Směrnice č.
3/2018
Vnitřní norma Vysoké školy technické a ekonomické v Českých Budějovicích
OCHRANA A ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ NA VŠTE
Datum vydání: 24. 5. 2018 Účinnost od: 25. 5. 2018 Účinnost do: odvolání
Číslo jednací: VŠTE004856/2018 Počet stran: 15 Počet příloh: 0
Periodicita kontroly aktuálnosti normy Roční
Ruší předpis - Směrnice č. 6/2007 Zajištění ochrany osobních údajů
Nadřízené předpisy
- Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a
o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů)
Související
předpisy
- zákon č. 111/1998 Sb., zákon č. 101/2000 Sb., zákon č. 262/2006 Sb.
Podřízený předpis - vnitřní normy VŠTE
Rozdělovník zaměstnanci a studenti VŠTE, občan
Vypracoval: Kvestor Garant: Kvestor
Podpis:
Ing. Jaromír Vrbka, v.r.
Podpis:
Ing. Jaromír Vrbka, v.r.
Formálně ověřil: Schválil: Rektor
Podpis:
Bc. Petr Mašek, v.r.
Podpis:
doc. Ing. Marek Vochozka, MBA, Ph.D., v.r.
1
Část I. - Základní ustanovení
Článek 1
Předmět úpravy
(1) Tato směrnice stanoví zásady a pravidla při nakládání s osobními údaji a při jejich
zpracování v rámci Vysoké školy technické a ekonomické v Českých Budějovicích
(dále jen „VŠTE“), stanoví odpovědnost osob zajišťujících ochranu osobních údajů
na VŠTE, vymezuje práva a povinnosti zaměstnanců, studentů, případně dalších fyzických
i právnických osob účastnících se činností souvisejících se zpracováním
těchto údajů.
(2) Předmětem úpravy této směrnice je zpracování osobních údajů realizované zaměstnanci
a studenty VŠTE při plnění jejich pracovních či studijních povinností, případně
dalšími fyzickými a právnickými osobami, které zpracovávají osobní údaje na základě
smlouvy s VŠTE.
(3) Tato směrnice vychází z nařízení Evropského parlamentu a Rady (EU) č. 2016/679
o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném
pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně
osobních údajů) (dále jen „nařízení“) a ze zákona č. 101/2000 Sb., o ochraně osobních
údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon
o ochraně osobních údajů“), s tím, že doplňuje a rozpracovává některá jejich ustanovení
pro úpravu vztahů v rámci VŠTE a stanoví organizační řešení v rámci VŠTE zajišťující
jejich realizaci.
Článek 2
Výklad vybraných souvisejících pojmů
(1) Osobními údaji se rozumí veškeré informace o identifikované nebo identifikovatelné
fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická
osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý
identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor
nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické,
kulturní nebo společenské identity této fyzické osoby.
(2) Zpracováním osobních údajů se rozumí jakákoliv operace nebo soubor operací
s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci
automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání,
strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití,
zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování,
omezení, výmaz nebo zničení.
(3) Správcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura
nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování
osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem
Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria
pro jeho určení.
(4) Zpracovatelem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura
nebo jiný subjekt, který zpracovává osobní údaje pro správce.
2
(5) Profilováním se rozumí jakákoli forma automatizovaného zpracování osobních údajů
spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k
fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního
výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů,
spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
(6) Pseudonymizací se rozumí zpracování osobních údajů tak, že již nemohou být přiřazeny
konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto
dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační
opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné
fyzické osobě;
(7) Evidencí se rozumí jakýkoliv strukturovaný soubor osobních údajů přístupných
podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený
podle funkčního či zeměpisného hlediska;
(8) Příjemcem se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura
nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu,
či nikoli. Orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního
šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování
těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými
pravidly ochrany údajů pro dané účely zpracování.
(9) Třetí stranou se rozumí fyzická nebo právnická osoba, orgán veřejné moci, agentura
nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou
přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních
údajů;
(10)Souhlasem subjektu údajů se rozumí jakýkoli svobodný, konkrétní, informovaný a
jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným
potvrzením své svolení ke zpracování svých osobních údajů;
(11)Porušením zabezpečení osobních údajů se rozumí porušení zabezpečení, které vede
k náhodnému či protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí
nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních
údajů;
(12)Genetickými údaji se rozumí osobní údaje týkající se zděděných nebo získaných genetických
znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či
zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické
osoby;
(13)Biometrickými údaji se rozumí osobní údaje vyplývající z konkrétního technického
zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické
osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení
obličeje nebo daktyloskopické údaje.
(14)Údaji o zdravotním stavu se rozumí osobní údaje týkající se tělesného nebo duševního
zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají
o jejím zdravotním stavu;
(15)Definice dalších pojmů užitých při zacházení a ochraně osobních údajů jsou uvedeny
v čl. 4 nařízení, případně v textu této směrnice tam, kde je to účelné.
3
Článek 3
Zásady zpracování osobních údajů
(1) Zásady zpracování osobních údajů jsou uvedeny v kapitole 2 nařízení. V souladu
s ním musí být osobní údaje:
a) ve vztahu k subjektu údajů zpracovány zákonným, korektním a transparentním
způsobem;
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být
dále zpracovávány způsobem, který je s těmito účely neslučitelný;
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který
jsou zpracovány;
d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná
opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům,
pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny;
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je
nezbytné pro účely, pro které jsou zpracovávány;
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů,
včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření
před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením
nebo poškozením.
(2) Zásady uvedené v tomto článku jsou povinny dodržovat všechny osoby, které se
na zpracování osobních údajů jakkoliv podílejí, přičemž za dodržování těchto zásad
odpovídají osoby uvedené v části druhé tohoto opatření.
Článek 4
Zákonnost zpracování
(1) V souladu s čl. 6 nařízení je VŠTE oprávněna zpracovávat osobní údaje, jen v případě,
že je splněna nejméně jedna z těchto podmínek:
a) zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné
pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné
moci, kterým je pověřen správce;
b) subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden
či více konkrétních účelů.
c) zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt
údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost
tohoto subjektu údajů;
d) zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné
pro splnění právní povinnosti, která se na správce vztahuje;
4
e) zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů
nebo jiné fyzické osoby;
f) zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí
strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní
práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud
je subjektem údajů dítě.
(2) Ustanovení odstavce 1 písm. f) se netýká zpracování osobních údajů prováděného
VŠTE v případech, kdy VŠTE vystupuje jako orgán veřejné moci ve věcech jí svěřených
zákonem č. 111/1998 Sb., zákon o vysokých školách, ve znění pozdějších předpisů
(dále jen „zákon o vysokých školách“) nebo jiným právním předpisem.
Článek 5
Zpracování zvláštních kategorií osobních údajů
(1) Je zakázáno zpracování osobních údajů, které vypovídají o rasovém či etnickém původu,
politických názorech, náboženském vyznání či filozofickém přesvědčení nebo
členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem
jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě
nebo sexuální orientaci fyzické osoby v případech, na které se nevztahují výjimky dle
čl. 9 nařízení a dále výjimky, kterými jsou údaje o:
a) zdravotním stavu v osobních evidencích zaměstnanců a studentů za předpokladu,
že tyto údaje byly subjektem údajů do zmíněné evidence dobrovolně předány
a jsou vedeny v jeho prospěch (např. mají vliv na přijetí ke studiu, poskytování
služeb osobám se specifickými nároky, ubytování v kolejích nebo výpočet
jeho daňové povinnosti či jiných zákonných dávek);
b) členství v odborových organizacích působící na VŠTE uvedené v osobních a
mzdových evidencích zaměstnanců za předpokladu, že byly subjektem údajů
do zmíněné evidence dobrovolně předány a slouží pro placení členských příspěvků
či jiných dávek, včetně účtování o těchto platbách,
c) zvláštní kategorie osobních údajů zpracovávané pro účely projektů/výzkumu.
(2) Zpracování údajů definovaných v odstavci 1 může probíhat pouze na základě výslovného
souhlasu subjektu údajů. Tento souhlas musí být dán písemně, podepsán subjektem
údajů a musí z něho být zřejmé, jakých údajů se týká, k jakému účelu, na jaké
období a kdo jej poskytuje. Zaměstnanec provádějící zpracování osobních údajů musí
být schopen existenci tohoto souhlasu doložit po celou dobu jejich zpracovávání.
5
Část II. – Odpovědné osoby
Článek 6
Odpovědnost konkrétních osob v rámci VŠTE
(1) VŠTE je subjektem odpovědným za zpracování osobních údajů podle čl. 1 odst. 2 nařízení.
