantním dokumentům v papírové podobě, f. legalizace, vidimace, informační systémy veřejné správy: zaměstnanec seznámí subjekt údajů se zásadami a místem uložení zásad ústně. Subjekt údajů se bude moci se zásadami seznámit na konkrétním místě v papírové podobě. Zaměstnanec je povinen mít zásady k dispozici pro případné jejich vyžádání, g. výběrová řízení na nové zaměstnance: zásady budou zakomponovány přímo do vyhlášeného výběrového řízení, případně může být zakomponován odkaz na zásady vyvěšené na internetových stránkách, h. pozvánky: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do pozvánky, i. odsouzení (veřejně prospěšné práce): zásady budou přikládány v papírové podobě při prvním kontaktu se subjektem údajů, j. pracovní smlouvy: zásady budou ke smlouvám přikládány v papírové podobě, stránka 18 (celkem 19)

k. osobní dotazník: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány osobního dotazníku, l. formuláře: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do formulářů, m. vyhlášky: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do vyhlášek, 5. V každém relevantním dokumentu bude poučení o informační povinnosti Správce. 6. Informační povinnost při elektronické komunikaci: a. datová zpráva: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do datové zprávy, b. email: odkaz na zásady vyvěšené na internetových stránkách a v prostorách Správce budou zakomponovány do emailu. 7. Pokud subjekt údajů dané informace má a do té míry, v níž je má, Správce není povinen mu je opakovaně poskytovat. Článek 30 Informační povinnost dle článku 14 GDPR 1. V případě, že osobní údaje nebyly získány od subjektu údajů, poskytne Správce subjektu údajů informace dle článku 14 GDPR. 2. Správce poskytne subjektu údajů informace následujícím způsobem: a. v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány, b. nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace, c. nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci, 3. Pokud subjekt údajů dané informace má nebo se ukáže, že poskytnutí takové informace není možné a dále v případech uvedených dle článku 14 GDPR, Správce není povinen mu je poskytovat. 4. Informační povinnost provede Správce prostřednictvím zásad ochrany osobních údajů nebo telefonicky. ČÁST OSMÁ ZÁVĚREČNÁ USTANOVENÍ 1. Tímto dokumentem nejsou dotčeny postupy vyplývající z právních předpisů a ostatních vnitřních norem Správce. 2. Tuto směrnici schválila rada města dne.. pod číslem usnesení.. a nabývá účinnosti dnem stránka 19 (celkem 19)

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář