Název: Zásady a pravidla ochrany osobních údajů
K provedení: Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Účinnost: 25. května 2018
1. Toto opatření rektora (dále jen „opatření“) stanoví zásady a pravidla při zpracování osobních údajů v rámci Univerzity Karlovy (dále jen „univerzita“), odpovědnosti osob zajišťujících ochranu osobních údajů na univerzitě a vymezuje práva a povinnosti zaměstnanců, studentů, případně dalších fyzických i právnických osob účastnících se činností souvisejících se zpracováním osobních údajů.
2. Toto opatření vychází z nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“) a ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon“), s tím, že doplňuje a rozpracovává některá jejich ustanovení pro úpravu vztahů v rámci univerzity a stanoví organizační postupy zajišťující jejich realizaci.
1. Pro účely tohoto opatření se rozumí:
a. „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
b. „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
c. „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
d. „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
e. „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
f. „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
g. „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
h. „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
i. „řetězením zpracovatelů“ situace, kdy je do zpracování osobních údajů zapojena na základě písemného souhlasu univerzity další osoba v pozici (dílčího) zpracovatele;
j. „příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
k. „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
l. „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
m. „porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
n. „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
o. „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
p. „údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.
2. Další pojmy jsou uvedeny v čl. 4 nařízení.
1. Osobní údaje musí být:
a. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);
b. shromažďovány pro určité, výslovně vyjádřené a legitimní účely, a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný („účelové omezení“); další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely se nepovažuje za neslučitelné s původními účely;
c. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);
d. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);
e. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“); osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu , pro účely vědeckého či historického výzkumu nebo pro statistické účely, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných nařízením s cílem zaručit práva a svobody subjektu údajů;
f. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).
2. Za dodržování zásad dle odstavce 1 odpovídají osoby uvedené v části druhé tohoto opatření a musí být dle čl. 5 odst. 2 nařízení rovněž schopny toto dodržení souladu doložit („odpovědnost“).
1. V souladu s čl. 6 nařízení je zpracování zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
a. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (podmínky vyjádření souhlasu jsou podrobně uvedeny v čl. 7 a 8 nařízení);
b. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
c. zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
d. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby;
e. zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
f. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
2. Ustanovení odstavce 1 písm. f) se netýká zpracování osobních údajů prováděného univerzitou v případech, kdy univerzita vystupuje jako orgán veřejné moci ve věcech jí svěřených zákonem č. 111/1998 Sb., zákon o vysokých školách, ve znění pozdějších předpisů (dále jen „zákon o vysokých školách“) nebo jiným právním předpisem. V těchto případech se postupuje dle odstavce 1 písm. c).
1. Je zakázáno zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů identifikujících konkrétní fyzickou osobu a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby v případech, na které se nevztahují odstavce 2 a 3.
2. Výjimky ze zákazu zpracování osobních údajů podle odstavce 1 jsou dány čl. 9 nařízení, zejména lze osobní údaje dle předchozího odst. 1. zpracovávat tehdy, pokud subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů. Tento souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, jakých údajů se týká, k jakému účelu, na jaké období a kdo jej poskytuje. Subjekt údajů svým podpisem také potvrzuje, že byl předem poučen o svých právech. Zaměstnanec provádějící zpracování osobních údajů musí být schopen existenci tohoto souhlasu doložit po celou dobu jejich zpracovávání.
3. Výjimkami ze zákazu v odstavci 1 jsou také údaje:
a. o zdravotním stavu v osobních evidencích zaměstnanců a studentů za předpokladu, že tyto údaje byly subjektem údajů do zmíněné evidence dobrovolně předány a jsou vedeny v jeho prospěch (např. mají vliv na přijetí ke studiu, poskytování služeb osobám se specifickými potřebami, ubytování v kolejích nebo výpočet jeho daňové povinnosti či jiných zákonných dávek);
b. o členství v odborových organizacích působící na univerzitě uvedené v osobních a mzdových evidencích zaměstnanců za předpokladu, že byly subjektem údajů do zmíněné evidence dobrovolně předány a slouží pro placení členských příspěvků či jiných dávek, včetně účtování o těchto platbách;
c. zvláštní kategorie osobních údajů zpracovávané pro účely projektů/výzkumu.
4. Zpracování osobních údajů, které nevyžaduje identifikaci subjektu údajů, upravuje čl. 11 nařízení.
Univerzita je subjektem odpovědným za zpracování osobních údajů podle čl. 1 odst. 2. Může vystupovat jak v roli správce, tak v roli zpracovatele. Za účelem naplňování ochrany osobních údajů tak, jak je požadováno nařízením a zákonem, jsou v této části opatření stanoveny osoby participující na zajišťování výše uvedeného účelu.
1. Postavení rektora je dáno zákonem o vysokých školách, Statutem univerzity a ostatními vnitřními předpisy univerzity. Rektor jedná jako statutární orgán univerzity odpovědný za dodržování zásad, pravidel a postupů při zpracování osobních údajů vně i dovnitř univerzity, a to v případech realizovaných na centrální úrovni univerzity a tam, kde nedošlo k posunu pravomocí na další osoby uvedené v této části.
2. Prorektoři odpovídají rektorovi univerzity za dodržování zásad, pravidel a postupů při zpracování osobních údajů realizovaných v rámci oblasti jejich činnosti a působností daných čl. 11 Statutu univerzity.
3. Kvestor odpovídá rektorovi univerzity za dodržování zásad, pravidel a postupů při zpracování osobních údajů realizovaných v oblastech své působnosti dané čl. 13 Statutu univerzity.
1. Děkani jednotlivých fakult univerzity odpovídají rektorovi za dodržování zásad, pravidel a postupů při zpracování osobních údajů realizovaných zaměstnanci a studenty fakulty univerzity při plnění jejich pracovních či studijních povinností, případně dalšími fyzickými a právnickými osobami, které zpracovávají osobní údaje na základě smlouvy s fakultou univerzity, a to ve věcech jim svěřených ustanovením § 24 zákona o vysokých školách, čl. 15 a 16 Statutu univerzity, dalšími vnitřními předpisy univerzity a opatřeními rektora.
2. Ředitelé dalších součástí univerzity odpovídají rektorovi univerzity za dodržování zásad, pravidel a postupů při zpracování osobních údajů realizovaných zaměstnanci další součásti univerzity nebo studenty, pro které součást zajišťuje výuku, při plnění jejich pracovních či studijních povinností, případně dalšími fyzickými a právnickými osobami, které zpracovávají osobní údaje na základě smlouvy s další součástí univerzity, a to ve věcech jim svěřených čl. 15 a 16 Statutu univerzity, organizačním řádem dané další součásti, dalšími vnitřními předpisy univerzity a opatřeními rektora.
3. Děkani jednotlivých fakult univerzity a ředitelé dalších součástí univerzity jmenují nejpozději do deseti dnů po nabytí účinnosti tohoto opatření kontaktní osobu pro oblast ochrany osobních údajů za fakultu, resp. další součást, která bude poskytovat součinnost pověřenci pro ochranu osobních údajů dle čl. 13 při plnění jeho úkolů dle čl. 15 týkající se činností zpracování osobních údajů na dané fakultě nebo další součásti univerzity. O tomto jmenování děkani fakult a ředitelé dalších součástí univerzity bezodkladně informují pověřence pro ochranu osobních údajů dle části třetí.
1. Vedoucí pracovník je odpovědný za dodržování zásad, pravidel a postupů (uvedených v tomto opatření, v nařízení a v zákoně) při zpracování osobních údajů realizovaných v jemu svěřené oblasti, a to včetně zajištění bezpečného uložení dat, a řídí v této oblasti zpracování osobních údajů prováděná pracovníky jemu podřízenými.
2. Vedoucí pracovník provádí v jemu svěřené oblasti posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů podle čl. 35 nařízení. Za tímto účelem si vyžádá posudek pověřence pro ochranu osobních údajů dle části třetí.
3. V registru činností zpracování osobních údajů vedeném dle části páté jsou u jednotlivých činností zpracování evidováni vedoucí pracovníci na jednotlivých fakultách a dalších součástech UK, do jejichž kompetence dané zpracování spadá. V případě pochybnosti o rozdělení těchto kompetencí, rozhodne o osobě kompetentní pro danou činnost zpracování:
a. rektor pro případy zpracování osobních údajů, které zasahují centrální úroveň univerzity;
b. děkan v případě zpracování osobní údajů v působnosti dané fakulty;
c. ředitel další součásti univerzity v případě zpracování osobní údajů v působnosti dané další součásti;
d. kvestor v případě zpracování osobních údajů, které jsou v působnosti rektorátu a nezasahují centrální úroveň univerzity.
4. U nových činností bude odpovídající vedoucí pracovník nebo pracovníci určeni před zahájením zpracování osobních údajů.
5. Osoby uvedené v odstavci 3 neprodleně informují pověřence pro ochranu osobních údajů dle části třetí.
6. Vedoucí pracovníci zajistí, aby jim podřízení zaměstnanci podílející se na zpracování osobních údajů, byli zavázáni závazkem mlčenlivosti. Vzor závazku mlčenlivosti, doporučený pro doplnění do pracovních smluv zaměstnanců, tvoří přílohu č. 2 tohoto opatření.
1. Zaměstnanci univerzity, kteří přijdou do styku se zpracováním osobních údajů, jsou povinni se seznámit s tímto opatřením, nařízením, dalšími relevantními obecně závaznými právními předpisy a relevantními metodickými doporučeními vydanými pověřencem pro ochranu osobních údajů podle čl. 15 odst. 1 písm. j). Za toto seznámení odpovídá vedoucí pracovník nadřízený zaměstnanci.
2. Osoby uvedené v odstavci 1 jsou povinny zpracovávat osobní údaje vždy jen v rozsahu a za podmínek stanovených vedoucím pracovníkem, v jehož kompetenci je daná činnost zpracování osobních údajů.
3. Osoby uvedené v odstavci 1 jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po ukončení pracovního poměru, studia nebo výkonu příslušných prací. Povinnost mlčenlivosti je v rozsahu stanoveném pracovní smlouvou.
4. Pokud se zaměstnanec univerzity či jiná osoba v pracovněprávním vztahu s univerzitou, fakultou či další součástí univerzity podílí na zpracování osobních údajů, je odpovědná za jí realizované zpracování osobních údajů. Při zpracování osobních údajů je povinna dbát pokynů a metodických doporučení pověřence pro ochranu osobních údajů dle části třetí a poskytovat pověřenci informace, které si od ní pověřenec vyžádá.
5. Osoba v pracovněprávním vztahu s univerzitou, fakultou či další součástí univerzity je oprávněna obrátit se se svým dotazem či podnětem týkajícím se zpracování a ochrany osobních údajů na pověřence pro ochranu osobních údajů dle části třetí, a to buď přímo, anebo prostřednictvím kontaktní osoby dle čl. 8. odst. 3
1. V případech, kdy by při zpracování závěrečných prací studentů (bakalářské, magisterské a disertační práce), účastníků rigorózního řízení a účastníků programů celoživotního vzdělávání (dále jen „CŽV“) byly zpracovávány osobní údaje, je vedoucí práce nebo školitel povinen seznámit studenta, resp. účastníka rigorózního řízení nebo programu CŽV, s povinnostmi dle tohoto opatření a nařízení a zajistit případné další kroky v souladu s tímto opatřením.
2. V případech, kdy vyučující předmětu zadává v rámci výuky předmětu studentům, účastníkům rigorózního řízení nebo účastníkům programů CŽV zpracování práce vyžadující zpracování osobních údajů, je vyučující povinen seznámit studenta, resp. účastníka rigorózního řízení nebo programu CŽV, s povinnostmi dle tohoto opatření a nařízení a zajistit případné další kroky v souladu s tímto opatřením.
3. Další podrobnosti o činnostech zpracování osobních údajů dle tohoto článku může stanovit opatření rektora univerzity, na návrh pověřence.
1. V případech, kdy se na zpracování osobních údajů, u nichž je univerzita správcem či zpracovatelem, podílejí osoby bez přímého právního vztahu s univerzitou (např. zaměstnanci společných pracovišť univerzity a jiné instituce, spoluřešitelé výzkumných projektů z jiných institucí, spoluautoři publikací apod.), je třeba, aby tyto osoby byly seznámeny s povinnostmi vyplývajícími z tohoto opatření a z nařízení a byly zavázány k dodržování tohoto opatření např. formou smlouvy mezi univerzitou a spolupracující institucí či jiným vhodným závazným způsobem.