VŠTE může vystupovat jak v roli správce, tak v roli zpracovatele. Za účelem
naplňování ochrany osobních údajů tak, jak je požadováno nařízením a zákonem, jsou
v této části směrnice stanoveny osoby participující na zajišťování výše uvedeného
účelu.
(2) Postavení rektora je dáno zákonem, Statutem VŠTE a ostatními vnitřními předpisy
VŠTE. Rektor jedná jako statutární orgán vysoké školy odpovědný za dodržování zásad,
pravidel a postupů při zpracování osobních údajů vně i dovnitř vysoké školy, a
to v případech kde nedošlo k posunu pravomocí na další osoby uvedené v této části.
(3) Kvestor odpovídá rektorovi VŠTE za dodržování zásad, pravidel a postupů při zpracování
osobních údajů realizovaných v oblastech své působnosti dle čl. 13 Statutu
VŠTE.
(4) Prorektoři odpovídají rektorovi VSŤE za dodržování zásad, pravidel a postupů
při zpracování osobních údajů realizovaných v rámci oblasti jejich činnosti a působnosti
dle čl. 10 Statutu VŠTE.
(5) Kancléř odpovídá rektorovi VŠTE za dodržování zásad, pravidel a postupů při zpracování
osobních údajů realizovaných zaměstnanci útvaru Kanceláře rektora při plnění
jejich pracovních povinností, případně dalšími fyzickými a právnickými
osobami, které zpracovávají osobní údaje na základě smlouvy s institucí, ve věcech
mu svěřených dle čl. 7 Organizačního řádu VŠTE.
(6) Ředitelé ústavů odpovídají rektorovi VŠTE za dodržování zásad, pravidel a postupů
při zpracování osobních údajů realizovaných zaměstnanci ústavu a studenty ústavu
při plnění jejich pracovních či studijních povinností, případně dalšími fyzickými a
právnickými osobami, které zpracovávají osobní údaje na základě smlouvy s ústavem
či z jiného právního důvodu, ve věcech jim svěřených čl. 14 Statutu VŠTE.
(7) Ředitel Útvaru pro administraci studia a celoživotní vzdělávání odpovídá rektorovi
VŠTE za dodržování zásad, pravidel a postupů při zpracování osobních údajů realizovaných
zaměstnanci Útvaru pro administraci studia a celoživotní vzdělávání při plnění
jejich pracovních povinností, případně dalšími fyzickými a právnickými
osobami, které zpracovávají osobní údaje na základě smlouvy s institucí ve věcech
mu svěřených dle čl. 8 Organizačního řádu VŠTE.
(8) Vedoucí úseku zahraničních vztahů odpovídá rektorovi VŠTE za dodržování zásad,
pravidel a postupů při zpracování osobních údajů realizovaných zaměstnanci Úseku
zahraničních vztahů při plnění jejich pracovních povinností, případně dalšími fyzickými
a právnickými osobami, které zpracovávají osobní údaje na základě smlouvy
s institucí, ve věcech mu svěřených dle čl. 9 Organizačního řádu VŠTE.
6
Článek 7
Odpovědnost ostatních vedoucích pracovníků VŠTE
(1) Vedoucí pracovník je odpovědný za dodržování zásad, pravidel a postupů (uvedených
v této směrnici, v nařízení a v zákoně) při zpracování osobních údajů realizovaných
v jemu svěřené oblasti, a to včetně zajištění bezpečného uložení dat, a řídí v této
oblasti zpracování osobních údajů prováděná pracovníky jemu podřízenými.
(2) V případě, že vedoucí pracovník v jemu svěřené oblasti zamýšlí provádět dosud neprováděné
zpracování, a to zejména s využitím nových technologií, a toto zpracování
bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek
vysoké riziko pro práva a svobody fyzických osob, provede posouzení vlivu zamýšlených
operací zpracování na ochranu osobních údajů podle čl. 35 nařízení. Za
tímto účelem si vyžádá posudek pověřence pro ochranu osobních údajů dle části třetí.
(3) V registru činností zpracování osobních údajů vedeném dle části IV. jsou u jednotlivých
činností zpracování evidováni vedoucí pracovníci VŠTE, do jejichž kompetence
dané zpracování spadá. V případě pochybnosti o rozdělení těchto kompetencí a v případě
nových činností, rozhodne o osobě kompetentní pro danou činnost zpracování
rektor.
(4) Vedoucí pracovníci jsou povinni zajistit, aby jim podřízení zaměstnanci podílející se
na zpracování osobních údajů, byli VŠTE zavázáni závazkem mlčenlivosti.
