Ochrana osobních údajů-GDPR

Obsah:

1. Úvod

2. Zpracování osobních údajů (čl. 6, 7, 8 nařízení)

3. Zpracování citlivých údajů (čl. 9 nařízení)

4. Informace o ochraně osobních údajů (čl. 12 nařízení)

5. Právo na přístup k osobním údajům (čl. 15 nařízení)

6. Právo na opravu osobních údajů (čl. 16 nařízení)

7. Právo na výmaz osobních údajů (čl. 17 a 18 nařízení)

8. Právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení)

9. Prevence a výchova k ochraně osobních údajů

10. Obecné zásady pro zpracování osobních údajů dle čl. 5 nařízení EU

11. Organizační a technická opatření k zabezpečení osobních údajů ve škole dle čl. 32 až 26 nařízení

12. Odpovědnost školy jako správce osobních údajů (čl. 24 a 25 nařízení)

13. Odpovědnost zpracovatele osobních údajů (čl. 28 a 29 nařízení)

14. Záznamy o činnostech zpracování (č. 30 nařízení)

15. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu čl. 33 a 34 nařízení

16. Jmenování pověřence pro ochranu osobních údajů čl. 37 až 39 nařízení

17. Porušení povinnosti mlčenlivosti

18. Poplatky za poskytnuté informace, odmítnutí žádosti

19. Seznámení s ochranou osobních údajů

1. Úvod

Tato směrnice upravuje postupy školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice rovněž upravuje některé povinnosti školy, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji.

Tato směrnice je závazná pro všechny zaměstnance školy. Směrnice je závazná i pro další osoby, které mají se školou jiný právní vztah (smlouva o dílo, nájemní smlouva) a které se zavázaly postupovat podle této směrnice.

Základní pojmy jsou:

  Správce osobních údajů = škola

  Zpracovatel osobních údajů= externí firma

  Subjekt údajů= dítě, zákonný zástupce, zaměstnanec školy

2. Zpracování osobních údajů (čl. 6, 7, 8 nařízení)

Osobní údaje se mohou ve škole zpracovávat pouze na základě právního předpisu nebo na základě souhlasu subjektu údajů (zákonný zástupce dítěte, zaměstnanec školy).

Zpracování osobních údajů může být také na základě veřejného zájmu nebo při výkonu veřejné moci.

Souhlas subjektu údajů ( zákonný zástupce dítěte, zaměstnanec školy) musí být informovaný, konkrétní a písemný a správce osobních údajů je povinen získat jej ještě předtím, než zpracování osobních údajů zahájí, a také je povinen jej po celou dobu zpracování prokázat. Souhlas se zpracováním osobních údajů vydává zákonný zástupce dítěte (§ 31 občanského zákoníku).

Ředitel školy důsledně zakazuje předávání osobních údajů dětí třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.

3. Zpracování citlivých údajů (čl. 9 nařízení)

Zvláštní pozornost je věnována zpracování citlivých údajů. Jedná se například o:

  údaje o zdravotním stavu dítěte nebo zaměstnance školy,

  mentální omezení (poruchy učení, …),

  specifické stravovací plány související se zdravotním stavem, filozofickým nebo náboženským přesvědčením, 

  popis rodinného prostředí dítěte

Nevhodná práce s citlivými údaji může mít nepříznivý vliv na dotčené osoby. Škola proto zpracovává tyto údaje pouze v nezbytném rozsahu a dbá ve zvýšené míře o jejich zabezpečení.

4. Informace o ochraně osobních údajů (čl. 12 nařízení)

Veškeré informace o tom, jak škola zajišťuje ochranu osobních údajů, jsou v listinné podobě uloženy ve spisovně školy, v elektronické podobě na www stránkách školy.

Informace o ochraně osobních údajů jsou zpracovány v podobě:

  Směrnice ředitele školy k ochraně osobních údajů 

  Informace o ochraně osobních údajů pro zaměstnance 

  Informace o ochraně osobních údajů pro zákonné zástupce dětí

Ředitel školy informuje zaměstnance školy nejméně 1x ročně o ochraně osobních údajů ve škole na poradě a 1x ročně zákonné zástupce dětí (třídní schůzky) o ochraně osobních údajů ve škole.

5. Právo na přístup k osobním údajům (čl. 15 nařízení)

Každý subjekt údajů (dítě, zákonný zástupce dítěte, zaměstnanec školy) má právo na přístup k osobním údajům, které se ho týkají. Postup je následující:

  Subjekt údajů (dítě, zákonný zástupce dítěte, zaměstnanec školy) má právo si podat žádost o informaci, zda a v jakém rozsahu jsou zpracovávány jeho osobní údaje.

  Škola musí subjektu údajů ( zákonným zástupcům dětí), poskytnout kopie zpracování osobních údajů.

  Škola poskytuje subjektu údajů informace o ochraně osobních údajů bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může ředitel školy rozhodnout o uložení přiměřeného poplatku, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce (ředitel školy). V takovém případě se výše poplatku řídí sazebníkem úhrad za poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím, viz kapitola 18 Poplatky.

  Žádost nelze odepřít z technických nebo jiných provozních důvodů.

  Škola vždy dbá na to, aby žádost o poskytnutou informaci zjišťovala pouze oprávněný zájem žadatele.

  Škola vždy dbá na to, aby při poskytnutí informace o osobních údajích nebyly zároveň poskytnuty osobní údaje jiných osob.

Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.

6. Právo na opravu osobních údajů (čl. 16 nařízení)

Každý subjekt údajů (dítě, zákonný zástupce žáka, zaměstnanec školy) má právo na opravu k osobním údajům, které se ho týkají. Může se jednat o změnu adresy, jména, bydliště, telefonního čísla apod. .

Třídní učitelé do 30. září školního roku zapracují do školní matriky dotazník na kontrolu aktuálnosti osobních údajů dětí. Další doplnění nebo změny ve školní matrice provádějí dle aktuální změny.

Zaměstnanci školy mají povinnost ohlašovat zaměstnavateli všechny skutečnosti, které jsou nezbytné pro vedení personální a mzdové dokumentace.

Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.

7. Právo na výmaz osobních údajů (čl. 17 a 18 nařízení)

Každý subjekt údajů (dítě, zákonný zástupce dítěte, zaměstnanec školy) má právo na výmaz k osobním údajům, které se ho týkají.

Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je školní matrika, přijímací řízení, personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního řádu školy  a této směrnice.

Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjektu údajů (dítě, zákonný zástupce dítěte, zaměstnanec školy) dává souhlas se zpracováním osobních údajů (viz Informovaný souhlas se zpracováním osobních údajů).

V závěru školního roku se vždy provádí kontrola dokumentace školy, aby dále neobsahovala zbytečné osobní údaje (děti odcházející ze školy, rozvázání pracovního poměru zaměstnance apod.).

Ředitel školy důsledně zakazuje předávání osobních údajů dětí a jejich zákonných zástupců třetím osobám soukromého práva (nabídky pomůcek, knih, aktivit pro žáky). Obdobně se postupuje i u osobních údajů zaměstnanců školy.

Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.

8. Právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení)

Každý subjekt údajů (dítě, zákonný zástupce dítěte, zaměstnanec školy) má právo vznést námitku proti zpracování osobních údajů, které se ho týkají.

Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je školní matrika, přijímací řízení, personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního řádu školy a této směrnice.

Právo vznést námitku proti zpracování osobních údajů se týká pouze případů, kdy subjektu údajů (dítě, zákonný zástupce dítěte, zaměstnanec školy) dává souhlas se zpracováním osobních údajů (viz Informovaný souhlas se zpracováním osobních údajů).

Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu, nejpozději do 1 měsíce, ve výjimečných případech do 2 měsíců.

9. Prevence a výchova k ochraně osobních údajů

Děti zasluhují zvláštní ochranu osobních údajů, protože si mohou být méně vědomy dotčených rizik, důsledků a záruk a svých práv v souvislosti se zpracováním osobních údajů. Tato zvláštní ochrana se vztahuje zejména na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních i uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem.

Koordinátor ŠVP připraví vhodná průřezová témata, ve kterých budou žáci seznamováni s problematikou ochrany osobních údajů:

  zásady ochrany osobních údajů,

  práva při ochraně osobních údajů,

  používání osobních údajů pro účely marketingu,

  bezpečném využívání informačních technologií a chování na internetu.

