Zásady zpracování osobních údajů ****************************************************************************************** * Opatření rektora č. 16/2018 ****************************************************************************************** Název: Zásady a pravidla ochrany osobních údajů K provedení: Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických os se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES o ochraně osobních údajů) Účinnost: 25. května 2018 ****************************************************************************************** * Část první - Základní ustanovení ****************************************************************************************** *========================================================================================= * Čl. 1 - Předmět opatření *========================================================================================= 1. Toto opatření rektora (dále jen „opatření“) stanoví zásady a pravidla při zpracování os rámci Univerzity Karlovy (dále jen „univerzita“), odpovědnosti osob zajišťujících ochranu na univerzitě a vymezuje práva a povinnosti zaměstnanců, studentů, případně dalších fyzick osob účastnících se činností souvisejících se zpracováním osobních údajů. 2. Toto opatření vychází z nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochran osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušen 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“) a ze zákona č. 1 o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále je tím, že doplňuje a rozpracovává některá jejich ustanovení pro úpravu vztahů v rámci univer organizační postupy zajišťující jejich realizaci. *========================================================================================= * Čl. 2 - Výklad základních pojmů *========================================================================================= 1. Pro účely tohoto opatření se rozumí: a. „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osob „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační čís údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; b. „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobn je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenán strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřís šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zni c. „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpraco d. „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru ne týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních pr spolehlivosti, chování, místa, kde se nachází, nebo pohybu; e. „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétním bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identi identifikovatelné fyzické osobě; f. „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních k je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hledisk g. „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a pro zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce kritéria pro jeho určení; h. „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný su zpracovává osobní údaje pro správce; i. „řetězením zpracovatelů“ situace, kdy je do zpracování osobních údajů zapojena na zákla souhlasu univerzity další osoba v pozici (dílčího) zpracovatele; j. „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjek jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřej mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu pravidly ochrany údajů pro dané účely zpracování; k. „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný su subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracov oprávněna ke zpracování osobních údajů; l. „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný proj subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých m. „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému neb zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložen zpracovávaných osobních údajů; n. „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména biologického vzorku dotčené fyzické osoby; o. „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týk fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo po jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje; p. „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyz včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu. 2. Další pojmy jsou uvedeny v čl. 4 nařízení. *========================================================================================= * Čl. 3 - Zásady zpracování osobních údajů *========================================================================================= 1. Osobní údaje musí být: a. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem ( korektnost a transparentnost“); b. shromažďovány pro určité, výslovně vyjádřené a legitimní účely, a nesmějí být dále zpra způsobem, který je s těmito účely neslučitelný („účelové omezení“); další zpracování pro ú ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely neslučitelné s původními účely; c. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zp („minimalizace údajů“); d. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, ab které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně v opraveny („přesnost“); e. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbyt které jsou zpracovávány („omezení uložení“); osobní údaje lze uložit po delší dobu, pokud výhradně pro účely archivace ve veřejném zájmu , pro účely vědeckého či historického výzku pro statistické účely, a to za předpokladu provedení příslušných technických a organizační požadovaných nařízením s cílem zaručit práva a svobody subjektu údajů; f. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracov náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“). 2. Za dodržování zásad dle odstavce 1 odpovídají osoby uvedené v části druhé tohoto opatře čl. 5 odst. 2 nařízení rovněž schopny toto dodržení souladu doložit („odpovědnost“). *========================================================================================= * Čl. 4 - Zákonnost zpracování *========================================================================================= 1. V souladu s čl. 6 nařízení je zpracování zákonné, pouze pokud je splněna nejméně jedna a pouze v odpovídajícím rozsahu: a. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konk (podmínky vyjádření souhlasu jsou podrobně uvedeny v čl. 7 a 8 nařízení); b. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, neb opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; c. zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro spln povinnosti, která se na správce vztahuje; d. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fy e. zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro spln prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; f. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyž osobních údajů, zejména pokud je subjektem údajů dítě. 2. Ustanovení odstavce 1 písm. f) se netýká zpracování osobních údajů prováděného univerzi kdy univerzita vystupuje jako orgán veřejné moci ve věcech jí svěřených zákonem č. 111/199 vysokých školách, ve znění pozdějších předpisů (dále jen „zákon o vysokých školách“) nebo předpisem. V těchto případech se postupuje dle odstavce 1 písm. c). *========================================================================================= * Čl. 5 - Zpracování zvláštních kategorií osobních údajů *========================================================================================= 1. Je zakázáno zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, p názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpra genetických údajů, biometrických údajů identifikujících konkrétní fyzickou osobu a údajů o či o sexuálním životě nebo sexuální orientaci fyzické osoby v případech, na které se nevzt a 3. 2. Výjimky ze zákazu zpracování osobních údajů podle odstavce 1 jsou dány čl. 9 nařízení, osobní údaje dle předchozího odst. 1. zpracovávat tehdy, pokud subjekt údajů udělil výslov se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů. Tento souhlas písemně, podepsán subjektem údajů a musí z něho být zřejmé, jakých údajů se týká, k jakému období a kdo jej poskytuje. Subjekt údajů svým podpisem také potvrzuje, že byl předem pouč právech. Zaměstnanec provádějící zpracování osobních údajů musí být schopen existenci toho doložit po celou dobu jejich zpracovávání. 3. Výjimkami ze zákazu v odstavci 1 jsou také údaje: a. o zdravotním stavu v osobních evidencích zaměstnanců a studentů za předpokladu, že tyto subjektem údajů do zmíněné evidence dobrovolně předány a jsou vedeny v jeho prospěch (např přijetí ke studiu, poskytování služeb osobám se specifickými potřebami, ubytování v kolejí jeho daňové povinnosti či jiných zákonných dávek); b. o členství v odborových organizacích působící na univerzitě uvedené v osobních a mzdový zaměstnanců za předpokladu, že byly subjektem údajů do zmíněné evidence dobrovolně předány placení členských příspěvků či jiných dávek, včetně účtování o těchto platbách; c. zvláštní kategorie osobních údajů zpracovávané pro účely projektů/výzkumu. 4. Zpracování osobních údajů, které nevyžaduje identifikaci subjektu údajů, upravuje čl. 1 ****************************************************************************************** * Část druhá - Odpovědnost osob zajišťujících ochranu osobních údajů ****************************************************************************************** *========================================================================================= * Čl. 6 - Univerzita *========================================================================================= Univerzita je subjektem odpovědným za zpracování osobních údajů podle čl. 1 odst. 2. Může roli správce, tak v roli zpracovatele. Za účelem naplňování ochrany osobních údajů tak, ja nařízením a zákonem, jsou v této části opatření stanoveny osoby participující na zajišťová účelu. *========================================================================================= * Čl. 7 - Univerzitní úroveň *========================================================================================= 1. Postavení rektora je dáno zákonem o vysokých školách, Statutem univerzity a ostatními v univerzity. Rektor jedná jako statutární orgán univerzity odpovědný za dodržování zásad, p při zpracování osobních údajů vně i dovnitř univerzity, a to v případech realizovaných na univerzity a tam, kde nedošlo k posunu pravomocí na další osoby uvedené v této části. 2. Prorektoři odpovídají rektorovi univerzity za dodržování zásad, pravidel a postupů při osobních údajů realizovaných v rámci oblasti jejich činnosti a působností daných čl. 11 St 3. Kvestor odpovídá rektorovi univerzity za dodržování zásad, pravidel a postupů při zprac údajů realizovaných v oblastech své působnosti dané čl. 13 Statutu univerzity. *========================================================================================= * Čl. 8 - Fakulty a další součásti *========================================================================================= 1. Děkani jednotlivých fakult univerzity odpovídají rektorovi za dodržování zásad, pravide při zpracování osobních údajů realizovaných zaměstnanci a studenty fakulty univerzity při pracovních či studijních povinností, případně dalšími fyzickými a právnickými osobami, kte osobní údaje na základě smlouvy s fakultou univerzity, a to ve věcech jim svěřených ustano o vysokých školách, čl. 15 a 16 Statutu univerzity, dalšími vnitřními předpisy univerzity rektora. 2. Ředitelé dalších součástí univerzity odpovídají rektorovi univerzity za dodržování zása postupů při zpracování osobních údajů realizovaných zaměstnanci další součásti univerzity pro které součást zajišťuje výuku, při plnění jejich pracovních či studijních povinností, fyzickými a právnickými osobami, které zpracovávají osobní údaje na základě smlouvy s dalš univerzity, a to ve věcech jim svěřených čl. 15 a 16 Statutu univerzity, organizačním řáde součásti, dalšími vnitřními předpisy univerzity a opatřeními rektora. 3. Děkani jednotlivých fakult univerzity a ředitelé dalších součástí univerzity jmenují ne deseti dnů po nabytí účinnosti tohoto opatření kontaktní osobu pro oblast ochrany osobních fakultu, resp. další součást, která bude poskytovat součinnost pověřenci pro ochranu osobn čl. 13 při plnění jeho úkolů dle čl. 15 týkající se činností zpracování osobních údajů na nebo další součásti univerzity. O tomto jmenování děkani fakult a ředitelé dalších součást bezodkladně informují pověřence pro ochranu osobních údajů dle části třetí. *========================================================================================= * Čl. 9 - Odpovědnost vedoucích pracovníků při zpracování osobních údajů *========================================================================================= 1. Vedoucí pracovník je odpovědný za dodržování zásad, pravidel a postupů (uvedených v tom v nařízení a v zákoně) při zpracování osobních údajů realizovaných v jemu svěřené oblasti, zajištění bezpečného uložení dat, a řídí v této oblasti zpracování osobních údajů prováděn podřízenými. 2. Vedoucí pracovník provádí v jemu svěřené oblasti posouzení vlivu zamýšlených operací zp ochranu osobních údajů podle čl. 35 nařízení. Za tímto účelem si vyžádá posudek pověřence osobních údajů dle části třetí. 3. V registru činností zpracování osobních údajů vedeném dle části páté jsou u jednotlivýc zpracování evidováni vedoucí pracovníci na jednotlivých fakultách a dalších součástech UK, kompetence dané zpracování spadá. V případě pochybnosti o rozdělení těchto kompetencí, roz kompetentní pro danou činnost zpracování: a. rektor pro případy zpracování osobních údajů, které zasahují centrální úroveň univerzit b. děkan v případě zpracování osobní údajů v působnosti dané fakulty; c. ředitel další součásti univerzity v případě zpracování osobní údajů v působnosti dané d d. kvestor v případě zpracování osobních údajů, které jsou v působnosti rektorátu a nezasa úroveň univerzity. 4. U nových činností bude odpovídající vedoucí pracovník nebo pracovníci určeni před zaháj osobních údajů. 5. Osoby uvedené v odstavci 3 neprodleně informují pověřence pro ochranu osobních údajů dl 6. Vedoucí pracovníci zajistí, aby jim podřízení zaměstnanci podílející se na zpracování o byli zavázáni závazkem mlčenlivosti. Vzor závazku mlčenlivosti, doporučený pro doplnění do zaměstnanců, tvoří přílohu č. 2 tohoto opatření. *========================================================================================= * Čl. 10 - Zaměstnanci univerzity *========================================================================================= 1. Zaměstnanci univerzity, kteří přijdou do styku se zpracováním osobních údajů, jsou povi s tímto opatřením, nařízením, dalšími relevantními obecně závaznými právními předpisy a re metodickými doporučeními vydanými pověřencem pro ochranu osobních údajů podle čl. 15 odst. toto seznámení odpovídá vedoucí pracovník nadřízený zaměstnanci. 2. Osoby uvedené v odstavci 1 jsou povinny zpracovávat osobní údaje vždy jen v rozsahu a z stanovených vedoucím pracovníkem, v jehož kompetenci je daná činnost zpracování osobních ú 3. Osoby uvedené v odstavci 1 jsou povinny zachovávat mlčenlivost o osobních údajích a o b opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivo ukončení pracovního poměru, studia nebo výkonu příslušných prací. Povinnost mlčenlivosti j stanoveném pracovní smlouvou. 4. Pokud se zaměstnanec univerzity či jiná osoba v pracovněprávním vztahu s univerzitou, f součástí univerzity podílí na zpracování osobních údajů, je odpovědná za jí realizované zp údajů. Při zpracování osobních údajů je povinna dbát pokynů a metodických doporučení pověř osobních údajů dle části třetí a poskytovat pověřenci informace, které si od ní pověřenec 5. Osoba v pracovněprávním vztahu s univerzitou, fakultou či další součástí univerzity je se se svým dotazem či podnětem týkajícím se zpracování a ochrany osobních údajů na pověřen osobních údajů dle části třetí, a to buď přímo, anebo prostřednictvím kontaktní osoby dle *========================================================================================= * Čl. 11 - Studenti a účastníci programů celoživotního vzdělávání *========================================================================================= 1. V případech, kdy by při zpracování závěrečných prací studentů (bakalářské, magisterské práce), účastníků rigorózního řízení a účastníků programů celoživotního vzdělávání (dále j zpracovávány osobní údaje, je vedoucí práce nebo školitel povinen seznámit studenta, resp. rigorózního řízení nebo programu CŽV, s povinnostmi dle tohoto opatření a nařízení a zajis další kroky v souladu s tímto opatřením. 2. V případech, kdy vyučující předmětu zadává v rámci výuky předmětu studentům, účastníkům řízení nebo účastníkům programů CŽV zpracování práce vyžadující zpracování osobních údajů, povinen seznámit studenta, resp. účastníka rigorózního řízení nebo programu CŽV, s povinno opatření a nařízení a zajistit případné další kroky v souladu s tímto opatřením. 3. Další podrobnosti o činnostech zpracování osobních údajů dle tohoto článku může stanovi rektora univerzity, na návrh pověřence. *========================================================================================= * Čl. 12 - Další osoby podílející se na zpracování osobních údajů, řetězení zpracovatelů a smlouva *========================================================================================= 1. V případech, kdy se na zpracování osobních údajů, u nichž je univerzita správcem či zpr podílejí osoby bez přímého právního vztahu s univerzitou (např. zaměstnanci společných pra a jiné instituce, spoluřešitelé výzkumných projektů z jiných institucí, spoluautoři publik třeba, aby tyto osoby byly seznámeny s povinnostmi vyplývajícími z tohoto opatření a z nař zavázány k dodržování tohoto opatření např. formou smlouvy mezi univerzitou a spolupracují jiným vhodným závazným způsobem. 2. Smlouva, jejímž předmětem má být poskytování služeb univerzitě ze strany zpracovatele o smí být uzavřena pouze s takovou osobou, jež bude plnit funkci zpracovatele, která bude po dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpr požadavky podle právní úpravy na ochranu osobních údajů a byla zajištěna bezpečnost a ochr údajů, práv a svobod subjektů údajů. 3. Je povinností zaměstnance, který za univerzitu o smlouvě vyjednává, příp. ji za univerz ověřit spolehlivost zpracovatele osobních údajů a naplnění předpokladů pro zákonné zpracov údajů ze strany potenciálního zpracovatele. O způsobu prověřování a o jeho výsledcích se p který se vkládá spolu s podklady, z nichž hodnotitel vycházel, do spisové dokumentace k př obchodnímu případu a do spisové dokumentace příslušného zpracování osobních údajů. Dále je zaměstnance dle věty první oznámit údaje o zpracovateli osobních údajů postupem dle čl. 20 4. Předchozí písemný souhlas univerzity k řetězení zpracovatelů pro případy poskytování zp služeb zpracovatelem ze strany třetích osob lze udělit pouze, pokud je to k plnění úkolů u nezbytně nutné. 5. Má-li univerzita realizovat zpracování osobních údajů v pozici zpracovatele osobních úd zpracování osobních údajů zapojit dílčího zpracovatele (řetězení zpracovatelů) pouze tehdy tomu ve smlouvě o zpracování osobních údajů, příp. v písemném svolení ze strany správce os udělen souhlas. Souhlas může být buďto pro osobu určitého zpracovatele, nebo obecný, kdy v zpracovatele v mezích plynoucích ze svolení náleží univerzitě, přičemž však vůči vybranému zpracovateli náleží správci právo na námitku. Vznese-li správce osobních údajů vůči dílčím námitku, nelze takového dílčího zpracovatele zapojit do procesu zpracování osobních údajů. individuálně určeného dílčího zpracovatele při prověřování provedeném způsobem popsaným v 3 zjištěno, že nejsou dány patřičné garance, oznámí se taková skutečnost správci osobních dílčí zpracovatel může být do zpracování osobních údajů zapojen jedině, požádá-li o to i p sdělené výhrady správce osobních údajů. Veškerá komunikace, podklady pro posouzení a výsle budou vloženy do spisové dokumentace k předmětnému obchodnímu případu a do spisové dokumen zpracování osobních údajů. 6. Má-li univerzita realizovat zpracování osobních údajů jako dílčí zpracovatel v rámci ře zpracovatelů, tedy jako zpracovatel zpracovávající osobní údaje pro zpracovatele, vyžádá s vyjednávající uzavření smlouvy za univerzitu před uzavřením smlouvy potřebné podklady osvě zpracovatel disponuje od správce osobních údajů oprávněním zapojit do zpracování dílčího z osobních údajů; podklady se míní buďto individuální svolení k zapojení univerzity coby díl zpracovatele, nebo obecné zmocnění k zapojení dílčího zpracovatele a potvrzení o tom, že s údajů vůči univerzitě, coby dílčímu zpracovateli, nevznesl námitky. Podklady a související vloženy do spisové dokumentace vedené k předmětnému případu a do spisové dokumentace předm osobních údajů. 7. Smlouva o zpracování osobních údajů uzavíraná univerzitou se zpracovatelem, příp. se sp dílčím zpracovatelem bude mít parametry podle čl. 28 nařízení. ****************************************************************************************** * Část třetí - Pověřenec pro ochranu osobních údajů ****************************************************************************************** *========================================================================================= * Čl. 13 - Postavení pověřence *========================================================================================= 1. Pověřenec pro ochranu osobních údajů (dále jen „pověřenec“) je přímo podřízen rektorovi 2. Pověřenec je zapojen do veškerých procesů a záležitostí souvisejících s ochranou a zpra údajů na univerzitě. 3. Pověřenec je za strany univerzity podporován v udržování svých odborných znalostí a je přístup k osobním údajům, operacím zpracování a k veškerým zdrojům potřebným pro plnění úk čl. 15. 4. Pověřenci nejsou ze strany univerzity udělovány žádné konkrétní pokyny, týkající se nap povinností pověřence. Může mu však být rektorem zadáno i plnění jiných úkolů a povinností. úkolů či povinností však nesmí vést ke střetu zájmů s výkonem funkce pověřence. 5. Pověřenec je v souvislosti s výkonem svých úkolů vázán mlčenlivostí. Povinnost mlčenliv skončení pracovního poměru. 6. Údaje o pověřenci včetně kontaktu na něj jsou uvedeny ve veřejné části internetových st *========================================================================================= * Čl. 14 - Jmenování pověřence *========================================================================================= Pověřenec je jmenován rektorem na základě svých profesních kvalit, zejména na základě svýc znalostí a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly uvedené v čl. 1 pověřence také odvolat. *========================================================================================= * Čl. 15 - Úkoly pověřence *========================================================================================= 1. Pověřenec vykonává zejména tyto úkoly: a. poskytuje informace a poradenství zaměstnancům a studentům univerzity, kteří provádějí osobních údajů, o jejich povinnostech podle tohoto opatření, nařízení a dalších obecně záv předpisů v oblasti ochrany osobních údajů; b. monitoruje soulad s tímto opatřením, nařízením, dalšími obecně závaznými právními předp ochrany osobních údajů a s koncepcemi univerzity v oblasti ochrany osobních údajů, včetně povědomí a odborné přípravy pracovníků zapojených do operací zpracování; c. dohlíží nad realizací ochrany a zpracování osobních údajů; d. poskytuje odbornou pomoc, pokud jde o posouzení vlivu na ochranu osobních údajů, a moni uplatňování podle čl. 35 nařízení; e. po předchozí konzultaci s osobami uvedenými v čl. 7 a 8 ohlašuje případy porušení zabez údajů dozorovému úřadu podle čl. 33 nařízení a oznamuje případy porušení ochrany osobních údajů podle čl. 34 nařízení; f. spolupracuje a komunikuje s dozorovým úřadem; g. působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování včetně předchozí konzultace podle čl. 36 nařízení; h. přijímá od zaměstnanců univerzity návrhy na zahájení nového, resp. změnu dosavadního zp údajů a zaujímá k těmto návrhům stanoviska; i. komunikuje se subjekty údajů, které se na něj mohou obracet ve všech záležitostech souv zpracováním jejich osobních údajů a výkonem jejich práv dle tohoto opatření a nařízení; j. vydává metodická doporučení týkající se zpracování osobních údajů na univerzitě, jimiž podílející se na zpracování osobních údajů na univerzitě mají řídit; k. plní další úkoly vyplývající pro jeho pozici z nařízení, zákona či jiných obecně závazn předpisů, či vyplývajících z tohoto opatření a ostatních vnitřních předpisů univerzity a o 2. Pověřenec dohlíží na fungování registru činností zpracování osobních údajů univerzity u 3. Pověřenec bere při plnění svých úkolů patřičný ohled na riziko spojené s činnostmi zpra přihlíží k povaze, rozsahu, kontextu a účelům zpracování. *========================================================================================= * Čl. 16 - Působnost pověřence na univerzitě *========================================================================================= 1. Dozví-li se pověřenec, že hrozí porušení pravidel na ochranu osobních údajů vyplývající zákona či tohoto opatření nebo je-li porušení zjištěno, je povinen na to upozornit vedoucí čl. 9 a písemně doporučit odstranění závadného či rizikového stavu. Vedoucí pracovník dle v přiměřené lhůtě projednat s pověřencem stav, a pokud se se zjištěním pověřence ztotožnil dalšího závadného či rizikového chování. Vedoucí pracovník dle čl. 9 je rovněž povinen při opatření k tomu, aby se situace neopakovala. 2. Nesouhlasí-li vedoucí pracovník dle čl. 9 s doporučením pověřence, písemně to sdělí pov důvody, proč se domnívá, že nedošlo, či nehrozí, že by mohlo dojít k porušení pravidel uve větě odstavce 1. V takovém případě pověřenec oznámí tuto skutečnost věcně příslušným osobá 7 a 8 a postoupí jim celou dokumentaci. 3. Pověřenec je povinen dát podnět k přijetí obecných či konkrétních opatření v oblasti oc údajů osobám uvedeným v čl. 7 a 8 vždy, když: a. na základě svých zjištění podle odstavce 1 zjistí hrozbu porušení či porušení pravidel; b. to bude vhodné v návaznosti na zobecňování praxe v oblasti ochrany osobních údajů. 4. Ustanoveními odstavce 1 až 4 není dotčena povinnost pověřence po předchozí konzultaci s uvedenými v čl. 7 a 8 ohlásit porušení zabezpečení osobních údajů dozorovému úřadu a subje čl. 15 odst. 1 písm. e). ****************************************************************************************** * Část čtvrtá - Subjekt údajů ****************************************************************************************** *========================================================================================= * Čl. 17 - Subjekt údajů *========================================================================================= Subjektem údajů je fyzická osoba, jejíž osobní údaje jsou zpracovávány. Při činnostech zpr údajů na univerzitě jsou zpracovávány údaje těchto subjektů údajů: a. zaměstnanec univerzity (resp. osoba v pracovněprávním vztahu s univerzitou), b. uchazeč o zaměstnání, c. uchazeč o studium, d. student univerzity, e. bývalý student univerzity (včetně absolventů), f. účastník programu CŽV, g. student jiné vysoké školy nebo student na krátkodobém studijním pobytu na univerzitě, h. obchodní partner (dodavatel, odběratel, zákazník), i. účastník výzkumu, j. externí spolupracovník (např. školitel, spoluřešitel, spoluautor publikace), k. návštěvník nebo účastník akce pořádané univerzitou, l. účastník správního nebo soudního řízení s univerzitou, m. jiná osoba. *========================================================================================= * Čl. 18 - Informace poskytované subjektu údajů *========================================================================================= 1. Univerzita v roli správce poskytuje informace subjektu údajů v souladu s čl. 12 nařízen transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchý prostředků. 2. Pokud jsou osobní údaje získány od subjektu údajů, poskytne správce v okamžiku jejich z údajů tyto informace: a. kontaktní údaje univerzity; b. kontaktní údaje pověřence pro ochranu osobních údajů; c. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; d. oprávněné zájmy univerzity nebo třetí strany v případě, že je zpracování založeno na čl f); e. případné příjemce nebo kategorie příjemců osobních údajů; f. případný úmysl univerzity předat osobní údaje do třetí země (tj. mimo Evropskou unii) n organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informa byly tyto údaje zpřístupněny. 3. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne un údajů vedle informací uvedených v odstavci 2 další informace uvedené v čl. 13 odst. 2 naří 4. Pokud nebyly osobní údaje získány od subjektu údajů, poskytuje univerzita subjektu údaj a. kontaktní údaje univerzity; b. kontaktní údaje pověřence pro ochranu osobních údajů; c. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; d. kategorie dotčených osobních údajů; e. případné příjemce nebo kategorie příjemců osobních údajů; f. případný úmysl univerzity předat osobní údaje do třetí země (tj. mimo Evropskou unii) n organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informa byly tyto údaje zpřístupněny. 5. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne un údajů vedle informací uvedených v odstavci 4 další informace uvedené v čl. 14 odst. 2 naří 6. Univerzita v roli správce učiní dále veškerá sdělení podle čl. 15 až 22 a 34 nařízení. 7. Informace dle tohoto článku jsou poskytovány v elektronické formě na webových stránkách informačních systémech univerzity, popřípadě jiným vhodným prokazatelným způsobem. *========================================================================================= * Čl. 19 - Práva subjektu údajů *========================================================================================= 1. Práva subjektu údajů tvoří nedílnou součást ochrany osobních údajů při jejich zpracován 2. Jedná se především o právo subjektu údajů na: a. přístup k osobním údajům podle čl. 15 nařízení; b. informace o zpracování osobních údajů; c. opravu podle čl. 16 a 19 nařízení; d. výmaz podle čl. 17 a 19 nařízení; e. omezení zpracování podle čl. 18 a 19 nařízení; f. přenositelnost údajů podle čl. 20 nařízení; g. vznesení námitky podle čl. 21 nařízení; h. automatizované individuální rozhodování, které upravuje čl. 22 nařízení. 3. Subjekty údajů se mohou obracet ve všech záležitostech souvisejících se zpracováním jej údajů a výkonem jejich práv dle tohoto opatření a nařízení na pověřence. 4. Veškerá sdělení vůči subjektům údajů, včetně informací o jejich právech a vyrozumění su uplatnění jeho práv, se poskytují stručným, transparentním, srozumitelným a snadno přístup za použití jasných a jednoduchých jazykových prostředků, kdy se krom jiného přihlíží i k v informace. K zajištění srozumitelnosti poskytovaných informací se v případech, kde to je v mnohovrstevné informace. 5. O splnění informační povinnosti, o uplatnění práv subjektů údajů, o vyřízení uplatnění údajů, včetně odmítnutí žádosti subjektu údajů atd., se pořizuje záznam. Součástí záznamu podklady, z nichž odpovědná osoba vycházela, včetně žádosti/přípisu, jehož prostřednictvím uplatnil své právo. Není-li výslovně uvedeno jinak, záznam se vkládá do spisové dokumentac zpracování osobních údajů a archivuje se po dobu odpovídající promlčecím a prekluzivním lh veřejnoprávních deliktů, kterých je možné se v souvislosti se zpracováním osobních údajů d 6. V případě uplatnění práv subjektu údajů je třeba kvůli ochraně práv a právem chráněných vhodným způsobem ověřit totožnost žádajícího subjektu údajů a subjekt údajů je povinen dos způsobem svou identitu prokázat. Za dostatečný způsob prokázání identity se považuje, poku podána prostřednictvím zprávy elektronické pošty, která je opatřena ověřeným elektronickým prostřednictvím datové schránky nebo prostřednictvím poskytovatele poštovních služeb, kdy podepsána a podpis jednajícího byl úředně ověřen, a součástí žádosti jsou identifikační úd daném § 14 odst. 2 zákona č. 106/1999 Sb., o svobodném přístupu k informacím. 7. Pověřenec poskytne subjektu údajů na jeho žádost podle čl. 15 až 22 nařízení informace opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení ž lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o dal Pověřenec informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od ob spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob ****************************************************************************************** * Část pátá - Registr činností zpracování osobních údajů ****************************************************************************************** *========================================================================================= * Čl. 20 - Registrace a evidence činností zpracování osobních údajů *========================================================================================= 1. Za účelem dosažení přehledu o zpracování osobních údajů na univerzitě se zřizuje elektr činností zpracování osobních údajů na univerzitě (dále jen „registr“). Provozem tohoto reg Ústav výpočetní techniky univerzity (dále jen „ústav“). Odpovědným za provoz registru je ř 2. Fakulty a další součásti univerzity, které zpracovávají, nebo chtějí zpracovávat osobní podléhající tomuto opatření, resp. chtějí změnit dosavadní způsob zpracování osobních údaj skutečnost pověřenci prostřednictvím e-mailové adresy gdpr@cuni.cz. 3. Oznámení podle odstavce 2 musí obsahovat úplnou charakteristiku příslušného zpracování to v tomto rozsahu: a. název agendy, resp. činnosti zpracování, b. popis činnosti zpracování, c. typy subjektů údajů dle čl. 17, jejichž údaje jsou činností zpracovávány, d. výčet osobních údajů nebo jejich skupiny, které jsou činností zpracovávány, e. typy dokumentů, které jsou činností zpracovávány, f. informace o předávání osobních údajů mimo univerzitu, g. umístění zpracovávaných osobních údajů a označení informačního systému nebo aplikace, p činnosti zpracování využívá, h. informace, kdy a jak jsou nebo budou osobní údaje z agendy odstraňovány, i. role podílející se na činnosti zpracování, j. vedoucí pracovníci odpovědní za činnosti zpracování dle čl. 9, k. právní důvod a účel pro činnost zpracování, l. informace o zpracovatelích, pokud se na agendě podílejí vč. rozsahu jim zpřístupněných zpracování, které vykonávají, m. obecný popis technických a organizačních bezpečnostních opatření k zabezpečení osobních odpovídajících rizikům pro práva a svobody subjektů údajů dle čl. 32 odst. 1 nařízení. 4. Navrhovatel má právo zahájit nové, resp. změnit dosavadní zpracování osobních údajů, až pověřence obdrží jeho souhlas na základě oznámení dle odstavce 3 a následného posouzení či osobních údajů a jejich ochrany. V případě nesouhlasu pověřence je další postup konzultová uvedenými v čl. 7 a 8. 5. Pověřenec nebo jím pověřená osoba zanese informace o nové činnosti zpracování osobních změnách stávající činnosti zpracování osobních údajů do registru, a to na základě údajů dl odstavce 3, po vyjádření souhlasu pověřence se zpracováním nebo změnou zpracování osobních odstavce 4. ****************************************************************************************** * Část šestá - Zveřejňování osobních údajů a jejich poskytování třetím stranám ****************************************************************************************** *========================================================================================= * Čl. 21 - Zveřejňování osobních údajů *========================================================================================= 1. Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným osobám či zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřej (např. ve veřejné části internetových stránek univerzity). 2. Student může po svém přihlášení do informačního systému univerzity (dále jen „systém“) údaje o jeho osobě může anonymní uživatel vyhledat. 3. Pokud je vyhledání studenta povoleno, zobrazí se o něm tyto údaje: a. příjmení a jméno (resp. příjmení a jména), b. tituly, c. fakulta, d. studijní program, studijní obor, popřípadě specializace, e. ročník studia, f. v případě již ukončených studií akademický rok ukončení studia. 4. Student může po svém přihlášení do systému nastavit, které další údaje o něm mají být z 5. Anonymní uživatel systému nebo přihlášený uživatel, který není zaměstnancem univerzity (dále jen „anonymní uživatel“), nemůže vyhledat studenta podle zadaných kritérií, nestanov student postupem podle odstavce 2, že toto vyhledání je povoleno. 6. Osoba, která na univerzitě studovala a jejíž studium již bylo ukončeno, může povolit vy údajů jedním z těchto dvou postupů: a. pokud zná své přihlašovací údaje do systému, může se do něj přihlásit a povolit vyhledá přímo v nastavení systému, b. může požádat o změnu nastavení prostřednictvím mailové adresy helpdesk@is.cuni.cz nebo pověřence. 7. Osoby, které na univerzitě studovaly a jejichž studium již bylo ukončeno, nejsou anonym vyhledatelné, pokud tato osoba nestanovila postupem podle odstavce 6, že toto vyhledání je není dotčeno ustanovení odstavce 8. 8. U osob, které obhajovaly závěrečnou práci po 1. 1. 2006, jsou v souvislosti se zveřejňo prací dle § 47b zákona o vysokých školách zveřejňovány tyto údaje: a. příjmení a jméno (resp. příjmení a jména), b. tituly, c. datum narození, d. fakulta, e. studijní program, studijní obor studia, popřípadě specializace, f. název pracoviště, které vypsalo práci, g. typ práce (bakalářská, diplomová, rigorózní, disertační), h. název práce, i. kompletní text práce a přílohy práce, j. jazyk práce, k. klíčová slova k práci, l. abstrakt, m. vedoucí práce, n. konzultant práce, o. oponenti práce, p. posudek vedoucího práce, q. posudek oponenta, resp. oponentů práce, r. datum obhajoby, s. záznam o průběhu obhajoby, t. výsledek obhajoby (udělená klasifikace). 9. Pokud student aktuálně působí v samosprávných akademických či poradních orgánech univer zveřejněny údaje dle odstavce 11 písm. a), b), c), h), i) a j) a může povolit zveřejnění d dle odstavce 13. Pokud se student podílí na výuce, jsou o něm zveřejněny údaje dle odstavc b), c), f), i), j), k), l), m), n) a o). Pokud se student podílí na tvůrčí činnosti univer zveřejněny údaje dle odstavce 11 písm. a), b), c), f), m) a n). 10. Údaje o uchazečích ke studiu se nezveřejňují, anonymnímu uživateli není v systému vyhl o studium povoleno. 11. Univerzita zveřejňuje prostřednictvím svých internetových stránek výstupy ze systému, následující údaje o zaměstnancích a základní údaje o jejich pracovněprávních vztazích: a. jméno, b. příjmení, c. tituly, d. druh pracovněprávního vztahu (pracovní smlouva, dohoda o pracovní činnosti, dohoda o pr e. fakultu nebo další součást univerzity, na níž je pracovněprávní vztah uzavřen, f. pracoviště, tedy organizační součást nebo součásti fakulty nebo další součásti univerzi na nichž je práce vykonávána, g. pracovní zařazení (profesor, docent, odborný asistent, asistent, lektor atd.), h. funkce na pracovišti a v orgánech univerzity, fakult a dalších součástí, i. kontaktní údaje v souvislosti s univerzitou (adresy pracovišť, umístění kanceláře, tele čísla, e-mailové adresy), j. vědní obor nebo jinou specializaci zaměstnance, k. konzultační hodiny, l. průběh akademické kvalifikace, m. podíl na jednotlivých formách tvůrčí činnosti univerzity, n. informace o vydaných publikacích, o. výuku uskutečňovanou na univerzitě. 12. Údaje dle odstavce 11 jsou povinně zveřejňovány pro zaměstnance s aktuálně platnou pra Pro zaměstnance pracující na základě dohody o pracovní činnosti jsou tyto údaje povinně zv nerozhodne-li nadřízený pracovník zaměstnance jinak. Pro zaměstnance pracující na základě provedení práce jsou údaje o zaměstnanci a jeho pracovněprávním vztahu nezveřejněny, neroz nadřízený pracovník zaměstnance jinak. 13. Zaměstnanec má dále právo povolit zveřejnění a zvolit si jeho konkrétní rozsah pro nás a. fotografie, b. životopis, c. osobní internetové stránky související s jeho působením na univerzitě, d. případně další údaje, které o sobě zveřejnil sám. 14. V případě společných pracovišť univerzity s jinými institucemi (jde zejména o fakultní ústavy Akademie věd České republiky) univerzita zveřejňuje i údaje zaměstnanců těchto jiný pokud se podílejí na činnosti univerzity, a to v rozsahu dle odstavce 11 písm. a), b), c) 15. Účastník programu CŽV může po svém přihlášení do systému nastavit, že údaje o jeho oso uživatel vyhledat. 16. Pokud je vyhledání účastníka programu CŽV povoleno, zobrazí se o něm tyto údaje: a. příjmení a jméno (resp. příjmení a jména), b. tituly, c. fakulta nebo další součást univerzity, d. program CŽV, e. ročník studia, f. v případě již ukončených studií programů CŽV akademický rok ukončení studia. 17. Účastník programu CŽV může po svém přihlášení do systému nastavit, které další údaje m viditelné. 18. Anonymní uživatel informačního systému nemůže vyhledat účastníka programu CŽV podle za nestanovil-li vyhledávaný účastník postupem podle odstavce 15, že toto vyhledání je povole 19. Účastník programu CŽV, který na univerzitě studoval a jehož studium programu CŽV již b může povolit vyhledání svých údajů jedním z těchto dvou postupů: a. pokud zná své přihlašovací údaje do systému, může se do něj přihlásit a povolit vyhledá přímo v nastavení systému, b. může požádat o změnu nastavení prostřednictvím mailové adresy helpdesk@is.cuni.cz nebo pověřence. 20. V případě akademických funkcionářů a osob aktuálně působících v samosprávných akademic orgánech univerzity, které nejsou v pracovněprávním vztahu k univerzitě, jsou zveřejňovány odstavce 11 písm. a), b), c), h) a i). *========================================================================================= * Čl. 22 - Poskytování osobních údajů třetím stranám *========================================================================================= 1. Poskytování osobních údajů třetím stranám mimo univerzitu se řídí tímto opatřením, naří obecně závaznými právními předpisy. 2. Každé poskytování osobních údajů třetí straně mimo univerzitu musí být zaznamenáno v re uvedení rozsahu poskytovaných údajů, účelu poskytnutí a identifikace třetí strany. 3. Za dodržování správného postupu při poskytování osobních údajů třetím osobám mimo unive tímto opatřením, nařízením a platnými obecně závaznými právními předpisy jsou odpovědní ve pro danou činnost či oblast zpracování dle čl. 9. *========================================================================================= * Čl. 23 - Zabezpečení osobních údajů *========================================================================================= 1. Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponuje unive obsahují osobní údaje chráněné podle tohoto opatření, musí být uchovávány pouze v uzamykat nebo k tomu vyhrazených místnostech na pracovištích univerzity, případně na jiných bezpečn určených charakteristikou příslušného zpracování údajů nebo zabezpečeny šifrováním. Mimo p univerzity mohou být odneseny pouze kopie těchto písemností nebo nosičů, a to za podmínek odstavci 3. V případě online předávání údajů mimo univerzitu musí být osobní údaje při pře šifrováním a jejich ochrana příjemcem či zpracovatelem dat zajištěna adekvátním způsobem d a ošetřena smlouvou. Podstatné náležitosti smlouvy se zpracovatelem jsou uvedeny v příloze opatření. 2. Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní úda tohoto opatření, musí být zabezpečeny před volným přístupem neoprávněných osob, zpravidla hesly, šifrováním či uzamčením. Údaje uložené na těchto technických prostředcích, které ne s činnostmi univerzity (např. soukromé soubory zaměstnanců a studentů univerzity), nepodlé opatření. 3. Kopie osobních údajů chráněných podle tohoto opatření musí být pořizovány na technické podle provozních pravidel stanovených pro jednotlivá zpracování údajů a uchovávány v uzamy skříních na pracovištích univerzity, případně na jiných bezpečných místech určených charak příslušného zpracování údajů nebo zabezpečeny šifrováním. V případě, že tyto kopie opustí univerzity, musí být dodatečně zabezpečeny (uzamčeny, zašifrovány apod.) tak, aby se přede nahodilému přístupu neoprávněné osoby k nim, tak cílenému pokusu o neoprávněný přístup k t 4. V případě, kdy zaměstnanec nebo student univerzity zjistí nebo nabude podezření, že by nebo že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně oznámit pově uvedeným v čl. 7 a 8. 5. Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu podle čl. 33 n oznamování případů porušení ochrany osobních údajů subjektu údajů podle čl. 34 nařízení pr předchozí konzultaci s osobami uvedenými v čl. 7 a 8 pověřenec. ****************************************************************************************** * Část sedmá - Přechodná a závěrečná ustanovení ****************************************************************************************** *========================================================================================= * Čl. 24 - Přechodná a závěrečná ustanovení *========================================================================================= 1. Opatření rektora č. 28/2015 – Zpracování osobních údajů studentů, uchazečů o studium, z dalších osob na Univerzitě Karlově – se zrušuje. 2. V případech již existujících činností zpracování osobních údajů budou kompetence vedouc dle čl. 9 stanoveny nejpozději do deseti dnů po nabytí účinnosti tohoto opatření. 3. Výkladem jednotlivých ustanovení tohoto opatření je pověřen pověřenec dle čl. 15 odst. 4. Kontrolu dodržování tohoto opatření vykonává pověřenec dle čl. 15 odst. 1. 5. Toto opatření nabývá účinnosti dne 25. května 2018. Přílohy: Příloha č. 1 – Podstatné náležitosti smlouvy v oblasti zpracovávání osobních údajů Příloha č. 2 – Povinnost mlčenlivosti zaměstnance V Praze dne 27. dubna 2018 prof. MUDr. Tomáš Zima, DrSc., MBA rektor Příloha č. 1 k opatření rektora č. 16/2018 – Zásady a pravidla ochrany osobních údajů ****************************************************************************************** * ***** Podstatné náležitosti smlouvy v oblasti zpracovávání osobních údajů ***** ****************************************************************************************** Náležitosti každé smlouvy mezi správcem a zpracovatelem jsou taxativně uvedeny v čl. 28 GD odst. 2. a 3. a v ust. § 32 nově připravovaného zákona o ochraně osobních údajů. Ve smlouvě se zpracovatelem musí být vždy jednoznačně stanoven předmět a doba trvání zprac údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a veškeré p správce a zpracovatele. Předmět zpracování by mohl být totožný s předmětem smlouvy, např. „Předmětem smlouvy je zp uvedených osobních údajů“. Doba trvání zpracování by měla být vždy totožná s dobou platnosti smlouvy, protože po skon zpracovatel údaje vrátí zpět správci, nebo bude mít povinnost je vymazat. Pojmem povaha osobních údajů lze zřejmě rozumět, jak se tyto údaje budou zpracovávat, zda elektronicky – to se týká nejen zpracování samotného, ale i získávání údajů od subjektů úd Účelem bude konkretizace naší potřeby, tj. např. k zajištění pracovněprávních zaměstnaneck k vedení matriky studentů, či k vyhotovení a předání průkazů studentů/zaměstnanců, nebo zp zprávy pacienta atd. Typem osobních údajů lze rozumět konkrétní identifikaci těchto údajů, jméno a příjmení, da číslo OP/či pasu, bydliště, kontakty, pohlaví, nemoci atd. Pod kategorii subjektu údajů patří, zda jde o dospělého, či dítě, zaměstnance, či studenta další třetí osobu, smluvní stranu apod. Práva a povinnosti správce a zpracovatele mohou být široce vymezeny, ale v každém případě měla být alespoň obdoba dále uvedených ustanovení: - „Bez předchozího písemného souhlasu správce není zpracovatel oprávněn přenést ani část s vyplývajících z této smlouvy, na další třetí osobu (na dalšího zpracovatele). Pokud dojde všech, nebo části povinností zpracovatele s předchozím písemným souhlasem správce na třetí zpracovatel za případnou škodu způsobenou touto třetí osobou tak, jakoby škodu způsobil sá jakéhokoliv omezení.“ - Pokud bude ke zpracování osobních údajů třeba předchozí souhlas subjektu údajů, je třeba uvést do smlouvy – „Správce/zpracovatel se zavazuje předem zajistit písemný souhlas se zpr údajů dle této smlouvy od jednotlivých subjektů osobních údajů, jejichž osobní údaje budou zpracovávány.“. - „Zpracovatel se zavazuje zajistit všechna bezpečnostní, technická a organizační zabezpeč osobních údajů a jiná opatření požadovaná v čl. 32 nařízení; zejména přijmout veškerá opat dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či jejich zneužití, včetně opatření týkajících se práce s informačními systémy, v nichž jsou zpracovávány. Zpracovatel se dále zavazuje: a. neužívat osobní údaje k jinému než stanovenému účelu podle této smlouvy a zpracovávat o na základě doložených pokynů správce s výjimkou těch případů, kdy tato povinnost je zpraco přímo právním předpisem; b. učinit s odbornou péčí všechna kontrolní a ochranná opatření za účelem ochrany osobních kontroly, audity či inspekce prováděné správcem nebo jiným příslušným orgánem dle právních c. s odbornou péčí dodržovat všechna kontrolní a ochranná opatření za účelem ochrany osobn d. poskytnout správci bez zbytečného odkladu nebo ve lhůtě, kterou stanoví správce, součin pro plnění zákonných povinností správce spojených s ochranou osobních údajů, jejich zpraco smlouvy o zpracování osobních údajů; e. informovat správce o všech skutečnostech majících vliv na zpracování osobních údajů; f. oznámit správci každou pochybnost o dodržování zákona či narušení bezpečnosti osobních g. bude-li to třeba, poskytnout správci veškerou podporu a pomoc při styku a jednáních s Ú osobních údajů a se subjekty údajů; h. neprodleně reagovat na žádosti subjektů, tyto informovat o všech jejich právech a na žá přístup k informacím o zpracování; i. po ukončení poskytování služeb spojených se zpracováním dle potřeb správce řádně naloži zpracovávanými osobními údaji, tj., všechny osobní údaje buď vymazat, nebo je vrátit správ pokynu správce; j. dodržovat všechny ostatní povinnosti stanovené právními předpisy, i pokud tak není výsl smlouvě; k. vynaložit veškeré možné úsilí na odstranění protiprávního stavu ve vztahu k převedeným dle této smlouvy, kterým by došlo k porušení povinností jednáním příslušné smluvní strany, poté, co taková skutečnost nastane. - Veškeré informace obsahující osobní údaje, které si smluvní strany při realizaci této sm jsou důvěrné. Zpracovatel se zavazuje, že tyto informace neposkytne třetí osobě ani je nep s účelem jejich poskytnutí (tj. za účelem splnění této smlouvy), není-li touto smlouvou vý jinak. Zpracovatel se zavazuje, že neprozradí informace vztahující se k této smlouvě žádné že tyto informace nikdy nepoužije k jinému než účelu stanovenému touto smlouvou, a to jak této smlouvy, tak i po jejím ukončení (s výjimkou případů, kdy mu to přikáže právní předpi na tomto obě smluvní strany písemně dohodnou). Zpracovatel dále zajistí, aby se osoby oprá osobní údaje, zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčen Za dodržování výše uvedených povinností a závazků zpracovatele se doporučuje stanovit ve s pokuty a v případě opakování porušování ze strany zpracovatele i právo okamžitého odstoupe Do smlouvy dále napsat, že všechny dokumenty, které se týkají zpracování osobních údajů, a poskytnutých zpracovateli, nebo zpracovatelem samotným, musí být uloženy a archivovány na na adrese ……/doplnit adresu, která bude co nejblíže zpracovateli, v každém případě jen na V případě, že zpracovatel by byla zahraniční osoba, doporučuje se stanovit do smlouvy, že: dokumenty a komunikace, týkající se zpracování osobních údajů a zajištění činností dle sml českém jazyce a případné spory se budou řešit dle českého práva u soudu místně a věcně pří správce. Doplnit Rozhodčí řízení je vyloučené.“. I v případě, že smlouva bude uzavřena na dobu určitou, je účelné do smlouvy doplnit i možn výpovědi smlouvy, a to pro případ, že dojde k pochybením ze strany zpracovatele, která sic na odstoupení, ale přesto bude obezřetné smlouvu ukončit, popř. to bude pro UK ekonomicky bude k dispozici jiný a lepší zpracovatel. Protože však výpověď by měla být reciproční, mě taková délka výpovědní doby, aby UK nebyla ohrožena, při výpovědi ze strany zpracovatele. Příloha č. 2 k opatření rektora č. 16/2018 – Zásady a pravidla ochrany osobních údajů ****************************************************************************************** * ***** Doporučený text o povinnosti mlčenlivosti zaměstnance do pracovních smluv uzavíran ***** ****************************************************************************************** „Zaměstnanec se zavazuje, že bude zachovávat mlčenlivost o informacích a skutečnostech, kt při výkonu svého zaměstnání, označených zaměstnavatelem jako důvěrné podle ust. § 276 odst 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů (dále jen „ZP“), nebo které podl tajemství dle ust. § 504 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších před zaměstnavatelem zveřejněny či určeny ke zveřejnění. Zaměstnanec se dále zavazuje zachovávat mlčenlivost o osobních údajích, se kterými přijde do styku a jejichž zveřejnění by ohrozilo zabezpečení těchto osobních údajů, a to v soulad odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů, v platném znění. Zaměstnanec ber tato povinnost mlčenlivosti nezaniká ukončením pracovního poměru. Zaměstnanec dále bere na vědomí, že porušení těchto povinností může být posuzováno jako po zaměstnance podle ust. § 301 písm. d) ZP. V případě vzniku škody v souvislosti s tímto por mlčenlivosti odpovídá za škodu zaměstnavateli podle ust. § 250 odst. 1 ZP.“ Opatření rektora č. 16/2018 na webu UK [ URL "https://www.cuni.cz/UK-9014.html"]