Článek 8
Odpovědnost zaměstnanců VŠTE a dalších osob
(1) Zaměstnanci VŠTE, kteří přijdou do styku se zpracováním osobních údajů, jsou povinni
se seznámit s touto směrnicí, nařízením, dalšími relevantními obecně závaznými
právními předpisy. Za toto seznámení odpovídá vedoucí pracovník nadřízený
zaměstnanci.
(2) Osoby uvedené v odstavci 1 jsou povinny zpracovávat osobní údaje vždy jen v rozsahu
a za podmínek stanovených vedoucím pracovníkem, v jehož kompetenci je daná
činnost zpracování osobních údajů.
(3) Osoby uvedené v odstavci 1 jsou povinny zachovávat mlčenlivost o osobních údajích
a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních
údajů. Povinnost mlčenlivosti trvá i po ukončení pracovního poměru, studia nebo výkonu
příslušných prací.
(4) Pokud se zaměstnanec VŠTE či jiná osoba v pracovněprávním vztahu s VŠTE podílí
na zpracování osobních údajů, je odpovědný za jím realizované zpracování osobních
údajů. Při zpracování osobních údajů je povinen dbát případných pokynů pověřence
pro ochranu osobních údajů dle části třetí a poskytovat pověřenci informace, které si
od něj pověřenec vyžádá.
(5) Osoba v pracovněprávním vztahu k VŠTE je oprávněna obrátit se se svým dotazem či
podnětem týkajícím se zpracování a ochrany osobních údajů na pověřence
pro ochranu osobních údajů dle části III.
7
Článek 9
Odpovědnost studentů a účastníků CŽV
(1) V případech, kdy by u seminárních či kvalifikačních prací studentů či účastníků programů
celoživotního vzdělávání (dále „CŽV“) byly zpracovávány osobní údaje, je vedoucí
práce nebo školitel povinen seznámit studenta, resp. účastníka programu CŽV
s povinnostmi dle této směrnice a nařízení a zajistit případné další kroky v souladu s
touto směrnicí.
(2) V případech, kdy vyučující předmětu zadává v rámci výuky předmětu studentům a
účastníkům programů CŽV zpracování práce vyžadující zpracování osobních údajů,
je vyučující povinen seznámit studenta, resp. účastníka programu CŽV, s povinnostmi
dle této směrnice a nařízení a zajistit případné další kroky v souladu s touto směrnicí.
(3) Dále se tato povinnost týká i jiných případů, kdy student zpracovává v rámci svých
povinností projekt či realizuje jinou činnost, v rámci níž jsou zpracovávány osobní
údaje. Další podrobnosti může stanovit vnitřní předpis VŠTE.
Článek 10
Odpovědnost dalších osob podílejících se na zpracování osobních údajů
(1) V případech, kdy se na zpracování osobních údajů, u nichž je VŠTE správcem či zpracovatelem,
podílejí osoby bez přímého právního vztahu s VŠTE, je třeba, aby tyto
osoby byly seznámeny s povinnostmi vyplývajícími z této směrnice a z nařízení a byly
zavázány k dodržování této směrnice např. formou smlouvy či jiným vhodným závazným
způsobem.
(2) Smlouva, jejímž předmětem má být poskytování služeb VŠTE ze strany zpracovatele
osobních údajů, smí být uzavřena pouze s takovou osobou, jež bude plnit funkci zpracovatele,
která bude poskytovat dostatečné záruky zavedení vhodných technických a
organizačních opatření tak, aby dané zpracování splňovalo požadavky podle právní
úpravy na ochranu osobních údajů a byla zajištěna bezpečnost a ochrana osobních
údajů, práv a svobod subjektů údajů.
(3) Je povinností zaměstnance, který za VŠTE o smlouvě vyjednává, příp. ji za VŠTE uzavírá,
ověřit spolehlivost zpracovatele osobních údajů a naplnění předpokladů pro zákonné
zpracování osobních údajů ze strany potenciálního zpracovatele. Dále je povinností
zaměstnance dle věty první oznámit údaje o zpracovateli osobních údajů
pracovníkovi úseku kvestora, pověřenému vedením registru činností zpracování
osobních údajů.
(4) Předchozí písemný souhlas VŠTE k řetězení zpracovatelů pro případy poskytování
zpracovatelských služeb zpracovatelem ze strany třetích osob lze udělit pouze, pokud
je to k plnění úkolů VŠTE nezbytně nutné.