10. Obecné zásady pro zpracování osobních údajů dle čl. 5 nařízení EU

Při nakládání s osobními údaji se škola, její zaměstnanci a další osoby řídí těmito zásadami:

  Postupovat při nakládání s osobními údaji v souladu s právními předpisy.

  S osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat.

  Zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné.

  Zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby (zejména děti požívají vyšší ochrany), při ochraně oprávněných zájmů školy, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu.

  Respektovat práva člověka, který je subjektem údajů, zejména práva dát a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.

  Poskytovat při zpracování osobních údajů zvláštní ochranu dětem.

  Poskytovat informace o zpracování osobních údajů, komunikovat.

  Při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím.

  Spolupracovat s pověřencem pro ochranu osobních údajů.

11. Organizační a technická opatření k zabezpečení osobních údajů ve škole dle čl. 32 až 26 nařízení

Škola všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Škola uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň řediteli školy známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením ředitele školy nebo jím pověřené osoby.

- Osobní údaje dětí ve školní matrice

Osobní údaje ve školní matrice jsou vedeny písemnou formou, školní matrika je uložena v ředitelně školy v určené zamykatelné skříni.

Nahlížet do školní matriky mohou v případě potřeby pouze třídní učitelé. Během práce s matrikou nesmí být ponechána bez dohledu, po ukončení zpracování musí být neprodleně navrácena na určené místo.

- Archiválie

Archiválie jsou ukládány v půdní místnosti v uzamčených skříních, klíče od těchto skříní má ve správě ředitelka školy.

-Ochrana osobních údajů a správní řízení

Jedná se o rozhodování ředitele školy o právech a povinnostech v oblasti státní správy podle § 165 odst. 2 a § 183 odst. 1 školského zákona.

O průběhu správního řízení se vede spis, který je řádně uložen a zabezpečen dle spisového a skartačního řádu ve škole.

V souladu s § 36 odst. 3 zákona č. 500/2004 Sb., správní řád, má zákonný zástupce možnost ještě před vydáním rozhodnutí seznámit se s obsahem spisu vyjádřit se k podkladům rozhodnutí.

-Ochrana osobních údajů a organizace výchovy a vzdělávání

Organizace výchovy a vzdělávání je nezbytně spojena se zpracováním osobních údajů. Lze rozlišit tři skupiny při zpracovávání osobních údajů:

1. Osobní údaje zpracovávané na základě školského zákona

  školní matrika,

  doklady o přijímání dětí, o průběhu vzdělávání a jeho ukončování,

  třídní kniha,

  záznamy z pedagogických rad,

  kniha úrazů a záznamy o úrazech dětí, popřípadě lékařské posudky

2. Osobní údaje zpracovávané podle zvláštních zákonů

  podněty pro jednání OSPOD, přestupkové komise

  podklady žáků pro vyšetření v PPP,

  hlášení trestných činů

  údaje o zdravotní způsobilosti dítěte na zotavovacích akcích

3. Osobní údaje zpracovávané na základě informovaného souhlasu

  seznamy žáků na mimoškolních akcích a  zájezdech,

  jména osob, které budou odvádět dítě z mateřské školy,

  kontakt na zákonné zástupce (není shodný s adresou dítěte),

  fotografie za účelem propagace či zvýšení zájmu o umístění dětí v mateřské škole,

  zveřejnění výtvarných a obdobných děl žáků na výstavách a přehlídkách,

  záznamy z kamerového systému školy pořizované za účelem bezpečnosti žáků a ochrany jejich majetku.

Organizace výchovy a vzdělávání

Vedle těchto tří skupin je pro běžný provoz školy nezbytné zpracovávat další osobní údaje.

Jedná se například o:

  průběžné hodnocení výchovy a vzdělávání (záznamové listy dětí),

  organizační seznamy žáků (kteří půjdou do divadla, na výlet…),

  jiné osobní informace o žákovi (úmrtí v rodině, rozvod rodičů, …).