2. Smlouva, jejímž předmětem má být poskytování služeb univerzitě ze strany zpracovatele osobních údajů, smí být uzavřena pouze s takovou osobou, jež bude plnit funkci zpracovatele, která bude poskytovat dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky podle právní úpravy na ochranu osobních údajů a byla zajištěna bezpečnost a ochrana osobních údajů, práv a svobod subjektů údajů.
3. Je povinností zaměstnance, který za univerzitu o smlouvě vyjednává, příp. ji za univerzitu uzavírá, ověřit spolehlivost zpracovatele osobních údajů a naplnění předpokladů pro zákonné zpracování osobních údajů ze strany potenciálního zpracovatele. O způsobu prověřování a o jeho výsledcích se pořizuje záznam, který se vkládá spolu s podklady, z nichž hodnotitel vycházel, do spisové dokumentace k předmětnému obchodnímu případu a do spisové dokumentace příslušného zpracování osobních údajů. Dále je povinností zaměstnance dle věty první oznámit údaje o zpracovateli osobních údajů postupem dle čl. 20.
4. Předchozí písemný souhlas univerzity k řetězení zpracovatelů pro případy poskytování zpracovatelských služeb zpracovatelem ze strany třetích osob lze udělit pouze, pokud je to k plnění úkolů univerzity nezbytně nutné.
5. Má-li univerzita realizovat zpracování osobních údajů v pozici zpracovatele osobních údajů, lze do zpracování osobních údajů zapojit dílčího zpracovatele (řetězení zpracovatelů) pouze tehdy, byl-li k tomu ve smlouvě o zpracování osobních údajů, příp. v písemném svolení ze strany správce osobních údajů udělen souhlas. Souhlas může být buďto pro osobu určitého zpracovatele, nebo obecný, kdy výběr dílčího zpracovatele v mezích plynoucích ze svolení náleží univerzitě, přičemž však vůči vybranému dílčímu zpracovateli náleží správci právo na námitku. Vznese-li správce osobních údajů vůči dílčímu zpracovateli námitku, nelze takového dílčího zpracovatele zapojit do procesu zpracování osobních údajů. Bude-li u individuálně určeného dílčího zpracovatele při prověřování provedeném způsobem popsaným v odstavcích 2 a 3 zjištěno, že nejsou dány patřičné garance, oznámí se taková skutečnost správci osobních údajů. Takový dílčí zpracovatel může být do zpracování osobních údajů zapojen jedině, požádá-li o to i přes univerzitou sdělené výhrady správce osobních údajů. Veškerá komunikace, podklady pro posouzení a výsledky posouzení budou vloženy do spisové dokumentace k předmětnému obchodnímu případu a do spisové dokumentace předmětného zpracování osobních údajů.
6. Má-li univerzita realizovat zpracování osobních údajů jako dílčí zpracovatel v rámci řetězení zpracovatelů, tedy jako zpracovatel zpracovávající osobní údaje pro zpracovatele, vyžádá si osoba vyjednávající uzavření smlouvy za univerzitu před uzavřením smlouvy potřebné podklady osvědčující, že zpracovatel disponuje od správce osobních údajů oprávněním zapojit do zpracování dílčího zpracovatele osobních údajů; podklady se míní buďto individuální svolení k zapojení univerzity coby dílčího zpracovatele, nebo obecné zmocnění k zapojení dílčího zpracovatele a potvrzení o tom, že správce osobních údajů vůči univerzitě, coby dílčímu zpracovateli, nevznesl námitky. Podklady a související komunikace budou vloženy do spisové dokumentace vedené k předmětnému případu a do spisové dokumentace předmětného zpracování osobních údajů.
7. Smlouva o zpracování osobních údajů uzavíraná univerzitou se zpracovatelem, příp. se správcem nebo s dílčím zpracovatelem bude mít parametry podle čl. 28 nařízení.
1. Pověřenec pro ochranu osobních údajů (dále jen „pověřenec“) je přímo podřízen rektorovi.
2. Pověřenec je zapojen do veškerých procesů a záležitostí souvisejících s ochranou a zpracováním osobních údajů na univerzitě.
3. Pověřenec je za strany univerzity podporován v udržování svých odborných znalostí a je mu umožněn přístup k osobním údajům, operacím zpracování a k veškerým zdrojům potřebným pro plnění úkolů, uvedených v čl. 15.
4. Pověřenci nejsou ze strany univerzity udělovány žádné konkrétní pokyny, týkající se naplňování jeho povinností pověřence. Může mu však být rektorem zadáno i plnění jiných úkolů a povinností. Žádný z těchto úkolů či povinností však nesmí vést ke střetu zájmů s výkonem funkce pověřence.
5. Pověřenec je v souvislosti s výkonem svých úkolů vázán mlčenlivostí. Povinnost mlčenlivosti trvá i po skončení pracovního poměru.
6. Údaje o pověřenci včetně kontaktu na něj jsou uvedeny ve veřejné části internetových stránek univerzity.
Pověřenec je jmenován rektorem na základě svých profesních kvalit, zejména na základě svých odborných znalostí a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly uvedené v čl. 15. Rektor může pověřence také odvolat.
1. Pověřenec vykonává zejména tyto úkoly:
a. poskytuje informace a poradenství zaměstnancům a studentům univerzity, kteří provádějí zpracování osobních údajů, o jejich povinnostech podle tohoto opatření, nařízení a dalších obecně závazných právních předpisů v oblasti ochrany osobních údajů;
b. monitoruje soulad s tímto opatřením, nařízením, dalšími obecně závaznými právními předpisy v oblasti ochrany osobních údajů a s koncepcemi univerzity v oblasti ochrany osobních údajů, včetně zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování;
c. dohlíží nad realizací ochrany a zpracování osobních údajů;
d. poskytuje odbornou pomoc, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitoruje jeho uplatňování podle čl. 35 nařízení;
e. po předchozí konzultaci s osobami uvedenými v čl. 7 a 8 ohlašuje případy porušení zabezpečení osobních údajů dozorovému úřadu podle čl. 33 nařízení a oznamuje případy porušení ochrany osobních údajů subjektu údajů podle čl. 34 nařízení;
f. spolupracuje a komunikuje s dozorovým úřadem;
g. působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů, včetně předchozí konzultace podle čl. 36 nařízení;
h. přijímá od zaměstnanců univerzity návrhy na zahájení nového, resp. změnu dosavadního zpracování osobních údajů a zaujímá k těmto návrhům stanoviska;
i. komunikuje se subjekty údajů, které se na něj mohou obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv dle tohoto opatření a nařízení;
j. vydává metodická doporučení týkající se zpracování osobních údajů na univerzitě, jimiž se osoby podílející se na zpracování osobních údajů na univerzitě mají řídit;
k. plní další úkoly vyplývající pro jeho pozici z nařízení, zákona či jiných obecně závazných právních předpisů, či vyplývajících z tohoto opatření a ostatních vnitřních předpisů univerzity a opatření rektora.
2. Pověřenec dohlíží na fungování registru činností zpracování osobních údajů univerzity uvedené v čl. 19.
3. Pověřenec bere při plnění svých úkolů patřičný ohled na riziko spojené s činnostmi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.
1. Dozví-li se pověřenec, že hrozí porušení pravidel na ochranu osobních údajů vyplývajících z nařízení, zákona či tohoto opatření nebo je-li porušení zjištěno, je povinen na to upozornit vedoucí pracovníky dle čl. 9 a písemně doporučit odstranění závadného či rizikového stavu. Vedoucí pracovník dle čl. 9 je povinen v přiměřené lhůtě projednat s pověřencem stav, a pokud se se zjištěním pověřence ztotožnil, zdržet se dalšího závadného či rizikového chování. Vedoucí pracovník dle čl. 9 je rovněž povinen přijmout veškerá opatření k tomu, aby se situace neopakovala.
2. Nesouhlasí-li vedoucí pracovník dle čl. 9 s doporučením pověřence, písemně to sdělí pověřenci a uvede důvody, proč se domnívá, že nedošlo, či nehrozí, že by mohlo dojít k porušení pravidel uvedených v první větě odstavce 1. V takovém případě pověřenec oznámí tuto skutečnost věcně příslušným osobám uvedeným v čl. 7 a 8 a postoupí jim celou dokumentaci.
3. Pověřenec je povinen dát podnět k přijetí obecných či konkrétních opatření v oblasti ochrany osobních údajů osobám uvedeným v čl. 7 a 8 vždy, když:
a. na základě svých zjištění podle odstavce 1 zjistí hrozbu porušení či porušení pravidel;
b. to bude vhodné v návaznosti na zobecňování praxe v oblasti ochrany osobních údajů.
4. Ustanoveními odstavce 1 až 4 není dotčena povinnost pověřence po předchozí konzultaci s osobami uvedenými v čl. 7 a 8 ohlásit porušení zabezpečení osobních údajů dozorovému úřadu a subjektu údajů podle čl. 15 odst. 1 písm. e).
Subjektem údajů je fyzická osoba, jejíž osobní údaje jsou zpracovávány. Při činnostech zpracování osobních údajů na univerzitě jsou zpracovávány údaje těchto subjektů údajů:
a. zaměstnanec univerzity (resp. osoba v pracovněprávním vztahu s univerzitou),
b. uchazeč o zaměstnání,
c. uchazeč o studium,
d. student univerzity,
e. bývalý student univerzity (včetně absolventů),
f. účastník programu CŽV,
g. student jiné vysoké školy nebo student na krátkodobém studijním pobytu na univerzitě,
h. obchodní partner (dodavatel, odběratel, zákazník),
i. účastník výzkumu,
j. externí spolupracovník (např. školitel, spoluřešitel, spoluautor publikace),
k. návštěvník nebo účastník akce pořádané univerzitou,
l. účastník správního nebo soudního řízení s univerzitou,
m. jiná osoba.
1. Univerzita v roli správce poskytuje informace subjektu údajů v souladu s čl. 12 nařízení stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků.
2. Pokud jsou osobní údaje získány od subjektu údajů, poskytne správce v okamžiku jejich získání subjektu údajů tyto informace:
a. kontaktní údaje univerzity;
b. kontaktní údaje pověřence pro ochranu osobních údajů;
c. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d. oprávněné zájmy univerzity nebo třetí strany v případě, že je zpracování založeno na čl. 4 odst. 1 písm. f);
e. případné příjemce nebo kategorie příjemců osobních údajů;
f. případný úmysl univerzity předat osobní údaje do třetí země (tj. mimo Evropskou unii) nebo mezinárodní organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
3. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne univerzita subjektu údajů vedle informací uvedených v odstavci 2 další informace uvedené v čl. 13 odst. 2 nařízení.
4. Pokud nebyly osobní údaje získány od subjektu údajů, poskytuje univerzita subjektu údajů tyto informace:
a. kontaktní údaje univerzity;
b. kontaktní údaje pověřence pro ochranu osobních údajů;
c. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
d. kategorie dotčených osobních údajů;
e. případné příjemce nebo kategorie příjemců osobních údajů;
f. případný úmysl univerzity předat osobní údaje do třetí země (tj. mimo Evropskou unii) nebo mezinárodní organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
5. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne univerzita subjektu údajů vedle informací uvedených v odstavci 4 další informace uvedené v čl. 14 odst. 2 nařízení.
6. Univerzita v roli správce učiní dále veškerá sdělení podle čl. 15 až 22 a 34 nařízení.
7. Informace dle tohoto článku jsou poskytovány v elektronické formě na webových stránkách univerzity a v informačních systémech univerzity, popřípadě jiným vhodným prokazatelným způsobem.
1. Práva subjektu údajů tvoří nedílnou součást ochrany osobních údajů při jejich zpracování.
2. Jedná se především o právo subjektu údajů na:
a. přístup k osobním údajům podle čl. 15 nařízení;
b. informace o zpracování osobních údajů;
c. opravu podle čl. 16 a 19 nařízení;
d. výmaz podle čl. 17 a 19 nařízení;
e. omezení zpracování podle čl. 18 a 19 nařízení;
f. přenositelnost údajů podle čl. 20 nařízení;
g. vznesení námitky podle čl. 21 nařízení;
h. automatizované individuální rozhodování, které upravuje čl. 22 nařízení.
3. Subjekty údajů se mohou obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv dle tohoto opatření a nařízení na pověřence.