(5) Smlouva o zpracování osobních údajů uzavíraná mezi VŠTE a zpracovatelem musí
splňovat parametry dle čl. 28 nařízení.
8
Část III. – Pověřenec pro ochranu osobních údajů
Článek 11
Jmenování pověřence a jeho postavení
(1) Pověřence pro ochranu osobních údajů na VŠTE (dále jen „pověřenec“) jmenuje a odvolává
rektor na základě jeho profesních kvalit, zejména na základě jeho odborných
znalostí práva a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly uvedené
v čl. 12 této směrnice.
(2) Pověřenec je zaměstnancem VŠTE a je přímo podřízen rektorovi.
(3) Pověřenec je zapojen do veškerých procesů a záležitostí souvisejících s ochranou a
zpracováním osobních údajů na VŠTE.
(4) Pověřenec je za strany VŠTE podporován v udržování svých odborných znalostí a je
mu umožněn přístup k osobním údajům, operacím zpracování a k veškerým zdrojům
potřebným pro plnění úkolů, uvedených čl. 12 této směrnice.
(5) Pověřenci nejsou ze strany VŠTE udělovány žádné konkrétní pokyny, týkající se naplňování
jeho povinností pověřence. Může mu však být rektorem zadáno i plnění jiných
úkolů a povinností. Žádný z těchto úkolů či povinností však nesmí vést ke střetu
zájmů s výkonem funkce pověřence.
(6) Pověřenec je v souvislosti s výkonem svých úkolů vázán mlčenlivostí. Povinnost mlčenlivosti
trvá i po skončení pracovního poměru s VŠTE.
(7) Údaje o pověřenci včetně kontaktu na něj jsou uvedeny ve veřejné části internetových
stránek VŠTE.
Článek 12
Úkoly pověřence
(1) Pověřenec vykonává zejména tyto úkoly:
a) poskytuje informace a poradenství studentům a zaměstnancům VŠTE, kteří provádějí
zpracování osobních údajů, o jejich povinnostech podle této směrnice, nařízení
a dalších obecně závazných právních předpisů v oblasti ochrany osobních
údajů;
b) monitoruje soulad s touto směrnicí, nařízením, dalšími obecně závaznými právními
předpisy v oblasti ochrany osobních údajů a s koncepcemi VŠTE v oblasti
ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a
odborné přípravy pracovníků zapojených do operací zpracování a souvisejících
auditů;
c) dohlíží nad realizací ochrany a zpracování osobních údajů,
d) poskytuje poradenství a odbornou pomoc na požádání, pokud jde o posouzení
vlivu na ochranu osobních údajů, a monitoruje jeho uplatňování podle čl. 35 na-
řízení;
9
e) po předchozí konzultaci s osobami uvedenými v čl. 6 této směrnice zajišťuje ohlašování
případů porušení zabezpečení osobních údajů dozorovému úřadu
podle čl. 33 nařízení a oznamování případů porušení ochrany osobních údajů
subjektu údajů podle čl. 34 nařízení. V případě nepřítomnosti pověřence, zajistí
ohlášení dle tohoto odstavce kancléř.
f) spolupracuje a komunikuje s dozorovým úřadem;
g) působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování
osobních údajů, včetně předchozí konzultace podle článku 36 nařízení.
h) přijímá od zaměstnanců VŠTE návrhy na zahájení nového, resp. změnu dosavadního
zpracování osobních údajů a zaujímá k takovýmto návrhům stanoviska;
i) komunikuje se subjekty údajů, kteří se na něj mohou obracet ve všech záležitostech
souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv
dle této směrnice a nařízení;
j) plní další úkoly vyplývající pro jeho pozici z nařízení, zákona či jiných obecně závazných
právních předpisů, či vyplývajících z této směrnice a ostatních předpisů
VŠTE.
Článek 13
Působnost pověřence na VŠTE
(1) Dozví-li se pověřenec, že hrozí porušení pravidel na ochranu osobních údajů vyplývajících
z nařízení, zákona či této směrnice nebo je-li porušení zjištěno, je povinen na
to upozornit vedoucí pracovníky dle čl. 7 této směrnice a doporučit odstranění závadného
či rizikového stavu. Vedoucí pracovník dle čl. 7 je povinen v přiměřené lhůtě
projednat s pověřencem stav, a pokud se se zjištěním pověřence ztotožnil, zdržet se
dalšího závadného či rizikového chování. Vedoucí pracovník dle čl. 7 je rovněž povinen
přijmout veškerá opatření k tomu, aby se situace neopakovala.
(2) Nesouhlasí-li vedoucí pracovník dle čl. 7 s doporučením pověřence, písemně to sdělí
pověřenci a uvede důvody, proč se domnívá, že nedošlo, či nehrozí, že by mohlo dojít
k porušení pravidel uvedených v první větě odstavce 1. V takovém případě pověřenec
oznámí tuto skutečnost věcně příslušným osobám uvedeným v čl. 6 a postoupí jim
celou dokumentaci.
(3) Ustanoveními odstavce 1 až 3 není dotčena povinnost pověřence po předchozí konzultaci
s osobami uvedenými v čl. 6 ohlásit porušení zabezpečení osobních údajů dozorovému
úřadu a subjektu údajů podle čl. 12 odst. 1 písm. e).
Část IV. – Registr činností zpracování osobních údajů
Článek 14
Registrace a evidence zpracování osobních údajů
(1) Za účelem dosažení přehledu o zpracování osobních údajů na VŠTE se zřizuje registr
činností zpracování osobních údajů (dále jen „registr“). Vedením tohoto registru je
pověřen pracovník úseku kvestora. Odpovědným za vedení registru je kvestor.
10
(2) V registru dle odst. 1 jsou v souladu s čl. 30 nařízení vedeny tyto informace:
a) kontaktní údaje VŠTE a pověřence pro ochranu osobních údajů;
b) účely zpracování;
c) popis kategorií subjektů údajů a kategorií osobních údajů;
d) kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně
příjemců ve třetích zemích nebo mezinárodních organizacích;
e) informace o případném předání osobních údajů do třetí země nebo mezinárodní
organizaci, včetně identifikace této třetí země či mezinárodní organizace, a v případě
předání podle čl. 49 odst. 1 druhého pododstavce doložení vhodných záruk;
f) je-li to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů;
g) je-li to možné, obecný popis technických a organizačních bezpečnostních opatření
uvedených v čl. 32 odst. 1.
Část V. – Subjekt údajů
Článek 15
Subjekt údajů
(1) Subjektem údajů je fyzická osoba, jejíž osobní údaje jsou zpracovávány. Při činnostech
zpracování osobních údajů na VŠTE jsou zpracovávány údaje zejména těchto
subjektů údajů:
a) zaměstnanec v pracovněprávním vztahu k VŠTE,
b) student VŠTE,
c) uchazeč o zaměstnání na VŠTE,
d) uchazeč o studium na VŠTE,
e) bývalý student VŠTE (včetně absolventů),
f) účastník programu CŽV pořádaného VŠTE,
g) obchodní partner (dodavatel, odběratel, zákazník),
h) účastník výzkumu,
i) student jiné vysoké školy nebo student na krátkodobém studijním pobytu na
VŠTE
j) externí spolupracovník (např. školitel, spoluřešitel, spoluautor publikace),
k) návštěvník nebo účastník akce pořádané univerzitou,
l) jiná osoba.
11
Článek 16
Informace poskytované subjektu údajů
(1) VŠTE v roli správce poskytuje subjektu údajů v souladu s čl. 12 nařízení stručným,
transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a
jednoduchých jazykových prostředků v souladu s čl. 13, 14 a 15 nařízení následující
informace:
a) kontaktní údaje VŠTE;
b) kontaktní údaje pověřence pro ochranu osobních údajů;
c) účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpraco-
vání;
d) kategorie dotčených osobních údajů;
e) případné příjemce nebo kategorie příjemců osobních údajů, kterým osobní údaje
byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních
organizacích;
f) případný úmysl VŠTE předat osobní údaje do třetí země (tj. mimo Evropskou
unii) nebo mezinárodní organizaci a odkaz na vhodné záruky a prostředky k získání
kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
g) plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit,
kritéria použitá ke stanovení této doby;
h) existence práva požadovat od správce opravu nebo výmaz osobních údajů týkajících
se subjektu údajů nebo omezení jejich zpracování a práva vznést námitku
proti tomuto zpracování;
i) existence práva podat stížnost u dozorového úřadu;
j) veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány
od subjektů údajů.
(2) Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne
VŠTE subjektu údajů vedle informací uvedených v odstavci 1 další informace uvedené
v čl. 13 odst. 2 a v čl. 14 odst. 2 nařízení.
(3) VŠTE v roli správce dále činí veškerá nutná opatření dle čl. 15 až 22 a 34 nařízení.
(4) Informace dle tohoto článku jsou poskytovány v elektronické formě na webových
stránkách VŠTE, popřípadě jiným vhodným prokazatelným způsobem.
Článek 17
Práva subjektu údajů
(1) Právo subjektu údajů tvoří nedílnou součást ochrany osobních údajů při jejich zpracování.
Jedná se především o právo subjektu údajů na:
a) přístup k osobním údajům dle čl. 15 nařízení;
b) informace o zpracování osobních údajů;
12
c) opravu dle čl. 16 a 19 nařízení;
d) výmaz dle čl. 17 a 19 nařízení;
e) omezení zpracování dle čl. 18 a 19 nařízení;
f) přenositelnost údajů dle čl. 20 nařízení;
g) vznesení námitky a automatizované individuální rozhodování dle čl. 21 a 22 na-
řízení.
(2) Subjekty údajů se mohou obracet ve všech záležitostech souvisejících se zpracováním
jejich osobních údajů a výkonem jejich práv dle tohoto opatření a nařízení na pově-
řence.
(3) O splnění informační povinnosti, o uplatnění práv subjektů údajů, o vyřízení uplatnění
práv subjektu údajů, včetně odmítnutí žádosti subjektu údajů atd., se pořizuje
záznam. Součástí záznamu jsou i podklady, z nichž odpovědná osoba vycházela,
včetně žádosti/přípisu, jehož prostřednictvím subjekt údajů uplatnil své právo.
(4) V případě uplatnění práv subjektu údajů je třeba kvůli ochraně práv a právem chráněných
zájmů vhodným způsobem ověřit totožnost žádajícího subjektu údajů a subjekt
údajů je povinen dostatečným způsobem svou identitu prokázat. Za dostatečný
způsob prokázání identity se považuje, pokud je žádost podána prostřednictvím
zprávy elektronické pošty, která je opatřena ověřeným elektronickým podpisem,
prostřednictvím datové schránky nebo prostřednictvím poskytovatele poštovních
služeb, kdy je písemnost podepsána a podpis jednajícího byl úředně ověřen, a součástí
žádosti jsou identifikační údaje v rozsahu daném § 14 odst. 2 zákona
č. 106/1999 Sb., o svobodném přístupu k informacím.
(5) Pověřenec poskytne subjektu údajů na jeho žádost podle čl. 15 až 22 nařízení informace
o přijatých opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho
měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby a s ohledem
na složitost a počet žádostí prodloužit o další dva měsíce. Pověřenec informuje subjekt
údajů o jakémkoliv takovém prodloužení do jednoho měsíce od obdržení žádosti
spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické
formě, poskytnou se informace v elektronické formě, je-li to možné, pokud subjekt
údajů nepožádá o jiný způsob.
Část VI. – Zveřejňování osobních údajů a jejich poskytování třetím stranám
Článek 18
Zveřejňování osobních údajů
(1) Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným
osobám či skupinám osob, zejména hromadnými sdělovacími prostředky, jiným veřejným
sdělením nebo jako součást veřejného seznamu (např. ve veřejné části internetových
stránek VŠTE ).
(2) Osobní údaje chráněné podle této směrnice lze zveřejňovat pouze o subjektech údajů,
jež jsou zaměstnanci VŠTE nebo zaměstnanci či studenty VŠTE a aktuálně působí v samosprávných
akademických či poradních orgánech VŠTE, a to nejvýše v rozsahu:
13
a) jméno;
b) příjmení;
c) tituly;
d) fotografie;
e) pracovní zařazení na VŠTE;
f) zařazení v organizační struktuře VŠTE;
g) zastávané funkce na VŠTE;
h) kontaktní údaje v souvislosti s VŠTE (adresy pracovišť, telefonní čísla, e-mailové
adresy);
i) životopis;
j) průběh akademické kvalifikace;
k) podíl na jednotlivých formách tvůrčí činnosti VŠTE;
l) informace o vydaných publikacích;
m) výuka uskutečňovaná na VŠTE;
n) akademické osobní www-stránky (tj. WWW-stránky zaměstnanců a studentů
VŠTE související s jejich akademickým anebo studijním působením na VŠTE), případně
další údaje, které si zde subjekt o sobě zveřejnil sám.