Oporu v zákoně lze vysledovat pouze nepřímo:

  hodnocení žáků (průběžná klasifikace)

  organizace vzdělávání

 § 34 zákona č. 561/2004 Sb., školský zákon, vyhláška č. 14/2005 Sb., o předškolním vzdělávání,

Z praktického hlediska je nemožné neustále se obracet přes informované souhlasy na žáky a zákonné zástupce nebo konzultovat každý jeden případ s pověřencem, aby se mohlo pracovat s těmito údaji.

Zásady pro práci s informacemi

O práci s těmito osobními údaji jsou pedagogičtí pracovníci řádně poučeni, aby důsledně dodržovali obecné zásady při práci s těmito informacemi:

  shromažďovat pouze nezbytné osobní údaje (například seznam žáků bez rodných čísel),

  osobní údaje mít pod kontrolou (uzamčená skříňka v ředitelně),

  již nepotřebné údaje skartovat,

  zachovávat mlčenlivost o údajích,

  neposkytovat údaje osobám mimo výchovně vzdělávací proces.

Písemná hodnocení a posudky, která se odesílají mimo školu

Písemná hodnocení a posudky, která se odesílají mimo školu, např. pro potřeby soudního řízení, OSPOD, PPP, zpracovávají zaměstnanci určení ředitelem školy. Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem školy a mají povinnost zachovávat mlčenlivost o dané věci.                                                   

Seznamy žáků

Seznamy žáků se nezveřejňují, neposkytují bez vědomého souhlasu zákonných zástupců žáků jiným fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu nadřízeného škole nebo nevyplývá-li to ze zákona.                                     

Ochrana osobních údajů a poskytování poradenských služeb

Škola má podle vyhlášky č. 72/2005 Sb., o poskytování poradenských služeb, povinnost poskytovat poradenské služby zákonným zástupcům dětí.

Osobní údaje o dětech

Osobní údaje o dětech a jejich rodičích, která se pedagogičtí pracovníci školy dozvědí v souvislosti s výkonem své poradenské činnosti, jsou ochraňovány v souladu s nařízení EU 679/2016 ze dne 27. 4. 2016, obecné nařízení na ochranu osobních údajů, a směrnice ředitele školy k ochraně osobních údajů.

Jedná se zejména o:

  zachovávají mlčenlivost o skutečnostech týkajících se osobních údajů dětí a zákonných zástupců dětí,

  dbají, aby programy, se kterými pracují při poskytování poradenské služby, byly nainstalovány pouze na určených počítačích, byly přístupné až po přihlášení uživatele ke školní počítačové síti, pro spuštění programu je nezbytné přihlášení uživatele,

  dokumentaci v listinné podobě ukládají v zamykatelné skříni v ředitelně školy, vydávají ji na základě žádosti odpovědného pracovníka, během zpracování nesmí být ponechána bez dohledu, po ukončení zpracování musí být neprodleně navrácena na určené místo,

  minimalizace zpracovávaných údajů.

Citlivé údaje o žácích

Zvláštní pozornost je třeba věnovat citlivým údajům o dětech. Citlivými údaji jsou zejména:

  zdravotní stav dítěte,

  závěry pedagogicko-psychologické poradny,

  lékařské posudky,

  závěry jiných institucí.

Při předávání informací, které obsahují citlivé údaje, podepíše zákonný zástupce dítěte souhlas se zpracováním citlivých údajů.

- Webové stránky školy, fotografie a projevy osobní povahy

Zpracování osobních údajů 

Osobní údaje žáků se  na webových stránkách nezveřejňují.

Ochrana osobních údajů a pořizování fotografií

Mezi osobní údaje patří i fotografické záznamy a videozáznamy (dále jen fotografie). Činnost školy je neodmyslitelně spojena s pořizováním fotografií dětí i zaměstnanců školy, popřípadě dalších osob (zákonní zástupci žáků, účastníci kurzů apod.). Na webu školy se nikdy nezveřejňují fotografie dětí s osobními údaji, pouze fotografie zachycující průběh školních akcí a jsou označeny pouze  názvem akce.

Ředitel školy zodpovídá, že :

   pořizování fotografií za účelem propagace a informování o činnosti školy bylo vždy na základě informovaného souhlasu  zákonných zástupců

  zaměstnanci školy znají oprávněné zpracování osobních údajů – fotografií,

  aby zveřejňované fotografie byly vhodné.

Písemnosti žáků a jiné projevy osobní povahy

Jedná se o:

  výtvarné práce,

  vystoupení

dětí, která jsou zveřejňována za účelem prezentace a propagace školy a informování o aktivitách školy.

Tyto dokumenty mohou být zveřejňovány jenom na základě informovaného souhlasu zákonných zástupců dětí.

- Mimoškolní akce

Ochrana osobních údajů a mimoškolní akce

Při organizování mimoškolních akcí je nezbytné pracovat s osobními údaji dětí.

Ředitel školy zajistí:

  jakou formou dá zákonný zástupce souhlas s mimoškolní akcí,

  aby součástí souhlasu byl i informovaný souhlas pro práci s osobními údaji žáků,

  aby seznamy žáků obsahovaly pouze nezbytné osobní údaje,

  aby seznamy sloužily pouze k jednomu danému účelu

  aby fotografie a videa byla zveřejňována pouze s informovaným souhlasem  zákonných zástupců dětí,

  aby fotografie a videa byla vhodná pro prezentaci školy,

  aby byly zabezpečeny dokumenty ke zdravotní způsobilosti a písemné prohlášení zákonných zástupců dítěte.

- Kamerový systém

Ochrana osobních údajů a kamerový systém

V režimu nařízení EU o ochraně osobních údajů (GDPR) jsou takové kamerové systémy, které jsou vybaveny záznamovým zařízením, tedy jejich součástí je uchovávání (zpracování) informací – osobních údajů.

Ředitel školy zajistí:

  stanovení účelu instalace kamerového systému,

  způsob provozování kamerového systému,

  souhlas subjektu údajů (zákonných zástupců, zaměstnanců školy, …),

  informovanost monitorovaných osob o kamerovém systému,

  ochranu zaměstnanců před sledováním zaměstnavatele.

- Smlouvy, účetní doklady a osobní spisy zaměstnanců

Ochrana osobních údajů a smlouvy

Řada smluv obsahuje osobní údaje nebo na základě smluvního vztahu jako zpracovatelé pracují s osobními údaji správce (školy). Jedná se zejména o smlouvy typu:

  zpracování platů zaměstnanců externí firmou,

  provozování cloudového úložiště (uložena školní matrika a další dokumentace školy),

  poskytování pracovně lékařské služby závodním lékařem.

Škola je v pozici správce osobních údajů.

Externí firma poskytující prodej zboží nebo služby je v pozici zpracovatele osobních údajů. I uzavřená smlouva nezbavuje správce (školy) povinnosti chránit osobní údaje

Povinnosti správce (školy):

  využít pro zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR (čl. 28 GDPR),

  zajistit a doložit, že zpracování osobních údajů je prováděno v souladu s GDPR (čl. 24 GDPR).

Povinnosti zpracovatele (externí firma):

  zda je externí poskytovatel služby schopen dostát čl. 28 nařízení EU: 

Ochrana osobních údajů a účetní doklady

Účetní doklady (faktury) jsou dokumenty obsahujícím osobní údaje, na které se GDPR vztahuje. Účetní jednotky jsou povinny uchovávat účetní záznamy pro účely vedení účetnictví po zákonem stanovenou dobu (zákon o účetnictví), jedná se tedy o zpracování osobních údajů.

Pro zabezpečení těchto osobních údajů je nezbytné, aby:

  při práci s účetními doklady se postupovalo podle Směrnice pro oběh a přezkušování účetních dokladů,

  doklady byly řádně uloženy ve spisovně školy, jejich vyzvedávání se řídilo Spisovým a skartačním řádem,

  doklady byly řádně uloženy v archivu školy a po zákonné lhůtě skartovány dle Spisového a skartačního řádu.