4. Veškerá sdělení vůči subjektům údajů, včetně informací o jejich právech a vyrozumění subjektu údajů při uplatnění jeho práv, se poskytují stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, kdy se krom jiného přihlíží i k věku adresáta informace. K zajištění srozumitelnosti poskytovaných informací se v případech, kde to je vhodné, použije mnohovrstevné informace.
5. O splnění informační povinnosti, o uplatnění práv subjektů údajů, o vyřízení uplatnění práv subjektu údajů, včetně odmítnutí žádosti subjektu údajů atd., se pořizuje záznam. Součástí záznamu jsou i podklady, z nichž odpovědná osoba vycházela, včetně žádosti/přípisu, jehož prostřednictvím subjekt údajů uplatnil své právo. Není-li výslovně uvedeno jinak, záznam se vkládá do spisové dokumentace příslušného zpracování osobních údajů a archivuje se po dobu odpovídající promlčecím a prekluzivním lhůtám civilních a veřejnoprávních deliktů, kterých je možné se v souvislosti se zpracováním osobních údajů dopustit.
6. V případě uplatnění práv subjektu údajů je třeba kvůli ochraně práv a právem chráněných zájmů vhodným způsobem ověřit totožnost žádajícího subjektu údajů a subjekt údajů je povinen dostatečným způsobem svou identitu prokázat. Za dostatečný způsob prokázání identity se považuje, pokud je žádost podána prostřednictvím zprávy elektronické pošty, která je opatřena ověřeným elektronickým podpisem, prostřednictvím datové schránky nebo prostřednictvím poskytovatele poštovních služeb, kdy je písemnost podepsána a podpis jednajícího byl úředně ověřen, a součástí žádosti jsou identifikační údaje v rozsahu daném § 14 odst. 2 zákona č. 106/1999 Sb., o svobodném přístupu k informacím.
7. Pověřenec poskytne subjektu údajů na jeho žádost podle čl. 15 až 22 nařízení informace o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o další dva měsíce. Pověřenec informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způsob.
1. Za účelem dosažení přehledu o zpracování osobních údajů na univerzitě se zřizuje elektronický registr činností zpracování osobních údajů na univerzitě (dále jen „registr“). Provozem tohoto registru je pověřen Ústav výpočetní techniky univerzity (dále jen „ústav“). Odpovědným za provoz registru je ředitel ústavu.
2. Fakulty a další součásti univerzity, které zpracovávají, nebo chtějí zpracovávat osobní údaje podléhající tomuto opatření, resp. chtějí změnit dosavadní způsob zpracování osobních údajů, oznámí tuto skutečnost pověřenci prostřednictvím e-mailové adresy gdpr@cuni.cz.
3. Oznámení podle odstavce 2 musí obsahovat úplnou charakteristiku příslušného zpracování osobních údajů, a to v tomto rozsahu:
a. název agendy, resp. činnosti zpracování,
b. popis činnosti zpracování,
c. typy subjektů údajů dle čl. 17, jejichž údaje jsou činností zpracovávány,
d. výčet osobních údajů nebo jejich skupiny, které jsou činností zpracovávány,
e. typy dokumentů, které jsou činností zpracovávány,
f. informace o předávání osobních údajů mimo univerzitu,
g. umístění zpracovávaných osobních údajů a označení informačního systému nebo aplikace, pokud se při činnosti zpracování využívá,
h. informace, kdy a jak jsou nebo budou osobní údaje z agendy odstraňovány,
i. role podílející se na činnosti zpracování,
j. vedoucí pracovníci odpovědní za činnosti zpracování dle čl. 9,
k. právní důvod a účel pro činnost zpracování,
l. informace o zpracovatelích, pokud se na agendě podílejí vč. rozsahu jim zpřístupněných údajů a zpracování, které vykonávají,
m. obecný popis technických a organizačních bezpečnostních opatření k zabezpečení osobních údajů odpovídajících rizikům pro práva a svobody subjektů údajů dle čl. 32 odst. 1 nařízení.
4. Navrhovatel má právo zahájit nové, resp. změnit dosavadní zpracování osobních údajů, až poté, kdy od pověřence obdrží jeho souhlas na základě oznámení dle odstavce 3 a následného posouzení činnosti zpracování osobních údajů a jejich ochrany. V případě nesouhlasu pověřence je další postup konzultován s osobami uvedenými v čl. 7 a 8.
5. Pověřenec nebo jím pověřená osoba zanese informace o nové činnosti zpracování osobních údajů nebo o změnách stávající činnosti zpracování osobních údajů do registru, a to na základě údajů dle výše uvedeného odstavce 3, po vyjádření souhlasu pověřence se zpracováním nebo změnou zpracování osobních údajů dle odstavce 4.
1. Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným osobám či skupinám osob, zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu (např. ve veřejné části internetových stránek univerzity).
2. Student může po svém přihlášení do informačního systému univerzity (dále jen „systém“) nastavit, že údaje o jeho osobě může anonymní uživatel vyhledat.
3. Pokud je vyhledání studenta povoleno, zobrazí se o něm tyto údaje:
a. příjmení a jméno (resp. příjmení a jména),
b. tituly,
c. fakulta,
d. studijní program, studijní obor, popřípadě specializace,
e. ročník studia,
f. v případě již ukončených studií akademický rok ukončení studia.
4. Student může po svém přihlášení do systému nastavit, které další údaje o něm mají být zveřejněny.
5. Anonymní uživatel systému nebo přihlášený uživatel, který není zaměstnancem univerzity nebo vyučujícím (dále jen „anonymní uživatel“), nemůže vyhledat studenta podle zadaných kritérií, nestanovil-li vyhledávaný student postupem podle odstavce 2, že toto vyhledání je povoleno.
6. Osoba, která na univerzitě studovala a jejíž studium již bylo ukončeno, může povolit vyhledání svých údajů jedním z těchto dvou postupů:
a. pokud zná své přihlašovací údaje do systému, může se do něj přihlásit a povolit vyhledání svých údajů přímo v nastavení systému,
b. může požádat o změnu nastavení prostřednictvím mailové adresy helpdesk@is.cuni.cz nebo prostřednictvím pověřence.
7. Osoby, které na univerzitě studovaly a jejichž studium již bylo ukončeno, nejsou anonymním uživatelem vyhledatelné, pokud tato osoba nestanovila postupem podle odstavce 6, že toto vyhledání je povoleno; tímto není dotčeno ustanovení odstavce 8.