(3) Subjekt údajů dle odst. 2 má právo zvolit si konkrétní rozsah zveřejňovaných údajů
uvedených v odst. 2 pod písm. d), i), a n), případně tyto údaje nezveřejnit vůbec.
(4) Anonymní uživatel systému nemůže vyhledat studenta podle zadaných kritérií, nenastaví-li
vyhledávaný student v rámci informačního systému, že toto vyhledání je
povoleno.
(5) Údaje o uchazečích ke studiu se nezveřejňují, anonymnímu uživateli není v systému
vyhledávání uchazečů o studium povoleno.
(6) Účastník programu CŽV může po svém přihlášení do systému nastavit, že údaje o jeho
osobě může anonymní uživatel vyhledat, v opačném případě se nezveřejňují.
(7) V případě akademických funkcionářů či vedoucích pracovníku VŠTE bude zveřejňování
osobních údajů upravováno individuálně.
(8) V případě akademických funkcionářů a osob aktuálně působících v samosprávných
akademických či poradních orgánech VŠTE, které nejsou v pracovním poměru
k VŠTE, bude zveřejňování osobních údajů upravováno individuálně.
Článek 19
Poskytování osobních údajů třetím stranám
(1) Poskytování osobních údajů třetím stranám mimo VŠTE se řídí touto směrnicí, nařízením
a platnými obecně závaznými právními předpisy.
14
(2) O každém poskytnutí osobních údajů třetí straně mimo VŠTE musí být učiněn záznam
v registru, včetně uvedení rozsahu poskytovaných údajů, účelu poskytnutí a identifikace
třetí strany.
(3) Za dodržování správného postupu při poskytování osobních údajů třetím osobám
mimo VŠTE v souladu s touto směrnicí, nařízením a platnými obecně závaznými právními
předpisy jsou odpovědní vedoucí pracovníci pro danou činnost či oblast zpracování
dle čl. 7.
Článek 20
Zabezpečení osobních údajů
(1) Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponuje
VŠTE a které obsahují osobní údaje chráněné podle této směrnice, musí být uchovávány
pouze v uzamykatelných skříních na pracovištích VŠTE, případně na jiných bezpečných
místech určených charakteristikou příslušného zpracování údajů nebo zabezpečeny
šifrováním.
(2) Pokud jsou zpracovávány osobní údaje, které se bezprostředně vztahují k činnostem
vykonávaným na VŠTE (např. docházkové archy, odpovědní listy, testy, poznámkové
bloky, prezenční listiny), postupuje se při jejich zabezpečení obvyklým způsobem tak,
aby se předcházelo riziku zneužití osobních údajů. Další povinnosti stanovené
v tomto článku se na zpracování takových osobních údajů použijí pouze v takovém
rozsahu, v jakém to odpovídá jejich povaze a okolnostem jejich obvyklého zpracová-
vání.
(3) Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní
údaje chráněné podle této směrnice, musí být zabezpečeny před volným přístupem
neoprávněných osob, zpravidla přístupovými hesly, šifrováním či uzamčením. Údaje
uložené na těchto technických prostředcích, které nesouvisejí s činnostmi VŠTE
(např. soukromé soubory zaměstnanců a studentů VŠTE), nepodléhají této směrnici.
(4) Kopie osobních údajů chráněných podle této směrnice musí být pořizovány na technické
nosiče informací podle provozních pravidel stanovených pro jednotlivá zpracování
údajů a uchovávány v uzamykatelných skříních na pracovištích VŠTE, případně
na jiných bezpečných místech určených charakteristikou příslušného zpracování
údajů, nebo zabezpečeny šifrováním. Musí být ukládány zásadně vždy v jiné
místnosti než originální údaje.
(5) V případě, kdy zaměstnanec nebo student VŠTE zjistí nebo nabude podezření, že by
mohlo dojít nebo že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně
oznámit pověřenci a osobám uvedeným v čl. 6 a 7 této směrnice.
(6) Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu podle
čl. 33 nařízení a oznamování případů porušení ochrany osobních údajů subjektu
údajů dle čl. 34 nařízení provádí po předchozí konzultaci s osobami uvedenými v čl.
6 pověřenec. V případě nepřítomnosti pověřence, zajistí ohlášení dle tohoto odstavce
kancléř.
Část VII. – Přechodná a závěrečná ustanovení
15
Článek 21
Závěrečná ustanovení
(1) Kontrolu dodržování této směrnice vykonává pověřenec.
(2) Tato směrnice nabývá platnosti dnem podpisu a účinnosti dnem 25. května 2018.