Osobní spisy zaměstnanců

  Osobní spisy zaměstnanců jsou uloženy v uzamčené skříni v kanceláři ředitele školy, přístup k nim má ředitel školy nebo zástupce ředitele, zastupuje-li ředitele, mzdová účetní.                                                              

  Zaměstnanci mají právo seznámit se s obsahem svého osobního spisu. O tomto právu jsou zaměstnanci poučeni, zpravidla na poradě.                                                              

  Zaměstnanci školy neposkytují bez právního důvodu žádnou formou osobní údaje zaměstnanců školy cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání.

Ochrana osobních údajů a zabezpečení výpočetní techniky

 Ředitelka školy a vedoucí školní jídelny používají jeden společný počítač, mají zřízen na počítači svůj vlastní účet uživatele s přístupovým heslem, účetní má svůj počítač, rovněž zajištěný přístupovým heslem. Zaměstnanci mají povinnost odhlásit se z PC před odchodem z pracoviště; odhlásit se z PC i při přerušení práce, pokud PC zůstane na pracovišti nezamčeném nebo s přístupem více osob, po ukončení práce vypnout PC.

Ochrana osobních údajů a poskytování dotací z operačních programů

Zpracovávání osobních údajů při realizaci poskytování dotací nemá zásadně výslovnou oporu v zákoně s výjimkou čl.125 odst. 2 písm. d) a e) Nařízení Evropského Parlamentu a Rady č. 1303/2013, podle kterého je mimo jiné možné zpracovávat osobní údaje osob podpořených z dotace, které se uchovávají a zaznamenávají v počítačových systémech o každé operaci nezbytné pro realizaci čerpání dotace.

Při zpracování žádosti o dotaci a další dokumentace při poskytování dotací je třeba zajistit souhlas subjektu údajů.

Ochrana osobních údajů školní jídelna

Školní jídelna se při ochraně osobních údajů řídí všemi dokumenty školy (školní řád, spisový a skartační řád, organizační řád, pracovní náplně a další).

12. Odpovědnost školy jako správce osobních údajů (čl. 24 a 25 nařízení)

Mateřská škola se školní jídelnou Libkovice pod Řípem, příspěvková organizace, zastoupená ředitelkou Evou Šmídovou, jako správce osobních údajů nese odpovědnost za to, že zpracovává osobní údaje dětí, jejich zákonných zástupců a zaměstnanců v souladu s nařízením EU. Tuto odpovědnost nelze přenést na někoho jiného.

Škola jako správce osobních údajů má zpracovaný přehled osobních údajů, které zpracovává na základě zákona a které na základě informovaného souhlasu, viz kapitola 2.

Škola má stanovena technická a organizační opatření k ochraně osobních údajů, viz kapitola 11.

Škola zpracovává pouze takové osobní údaje, jež jsou pro její činnost nezbytné a také po nezbytně nutnou dobu.

13. Odpovědnost zpracovatele osobních údajů (čl. 28 a 29 nařízení)

V případě, že škola bude využívat externí firmu pro zpracování např. účetnictví a mzdového účetnictví,

 externího uložiště informací s osobními údaji apod., uzavře jako správce  písemnou smlouvu, která bude obsahovat povinné náležitosti při zpracování osobních údajů zaměstnanců školy. Jedná se o:

1. povinnost zpracovávat osobní údaje pouze na základě doložených pokynů správce;

2. povinnost zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k mlčenlivosti;

3. povinnost přijmout všechna opatření požadovaná podle čl. 32 nařízení (rizika spojená se zpracováním osobních údajů);

4. povinnost dodržovat podmínky pro zapojení dalšího zpracovatele;

5. povinnost zohledňovat povahu zpracování a být správci nápomocen, jde-li o žádosti člověka, jehož osobní údaje jsou zpracovávány;

6. povinnost být správci nápomocen při zajišťování souladu s povinnostmi vyplývajícími z čl. 32 až 36 nařízení (rizika spojená se zpracováním osobních údajů);

7. povinnost v souladu s rozhodnutím správce osobní údaje vymazat nebo vrátit správci (a zničit kopie);

8. povinnost poskytovat správci informace potřebné k doložení toho, že byly splněny příslušné povinnosti a povinnost umožnit správci provádět audity či inspekce.

Ve všech záležitostech ochrany osobních údajů je zpracovatel podřízen správci osobních údajů.

Viz kapitola 11.10

14. Záznamy o činnostech zpracování (č. 30 nařízení)

Škola jako správce vede v dokumentaci školy písemné záznamy (za písemné se považují i elektronické záznamy) o činnostech zpracování.

Záznam o činnosti zpracování obsahuje:

   jméno a kontaktní údaj správce,

   jméno a kontaktní údaj pověřence pro ochranu osobních údajů,

   účel zpracování,

   popis kategorií subjektů údajů,

   plánované lhůty pro výmaz,

   popis technických a organizačních bezpečnostních opatření.

15. Ohlašování případů porušení zabezpečení osobních údajů dozorovému úřadu čl. 33 a 34 nařízení

Jestliže kterákoliv ze zúčastněných stran (správce, zpracovatel, subjekt údajů) získá podezření, že je porušeno zabezpečení osobních údajů, je postup následující:

1. Ihned o tom informuje ředitele školy a pověřence k ochraně osobních údajů.

2. Ředitel školy a pověřenec pro ochranu osobních údajů zhodnotí, zda došlo k porušení zabezpečení osobních údajů dle článku 33 a 34 nařízení.

3. Ředitel školy a pověřenec pro ochranu osobních údajů zjistí povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro školu.

4. V případě potvrzení bezodkladně, nejpozději do 72 hodin, informují dozorový orgán (Úřad na ochranu osobních údajů).

5. V případě pochybností, zda došlo/nedošlo k porušení zabezpečení osobních údajů je vždy vznesen dotaz na dozorový orgán.

6. V případě, že došlo k porušení zabezpečení osobních údajů, oznámí tuto skutečnost ředitel školy subjektu údajů      ( zákonný zástupce, zaměstnanec).

7. Ředitel školy a pověřenec pro ochranu osobních údajů na základě doporučení dozorového orgánu učiní taková opatření, aby nedocházelo k dalšímu porušování zabezpečení osobních údajů.

16. Jmenování pověřence pro ochranu osobních údajů čl. 37 až 39 nařízení

Ve škole je jmenován pověřenec pro ochranu osobních údajů. Kontakt na pověřence je zveřejněn na webových stránkách školy.

17. Porušení povinnosti mlčenlivosti

1. Pokud zaměstnanec vědomě poruší povinnost mlčenlivosti, bude to zaměstnavatel považovat za porušení pracovní kázně zvlášť hrubým způsobem a může se zaměstnancem okamžitě rozvázat pracovní poměr podle § 55 odst. 1 písm. b) zákoníku práce.

2. Jestliže zaměstnanec, který byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly shromážděné v souvislosti s výkonem veřejné moci, vystavuje se nebezpečí trestního stíhání pro trestný čin dle § 180 zákona č. 40/2009 Sb., trestní zákoník - Neoprávněné nakládání s OÚ.

3. Stejnému postihu se vystavuje zaměstnanec, který byť i z nedbalosti, poruší povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané  v souvislosti s výkonem svého zaměstnání.

18. Poplatky za poskytnuté informace, odmítnutí žádosti

Informace poskytnuté subjektu údajů podle článků 13 a 14 a veškerá sdělení a úkony podle článku 15 až 22 a 34 Obecného nařízení se poskytují a činí bezplatně. Pouze v případě, kdy jsou žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může ředitel školy rozhodnout o uložení přiměřeného poplatku, nebo odmítnout žádosti vyhovět. Zjevnou nedůvodnost dokládá správce. V takovém případě se výše poplatku řídí sazebníkem úhrad za poskytování informací dle zákona č. 106/1999 Sb., o svobodném přístupu k informacím.

19. Seznámení s ochranou osobních údajů

Ředitel školy informuje zaměstnance školy nejméně 1x ročně na poradě o ochraně osobních údajů ve škole.

Třídní učitelé nejméně 1x ročně informují zákonné zástupce žáků (třídní schůzky) o ochraně osobních údajů ve škole.

Kontaktní údaje na pověřence pro ochranu osobních údajů

Ing. Jana Chládková, tel: 739 605 925, e-mail: chladkovagdpr@gmail.com

Tato směrnice vstupuje v účinnost dnem 6.6.2025

V Libkovicích p.Ř., dne 6.6.2025