8. U osob, které obhajovaly závěrečnou práci po 1. 1. 2006, jsou v souvislosti se zveřejňováním závěrečných prací dle § 47b zákona o vysokých školách zveřejňovány tyto údaje:
a. příjmení a jméno (resp. příjmení a jména),
b. tituly,
c. datum narození,
d. fakulta,
e. studijní program, studijní obor studia, popřípadě specializace,
f. název pracoviště, které vypsalo práci,
g. typ práce (bakalářská, diplomová, rigorózní, disertační),
h. název práce,
i. kompletní text práce a přílohy práce,
j. jazyk práce,
k. klíčová slova k práci,
l. abstrakt,
m. vedoucí práce,
n. konzultant práce,
o. oponenti práce,
p. posudek vedoucího práce,
q. posudek oponenta, resp. oponentů práce,
r. datum obhajoby,
s. záznam o průběhu obhajoby,
t. výsledek obhajoby (udělená klasifikace).
9. Pokud student aktuálně působí v samosprávných akademických či poradních orgánech univerzity, jsou o něm zveřejněny údaje dle odstavce 11 písm. a), b), c), h), i) a j) a může povolit zveřejnění dalších údajů dle odstavce 13. Pokud se student podílí na výuce, jsou o něm zveřejněny údaje dle odstavce 11 písm. a), b), c), f), i), j), k), l), m), n) a o). Pokud se student podílí na tvůrčí činnosti univerzity, jsou o něm zveřejněny údaje dle odstavce 11 písm. a), b), c), f), m) a n).
10. Údaje o uchazečích ke studiu se nezveřejňují, anonymnímu uživateli není v systému vyhledávání uchazečů o studium povoleno.
11. Univerzita zveřejňuje prostřednictvím svých internetových stránek výstupy ze systému, které obsahují následující údaje o zaměstnancích a základní údaje o jejich pracovněprávních vztazích:
a. jméno,
b. příjmení,
c. tituly,
d. druh pracovněprávního vztahu (pracovní smlouva, dohoda o pracovní činnosti, dohoda o provedení práce),
e. fakultu nebo další součást univerzity, na níž je pracovněprávní vztah uzavřen,
f. pracoviště, tedy organizační součást nebo součásti fakulty nebo další součásti univerzity, na níž nebo na nichž je práce vykonávána,
g. pracovní zařazení (profesor, docent, odborný asistent, asistent, lektor atd.),
h. funkce na pracovišti a v orgánech univerzity, fakult a dalších součástí,
i. kontaktní údaje v souvislosti s univerzitou (adresy pracovišť, umístění kanceláře, telefonní a faxová čísla, e-mailové adresy),
j. vědní obor nebo jinou specializaci zaměstnance,
k. konzultační hodiny,
l. průběh akademické kvalifikace,
m. podíl na jednotlivých formách tvůrčí činnosti univerzity,
n. informace o vydaných publikacích,
o. výuku uskutečňovanou na univerzitě.
12. Údaje dle odstavce 11 jsou povinně zveřejňovány pro zaměstnance s aktuálně platnou pracovní smlouvou. Pro zaměstnance pracující na základě dohody o pracovní činnosti jsou tyto údaje povinně zveřejněny, nerozhodne-li nadřízený pracovník zaměstnance jinak. Pro zaměstnance pracující na základě dohody o provedení práce jsou údaje o zaměstnanci a jeho pracovněprávním vztahu nezveřejněny, nerozhodne-li nadřízený pracovník zaměstnance jinak.
13. Zaměstnanec má dále právo povolit zveřejnění a zvolit si jeho konkrétní rozsah pro následující údaje:
a. fotografie,
b. životopis,
c. osobní internetové stránky související s jeho působením na univerzitě,
d. případně další údaje, které o sobě zveřejnil sám.
14. V případě společných pracovišť univerzity s jinými institucemi (jde zejména o fakultní nemocnice a ústavy Akademie věd České republiky) univerzita zveřejňuje i údaje zaměstnanců těchto jiných institucí, pokud se podílejí na činnosti univerzity, a to v rozsahu dle odstavce 11 písm. a), b), c) a f) až o).
15. Účastník programu CŽV může po svém přihlášení do systému nastavit, že údaje o jeho osobě může anonymní uživatel vyhledat.
16. Pokud je vyhledání účastníka programu CŽV povoleno, zobrazí se o něm tyto údaje:
a. příjmení a jméno (resp. příjmení a jména),
b. tituly,
c. fakulta nebo další součást univerzity,
d. program CŽV,
e. ročník studia,
f. v případě již ukončených studií programů CŽV akademický rok ukončení studia.
17. Účastník programu CŽV může po svém přihlášení do systému nastavit, které další údaje mají o něm být viditelné.
18. Anonymní uživatel informačního systému nemůže vyhledat účastníka programu CŽV podle zadaných kritérií, nestanovil-li vyhledávaný účastník postupem podle odstavce 15, že toto vyhledání je povoleno.
19. Účastník programu CŽV, který na univerzitě studoval a jehož studium programu CŽV již bylo ukončeno, může povolit vyhledání svých údajů jedním z těchto dvou postupů:
a. pokud zná své přihlašovací údaje do systému, může se do něj přihlásit a povolit vyhledání svých údajů přímo v nastavení systému,
b. může požádat o změnu nastavení prostřednictvím mailové adresy helpdesk@is.cuni.cz nebo prostřednictvím pověřence.
20. V případě akademických funkcionářů a osob aktuálně působících v samosprávných akademických či poradních orgánech univerzity, které nejsou v pracovněprávním vztahu k univerzitě, jsou zveřejňovány údaje dle odstavce 11 písm. a), b), c), h) a i).
1. Poskytování osobních údajů třetím stranám mimo univerzitu se řídí tímto opatřením, nařízením a platnými obecně závaznými právními předpisy.
2. Každé poskytování osobních údajů třetí straně mimo univerzitu musí být zaznamenáno v registru, včetně uvedení rozsahu poskytovaných údajů, účelu poskytnutí a identifikace třetí strany.
3. Za dodržování správného postupu při poskytování osobních údajů třetím osobám mimo univerzitu v souladu s tímto opatřením, nařízením a platnými obecně závaznými právními předpisy jsou odpovědní vedoucí pracovníci pro danou činnost či oblast zpracování dle čl. 9.
1. Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponuje univerzita a které obsahují osobní údaje chráněné podle tohoto opatření, musí být uchovávány pouze v uzamykatelných skříních, nebo k tomu vyhrazených místnostech na pracovištích univerzity, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů nebo zabezpečeny šifrováním. Mimo pracoviště univerzity mohou být odneseny pouze kopie těchto písemností nebo nosičů, a to za podmínek stanovených v odstavci 3. V případě online předávání údajů mimo univerzitu musí být osobní údaje při přenosu chráněny šifrováním a jejich ochrana příjemcem či zpracovatelem dat zajištěna adekvátním způsobem dle nařízení a ošetřena smlouvou. Podstatné náležitosti smlouvy se zpracovatelem jsou uvedeny v příloze č. 1 tohoto opatření.
2. Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní údaje chráněné podle tohoto opatření, musí být zabezpečeny před volným přístupem neoprávněných osob, zpravidla přístupovými hesly, šifrováním či uzamčením. Údaje uložené na těchto technických prostředcích, které nesouvisejí s činnostmi univerzity (např. soukromé soubory zaměstnanců a studentů univerzity), nepodléhají tomuto opatření.
3. Kopie osobních údajů chráněných podle tohoto opatření musí být pořizovány na technické nosiče informací podle provozních pravidel stanovených pro jednotlivá zpracování údajů a uchovávány v uzamykatelných skříních na pracovištích univerzity, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů nebo zabezpečeny šifrováním. V případě, že tyto kopie opustí prostory univerzity, musí být dodatečně zabezpečeny (uzamčeny, zašifrovány apod.) tak, aby se předešlo jako nahodilému přístupu neoprávněné osoby k nim, tak cílenému pokusu o neoprávněný přístup k těmto údajům.
4. V případě, kdy zaměstnanec nebo student univerzity zjistí nebo nabude podezření, že by mohlo dojít nebo že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně oznámit pověřenci a osobám uvedeným v čl. 7 a 8.
5. Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu podle čl. 33 nařízení a oznamování případů porušení ochrany osobních údajů subjektu údajů podle čl. 34 nařízení provádí po předchozí konzultaci s osobami uvedenými v čl. 7 a 8 pověřenec.
1. Opatření rektora č. 28/2015 – Zpracování osobních údajů studentů, uchazečů o studium, zaměstnanců a dalších osob na Univerzitě Karlově – se zrušuje.
2. V případech již existujících činností zpracování osobních údajů budou kompetence vedoucích pracovníků dle čl. 9 stanoveny nejpozději do deseti dnů po nabytí účinnosti tohoto opatření.
3. Výkladem jednotlivých ustanovení tohoto opatření je pověřen pověřenec dle čl. 15 odst. 1.
4. Kontrolu dodržování tohoto opatření vykonává pověřenec dle čl. 15 odst. 1.
5. Toto opatření nabývá účinnosti dne 25. května 2018.
Přílohy:
Příloha č. 1 – Podstatné náležitosti smlouvy v oblasti zpracovávání osobních údajů
Příloha č. 2 – Povinnost mlčenlivosti zaměstnance
V Praze dne 27. dubna 2018
prof. MUDr. Tomáš Zima, DrSc., MBA
rektor
Příloha č. 1 k opatření rektora č. 16/2018 – Zásady a pravidla ochrany osobních údajů
Náležitosti každé smlouvy mezi správcem a zpracovatelem jsou taxativně uvedeny v čl. 28 GDPR, zejména v odst. 2. a 3. a v ust. § 32 nově připravovaného zákona o ochraně osobních údajů.
Ve smlouvě se zpracovatelem musí být vždy jednoznačně stanoven předmět a doba trvání zpracování osobních údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a veškeré povinnosti a práva správce a zpracovatele.
Předmět zpracování by mohl být totožný s předmětem smlouvy, např. „Předmětem smlouvy je zpracování dále uvedených osobních údajů“.
Doba trvání zpracování by měla být vždy totožná s dobou platnosti smlouvy, protože po skončení platnosti zpracovatel údaje vrátí zpět správci, nebo bude mít povinnost je vymazat.
Pojmem povaha osobních údajů lze zřejmě rozumět, jak se tyto údaje budou zpracovávat, zda písemně, či elektronicky – to se týká nejen zpracování samotného, ale i získávání údajů od subjektů údajů.
Účelem bude konkretizace naší potřeby, tj. např. k zajištění pracovněprávních zaměstnaneckých vztahů, nebo k vedení matriky studentů, či k vyhotovení a předání průkazů studentů/zaměstnanců, nebo zpracování lékařské zprávy pacienta atd.
Typem osobních údajů lze rozumět konkrétní identifikaci těchto údajů, jméno a příjmení, datum narození, RČ, číslo OP/či pasu, bydliště, kontakty, pohlaví, nemoci atd.
Pod kategorii subjektu údajů patří, zda jde o dospělého, či dítě, zaměstnance, či studenta, pacienta, či další třetí osobu, smluvní stranu apod.
Práva a povinnosti správce a zpracovatele mohou být široce vymezeny, ale v každém případě by ve smlouvě měla být alespoň obdoba dále uvedených ustanovení:
- „Bez předchozího písemného souhlasu správce není zpracovatel oprávněn přenést ani část svých povinností, vyplývajících z této smlouvy, na další třetí osobu (na dalšího zpracovatele). Pokud dojde k přenesení všech, nebo části povinností zpracovatele s předchozím písemným souhlasem správce na třetí osobu, odpovídá zpracovatel za případnou škodu způsobenou touto třetí osobou tak, jakoby škodu způsobil sám, a to bez jakéhokoliv omezení.“
- Pokud bude ke zpracování osobních údajů třeba předchozí souhlas subjektu údajů, je třeba tuto skutečnost uvést do smlouvy – „Správce/zpracovatel se zavazuje předem zajistit písemný souhlas se zpracováním osobních údajů dle této smlouvy od jednotlivých subjektů osobních údajů, jejichž osobní údaje budou dle této smlouvy zpracovávány.“.
- „Zpracovatel se zavazuje zajistit všechna bezpečnostní, technická a organizační zabezpečení ochrany osobních údajů a jiná opatření požadovaná v čl. 32 nařízení; zejména přijmout veškerá opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, zničení či ztrátě, jakož i jejich zneužití, včetně opatření týkajících se práce s informačními systémy, v nichž jsou tyto osobní údaje zpracovávány.
Zpracovatel se dále zavazuje:
a. neužívat osobní údaje k jinému než stanovenému účelu podle této smlouvy a zpracovávat osobní údaje pouze na základě doložených pokynů správce s výjimkou těch případů, kdy tato povinnost je zpracovateli uložena přímo právním předpisem;
b. učinit s odbornou péčí všechna kontrolní a ochranná opatření za účelem ochrany osobních údajů a umožní kontroly, audity či inspekce prováděné správcem nebo jiným příslušným orgánem dle právních předpisů;
c. s odbornou péčí dodržovat všechna kontrolní a ochranná opatření za účelem ochrany osobních údajů;
d. poskytnout správci bez zbytečného odkladu nebo ve lhůtě, kterou stanoví správce, součinnost potřebnou pro plnění zákonných povinností správce spojených s ochranou osobních údajů, jejich zpracováním a s plněním smlouvy o zpracování osobních údajů;
e. informovat správce o všech skutečnostech majících vliv na zpracování osobních údajů;
f. oznámit správci každou pochybnost o dodržování zákona či narušení bezpečnosti osobních údajů;
g. bude-li to třeba, poskytnout správci veškerou podporu a pomoc při styku a jednáních s Úřadem pro ochranu osobních údajů a se subjekty údajů;
h. neprodleně reagovat na žádosti subjektů, tyto informovat o všech jejich právech a na žádost umožnit přístup k informacím o zpracování;
i. po ukončení poskytování služeb spojených se zpracováním dle potřeb správce řádně naložit se zpracovávanými osobními údaji, tj., všechny osobní údaje buď vymazat, nebo je vrátit správci, a to dle pokynu správce;
j. dodržovat všechny ostatní povinnosti stanovené právními předpisy, i pokud tak není výslovně uvedeno ve smlouvě;
k. vynaložit veškeré možné úsilí na odstranění protiprávního stavu ve vztahu k převedeným osobním údajům dle této smlouvy, kterým by došlo k porušení povinností jednáním příslušné smluvní strany, a to neprodleně poté, co taková skutečnost nastane.
- Veškeré informace obsahující osobní údaje, které si smluvní strany při realizaci této smlouvy poskytnou, jsou důvěrné. Zpracovatel se zavazuje, že tyto informace neposkytne třetí osobě ani je nepoužije v rozporu s účelem jejich poskytnutí (tj. za účelem splnění této smlouvy), není-li touto smlouvou výslovně stanoveno jinak. Zpracovatel se zavazuje, že neprozradí informace vztahující se k této smlouvě žádné další osobě a že tyto informace nikdy nepoužije k jinému než účelu stanovenému touto smlouvou, a to jak po dobu trvání této smlouvy, tak i po jejím ukončení (s výjimkou případů, kdy mu to přikáže právní předpis nebo, kdy se na tomto obě smluvní strany písemně dohodnou). Zpracovatel dále zajistí, aby se osoby oprávněné zpracovávat osobní údaje, zavázaly k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti.“.
Za dodržování výše uvedených povinností a závazků zpracovatele se doporučuje stanovit ve smlouvě smluvní pokuty a v případě opakování porušování ze strany zpracovatele i právo okamžitého odstoupení od smlouvy.
Do smlouvy dále napsat, že všechny dokumenty, které se týkají zpracování osobních údajů, ať již správcem a poskytnutých zpracovateli, nebo zpracovatelem samotným, musí být uloženy a archivovány na bezpečném místě, na adrese ……/doplnit adresu, která bude co nejblíže zpracovateli, v každém případě jen na území ČR/.
V případě, že zpracovatel by byla zahraniční osoba, doporučuje se stanovit do smlouvy, že: „Všechny dokumenty a komunikace, týkající se zpracování osobních údajů a zajištění činností dle smlouvy, budou v českém jazyce a případné spory se budou řešit dle českého práva u soudu místně a věcně příslušného sídlu správce. Doplnit Rozhodčí řízení je vyloučené.“.
I v případě, že smlouva bude uzavřena na dobu určitou, je účelné do smlouvy doplnit i možnost předčasné výpovědi smlouvy, a to pro případ, že dojde k pochybením ze strany zpracovatele, která sice nezaloží právo na odstoupení, ale přesto bude obezřetné smlouvu ukončit, popř. to bude pro UK ekonomicky výhodné, protože bude k dispozici jiný a lepší zpracovatel. Protože však výpověď by měla být reciproční, měla by se stanovit taková délka výpovědní doby, aby UK nebyla ohrožena, při výpovědi ze strany zpracovatele.
Příloha č. 2 k opatření rektora č. 16/2018 – Zásady a pravidla ochrany osobních údajů
„Zaměstnanec se zavazuje, že bude zachovávat mlčenlivost o informacích a skutečnostech, které se dozví při výkonu svého zaměstnání, označených zaměstnavatelem jako důvěrné podle ust. § 276 odst. 3 zákona č. 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů (dále jen „ZP“), nebo které podléhají obchodnímu tajemství dle ust. § 504 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších předpisů, nebo nejsou zaměstnavatelem zveřejněny či určeny ke zveřejnění.
Zaměstnanec se dále zavazuje zachovávat mlčenlivost o osobních údajích, se kterými přijde během své práce do styku a jejichž zveřejnění by ohrozilo zabezpečení těchto osobních údajů, a to v souladu s ust. § 15 odst. 1 zákona č. 101/2000 Sb., o ochraně osobních údajů, v platném znění. Zaměstnanec bere na vědomí, že tato povinnost mlčenlivosti nezaniká ukončením pracovního poměru.
Zaměstnanec dále bere na vědomí, že porušení těchto povinností může být posuzováno jako porušení povinností zaměstnance podle ust. § 301 písm. d) ZP. V případě vzniku škody v souvislosti s tímto porušením závazku mlčenlivosti odpovídá za škodu zaměstnavateli podle ust. § 250 odst. 1 ZP.“
Oddělení pro vědu a výzkum
Univerzita Karlova
Fakulta humanitních studií
Pátkova 2137/5
182 00 Praha 8 - Libeň
E-mail: