Směrnice na ochranu osobních údajů
Baby Klub Rafťáček (dále jen BKR), zastupovaný výhradně jednatelkou Mgr. Ivanou Holzerovou, IČO 76403386 Dětenická 1095/12, Praha 9-Kbely, 19700, jakožto správce osobních údajů, tímto informuje o způsobu a rozsahu zpracování osobních údajů s ohledem na Všeobecné nařízení EU o ochraně osobních údajů (dále jen „GDPR“)
Platnost směrnice: od 1. 5. 2018
Schválil: Mgr. Ivana Holzerová
1. Úvodní ustanovení
1.1. Účel
Účelem tohoto dokumentu je stanovit všeobecně platnou metodiku pro nakládání a zpracování osobních údajů (dále rovněž jako „OÚ“) v BKR tak, aby byly zajištěny podmínky ochrany stanovené NAŘÍZENÍM EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů, dále jen jako „Nařízení“), zákonem č. 101/2000 Sb., o ochraně osobních údajů, a to za účelem zajištění jejich řádné ochrany a zabránění jejich úniku, vyzrazení, zneužití, zničení a zamezení jejich ztrát.
Tato směrnice upravuje postupy BKR, jejích zaměstnanců, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice stanovuje hlavní a jednoznačné zásady odpovědnosti, povinnosti a pravomoci při zpracování osobních údajů a nastavení ochrany osobních údajů.
S ohledem na Nařízení tato směrnice zejména stanovuje povinnost, aby se zpracovávaly pouze ty osobní údaje, které jsou potřeba k výkonu činností BKR. Směrnice dále popisuje proces zpracování osobních údajů tak, aby se vynaložila veškerá péče na snížení rizik zneužití, nesprávného nakládání nebo neoprávněného zpracování osobních údajů.
1.2. Působnost
Tato směrnice je závazná pro všechny zaměstnance BKR. Směrnice je závazná i pro další osoby, které mají se společnostmi působícími v rámci BKR jiný právní vztah (smlouva o dílo, smlouva o zpracování osobních údajů apod.) a které se zavázaly postupovat podle této směrnice.
1.3. Základní pojmy a používané zkratky
- Bezpečnostní incident Jedna nebo více nežádoucích nebo neočekávaných bezpečnostních událostí, při které došlo nebo mohlo dojít k porušení ochrany OÚ, bez ohledu na závažnost.
- Dozorový úřad V ČR Úřad na ochranu osobních údajů.
- Nařízení Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR).
- Ochrana OÚ Soubor opatření v oblasti personální, administrativní, fyzické ochrany a informační bezpečnosti potřebných pro zajištění ochrany OÚ.
- Osobní údaj (OÚ) Veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
- Souhlas subjektu údajů Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých OÚ.
- Správce OÚ Pro účely této směrnice je správcem BKR– správce OÚ určuje účel a prostředky zpracování OÚ, provádí zpracování a odpovídá za něj. Správce může zmocnit nebo pověřit zpracováním OÚ Zpracovatele.
- Subjekt údajů Fyzická osoba, k níž se OÚ vztahují. Subjekt údajů se považuje za identifikovaný, nebo identifikovatelný, jestliže lze na základě jednoho či více OÚ přímo či nepřímo zjistit jeho identitu.
- Zaměstnanec Fyzická osoba, která vykonává práci v BKR v pracovním poměru na základě uzavřené pracovní smlouvy nebo na základě dohod o pracích konaných mimo pracovní poměr.
- ZOOÚ Zákon č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů.
- Zpracovatel OÚ Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává OÚ pro správce
- Zpracování OÚ Jakákoliv operace nebo soubor operací s OÚ nebo soubory OÚ, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
- Zpracovatel OÚ Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává OÚ pro správce.
- Zvláštní kategorie údajů (citlivé údaje) OÚ, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
2. Odpovědnosti, povinnosti a pravomoci
2.1. Ředitelka BKR, jednatelka Mgr. Ivana Holzerová
Ředitelka BKR je povinna: vytvořit, udržovat a řídit systém ochrany osobních údajů v BKR v souladu s Nařízením a ZOOÚ,
- stanovit způsoby, účely, prostředky a místa zpracování osobních údajů,
- zajistit zpracovávání pouze přesných osobních údajů výhradně v souladu s účelem, k němuž byly shromážděny, a to v rozsahu nezbytném pro naplnění stanoveného účelu,
- zajistit informování subjektů údajů, popř. získat jejich souhlasy se zpracováním,
- zabezpečit smluvní zavázání spolupracujících právnických i fyzických osob (jako jsou např. dodavatelé, spolupracující společnosti), které v rámci své činnosti používají osobní údaje zpracovávané BKR nebo je na základě smlouvy se společnostmi působícími v rámci BKR a pro jeho potřeby zpracovávají, a zabezpečit dodržování Nařízení, ZOOÚ a souvisejících obecně závazných předpisů a požadavků na ochranu osobních údajů,
- zajistit dodržování technických a organizačních opatření zaměřených na zabezpečení a ochranu osobních údajů,
- zajistit posouzení vlivu na ochranu osobních údajů, pokud je pravděpodobné, že určitý druh zpracování bude mít za následek vysoké riziko pro práva a svobody fyzických osob,
- zajistit ochranu a bezpečnost osobních údajů, a to od zahájení jejich zpracovávání až do chvíle, kdy jsou likvidovány,
- spolupracovat s dozorovým úřadem a působit jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů,
- vystupovat jako kontaktní místo pro subjekty údajů, které se na něj mohou obracet v případech, kdy došlo k porušení zpracování jejich osobních údajů a v případech výkonu jejich práv podle Nařízení a ZOOÚ,
- vést centrální evidenci požadavků subjektů údajů,
- vést centrální evidenci souhlasů se zpracováním osobních údajů,
- vést centrální evidenci neshod a bezpečnostních incidentů,
- řešit a vyšetřovat bezpečnostní incidenty vzniklé v souvislosti s ochranou osobních údajů, analyzovat jejich příčiny a zajišťovat nápravná opatření,
- informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji v BKR a to bez zbytečného odkladu,
- zajistit, aby zaměstnanci BKR byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
- zajišťovat, aby zaměstnanci BKR byli podle možností a potřeb vzděláváni nebo proškolováni o ochraně osobních údajů,
- provádět kontrolu dodržování Nařízení a ZOOÚ,
- zajistit, aby BKR byla schopna řádně doložit plnění povinností BKR při ochraně osobních údajů, které vyplývají z právních předpisů.
2.2. Zaměstnanec či smluvní pracovník společností působících v rámci BKR
Každý zaměstnanec či smluvní pracovník BKR je povinen:
- počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných BKR,
- zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců, dětí, zákonných zástupců a dalších osob, které BKR zpracovává,
- pokud zjistí porušení ochrany osobních údajů, neoprávněné použití či zneužití osobních údajů, nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění, a ohlásit tuto skutečnost řediteli BKR či jinému pověřenému zaměstnanci,
- zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních k jejich ochraně; povinnost mlčenlivosti trvá i po skončení pracovního poměru, práce konané mimo pracovní poměr nebo příslušných prací.
3. Zpracování osobních údajů
Zpracování osobních údajů, které není v souladu s Nařízením a ZOOÚ, se v BKR zakazuje.
3.1. Subjekty údajů
Subjekty údajů BKR jsou:
- děti a jejich zákonní zástupci,
- fyzické osoby v zaměstnaneckém nebo obdobném vztahu (aktivní a bývalí),
- uchazeči o zaměstnání,
- obchodní partneři – fyzické osoby nebo zástupci právnických osob.
V souvislosti s identifikací subjektu údajů je třeba posoudit, jaký je účel zpracovávání a zda je ke zpracovávání nutný souhlas subjektu údajů nebo zda je zpracování osobních údajů možné na základě jiného právního titulu (uzavření nebo plnění smlouvy, plnění právní povinnosti, oprávněný zájem apod.).
Dále je nutné stanovit způsob získávání osobních údajů od subjektu, zejména s ohledem na to, aby nedocházelo k využívání údajů získaných k jinému účelu, případně ke slučování údajů získaných k jiným účelům, a způsob plnění informační povinnosti správce vůči subjektu údajů.
3.2. Účel zpracování osobních údajů
Ředitel BKR odpovídá za stanovení účelu zpracovávání osobních údajů a rozsah využívaných údajů.
Osobní údaje lze zpracovávat pouze s ohledem na platné právní předpisy ČR a Nařízení v souladu s účelem, k němuž byly shromážděny. Zpracovávat je k jinému účelu je možné jen tehdy, pokud o této změně zpracování byl subjekt údajů informován, a nelze-li takové zpracování provádět na základě právního titulu nevyžadujícího předchozí souhlas, pokud k tomu dal subjekt údajů souhlas.
V rámci BKR jsou zpracovávány osobní údaje za následujícím účelem:
- děti a jejich zákonní zástupci
- plnění smlouvy a poskytování služeb (poskytován kurzů plavání, cvičení nebo jiných kurzů),
- komunikace se subjekty údajů,
- informování o změnách a novinkách v nabídce kurzů (oprávněný zájem),
- umožnění přístupu do rezervačního systému,
- splnění právní povinnosti,
- účetní a daňové účely,
- vedení zákaznické evidence,
- marketingové a propagační účely (na základě výslovného souhlasu),
- zaměstnanci a uchazeči o zaměstnání
- plnění pracovně právních povinností zaměstnavatele,
- umožnění přístupu do informačních systémů,
- nábor a výběr zaměstnance,
- obchodní partneři
- uzavření a plnění smlouvy,
komunikace se subjekty údajů,
splnění právní povinnosti,
účetní a daňové účely.
- uzavření a plnění smlouvy,
Osobní údaje pro tyto činnosti jsou zpracovány v rozsahu nutném pro naplnění těchto činností a po dobu nutnou k jejich dosažení nebo po dobu přímo stanovenou právními předpisy. Poté jsou osobní údaje vymazány či anonymizovány.
3.3. Rozsah zpracovávaných osobních údajů
Rozsah zpracovávaných osobních údajů musí být stanoven tak, aby splnil stanovený účel, a přitom nebyly shromažďovány a zpracovávány nadbytečné osobní údaje.
V rámci BKR jsou zpracovávány osobní údaje v následujícím rozsahu:
- děti a jejich zákonní zástupci
- identifikační údaje: jméno a příjmení dítěte, datum narození dítěte, jméno a příjmení zákonného zástupce,
- kontaktní údaje: adresa bydliště, doručovací nebo jiná kontaktní adresa, telefon, emailová adresa,
- informace o zvláštním zdravotním stavu nebo alergiích,
- fotografie nebo video záznam dítěte pro marketingové a propagační účely (na základě souhlasu),
- další osobní údaje: hodnocení úrovně pokročilosti dítěte, číslo bankovního účtu, platební údaje, číslo zákaznického účtu, a další osobní údaje
- plynoucí z konkrétní smlouvy či ze zákona,
- zaměstnanci či smluvní pracovníci a uchazeči o zaměstnání
- identifikační údaje: jméno a příjmení, datum narození,
- kontaktní údaje: adresa bydliště, doručovací nebo jiná kontaktní adresa, telefon, emailová adresa,
- fotografie zaměstnance/uchazeče,
- údaje poskytnuté v rámci zaslaného životopisu (dosažené vzdělání, dosavadní odborná praxe apod.)
- další osobní údaje: číslo bankovního účtu, platební údaje a další osobní údaje plynoucí z konkrétní smlouvy či ze zákona (pouze pro zaměstnance a smluvní pracovníky),
- obchodní partneři
- identifikační údaje: jméno a příjmení,
- Kontaktní údaje: adresa bydliště, doručovací nebo jiná kontaktní adresa, telefon, emailová adresa,
- Další osobní údaje: číslo bankovního účtu, platební údaje a další osobní údaje plynoucí z konkrétní smlouvy či ze zákona.
Informace o alergiích nejsou systematicky zpracovávány a ukládány, jelikož se jedná o citlivé osobní údaje. Tyto informace mohou být BKR ze strany subjektu údajů pouze dobrovolně a výslovně sděleny pro zajištění ochrany zdraví studenta v rámci výuky.
3.4. Zdroje osobních údajů
Osobní údaje jsou získávány především od subjektu údajů, zejména při uzavírání smlouvy a v průběhu smluvního vztahu.
3.5. Zpřístupnění osobních údajů a zpracování prostřednictvím zpracovatele
Osobní údaje mohou být pro zajištění výše popsaných účelů vedle BKR a jejich zaměstnanců zpracovávány také některými dalšími externími společnostmi (tj. zpracovateli). Osobní údaje jsou těmto zpracovatelům předávány pouze v tom případě, že splňují definované organizační a technické podmínky k zajištění jejich náležité ochrany. Zpracovatel není oprávněn zpracovávat osobní údaje k jinému účelu a jiným způsobem než smluvně dohodnutým.
Podmínkou pro využití externího zpracovatele je uzavření Smlouvy o zpracování osobních údajů mezi správcem (tj. BKR) a zpracovatelem. Smlouva se zpravidla uzavírá jako samostatný dokument. Smlouva musí obsahovat veškeré náležitosti v souladu s čl. 28, odst. 3 Nařízení (viz níže).
Ve Smlouvě o zpracování osobních údajů musí být druhé smluvní straně uložena povinnost:
- přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,
- nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu BKR,
- zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,
- zajistit, aby osoby oprávněné zpracovávat osobní údaje u zpracovatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
- zajistit, že zpracovatel bude BKR bez zbytečného odkladu nápomocen při plnění povinností BKR, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 Nařízení, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 Nařízení, povinnosti posoudit vliv na ochranu osobních údajů dle čl. 35 Nařízení a povinnosti provádět předchozí konzultace dle čl. 36 Nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje BKR,
- po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí BKR a vymaže existující kopie apod.,
- poskytnout BKR veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené BKR právními předpisy,
- umožnit kontrolu, audit či inspekci prováděné BKR nebo příslušným orgánem dle právních předpisů,
- poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví BKR, součinnost potřebnou pro plnění zákonných povinností BKR spojených s ochranou osobních údajů, jejich zpracováním,
- poskytnuté osobní údaje chránit v souladu s právními předpisy,
- přiměřeně postupovat podle této směrnice.
Osobní údaje mohou být na základě zákonné žádosti předány třetím subjektům, které disponují zákonnou pravomocí vyžadovat předání předmětných osobních údajů.
3.6. Souhlas se zpracováváním, informace o zpracovávání, ochrana a výkon práv subjektu údajů
3.6.1. Souhlas subjektu údajů
Pokud jsou osobní údaje zpracovávány na základě článku 6 Nařízení, odst. 1, písm.:
- b) – plnění smlouvy,
- c) – splnění právní povinnosti,
- d) – ochrana životně důležitých zájmů,
- e) – veřejný zájem nebo výkon veřejné moci,
- f) – oprávněný zájem,
není nutný souhlas subjektu údajů, ale je nutné zajistit informační povinnost vůči subjektu údajů.
V ostatních případech může BKR zpracovávat osobní údaje pouze s předchozím souhlasem subjektu údajů. Tento souhlas je nutný i v případě, že jsou osobní údaje zpracovávány k jinému účelu, než k jakému byly shromážděny. Souhlas musí být poučený, informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje, na konkrétní dobu a pro konkrétní účel.
AP9 musí být schopno udělení souhlasu prokázat, a to po celou dobu zpracování osobních údajů, k jejichž zpracování byl dán souhlas. Součástí získání souhlasu je i informování subjektu údajů o účelu zpracovávání. Subjekt údajů má právo svůj souhlas kdykoli odvolat.
3.6.2. Informování subjektu údajů
BKR je povinen včas a řádně v souladu s článkem 13 a 14 Nařízení ve stanoveném rozsahu informovat subjekt údajů o tom, že zpracovává jeho osobní údaje. Kromě výše uvedených informací poskytne BKR subjektu údajů další informace, jsou-li nezbytné pro zajištění spravedlivého a transparentního zpracování v rozsahu stanoveném Nařízením. Současně musí BKR informovat subjekt údajů o jeho právech vyplývajících z Nařízení.
Informační povinnost je naplněna zveřejněním dokumentu „Informace o zpracování osobních údajů“ na webových stránkách BKR, www.raftacek.cz, případně jako součást smlouvy se subjektem údajů.
3.6.3. Práva subjektu údajů
V souvislosti se zpracováním osobních údajů mají subjekty údajů možnost uplatňovat svá práva (viz dále). Žádosti jsou zasílány ředitelce BKR, která vede centrální evidenci těchto požadavků. Žádosti musí být ze strany ředitelky, případně dalších pověřených osob, vyřízeny do jednoho měsíce od obdržení žádosti. Tuto lhůtu je možné v případě potřeby prodloužit o další dva měsíce, v tom případě ale musí být subjekt údajů o tomto prodloužení informován, spolu s důvody pro tento odklad.
Vyřízení žádostí je poskytováno bezplatně, pouze v případě, že jsou žádosti nedůvodné, nebo nepřiměřené, může být uložen přiměřený poplatek.
3.6.3.1. Právo na přístup k informacím
Subjekt údajů má právo na jasné, transparentní a srozumitelné informace o tom, jak jsou jeho osobní údaje zpracovávány a jaká jsou jeho práva. K tomuto účelu slouží dokument „Informace o zpracování osobních údajů“ (viz kapitola Informování subjektu údajů).
Subjekt údajů má právo na přístup k osobním údajům. V tomto případě poskytne BKR subjektu údajů kopii zpracovávaných osobních údajů.
3.6.3.2. Právo na opravu
Subjekt údajů má právo na opravu nesprávných a neúplných osobních údajů.
3.6.3.3. Právo na výmaz („právo být zapomenut“)
Subjekt údajů má právo na vymazání svých osobních údajů, především pokud (a) již nejsou dále potřebné pro další zpracování; (b) byl odvolán souhlas k jejich zpracování; (c) subjekt vznese námitky vůči jejich zpracování; (d) byly zpracovány nezákonně; nebo (e) musejí být vymazány podle právních předpisů.
Právo na výmaz nemůže být uplatněno v tom případě, že BKR zpracovává osobní údaje na základě jiného právního titulu, než se souhlasem subjektu (např. pro plnění smlouvy) a pro zpracování osobních údajů stále existuje důvod a účel (např. držení osobních údajů po dobu stanovenou zákonem).
3.6.3.4. Právo na omezení zpracování
Subjekt údajů má právo na omezení zpracování svých osobních údajů, pokud (a) napadne správnost osobních údajů po dobu, dokud nebude ověřena jejich správnost; (b) zpracování je protizákonné; (c) údaje již nejsou potřeba, ale subjekt údaje potřebuje pro účely uplatnění svých právních nároků nebo (d) subjekt vznese námitku proti jejich zpracování po dobu, dokud nebude ověřeno, zda naše oprávněné důvody převažují nad zájmy subjektu.
V praxi toto právo znamená, že BKR musí dočasně omezit zpracování takového osobního údaje, vůči kterému byla vznesena námitka.
3.6.3.5. Oznamovací povinnost ohledně opravy nebo výmazu osobních údajů nebo omezení zpracování
BKR oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy, výmazy osobních údajů nebo omezení zpracování, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí.
3.6.3.6. Právo vznést námitku
Subjekt údajů má právo podat námitku proti zpracovávání svých osobních údajů v případě, že jsou ze strany BKR zpracovávány (a) pro účely přímého marketingu nebo (b) pro účely oprávněných zájmů BKR.
3.6.3.7. Právo na přenositelnost údajů
Subjekt údajů má právo získat své osobní údaje a přenést je k jinému poskytovateli služeb.
3.6.3.8. Další práva
Subjekt údajů má právo:
- kdykoliv odvolat udělený souhlas se zpracováním osobních údajů,
- podat stížnost na Úřad pro ochranu osobních údajů.
3.7. Využívání osobních údajů pro zasílání obchodních sdělení (přímý marketing)
Z důvodu informování o novinkách v nabídce kurzů zasílá BKR obchodní sdělení subjektům údajů za dodržení následujících podmínek:
- sdělení se týkají pouze vlastních produktů a služeb,
- sdělení jsou zasílána formou poštovní korespondence, SMS a e-mailu,
- sdělení jsou zasílána na subjekty údajů, se kterými má BKR uzavřenou Smlouvu o zajištění výuky a dále po dobu 3 měsíců po ukončení smluvního vztahu, kdy subjekt údajů může důvodně očekávat obdržení takového sdělení.
Zpracování osobních údajů za tímto účelem (tj. přímý marketing) je považováno za zpracování prováděné z důvodu oprávněného zájmu BKR. Pokud podá subjekt údajů námitku proti zpracování za účelem přímého marketingu, musí BKR zabezpečit, že danému subjektu údajů již nebudou nadále zasílána obchodní sdělení.
4. Ochrana osobních údajů
Pro zajištění bezpečnosti a důvěrnosti osobních údajů jsou v rámci BKR využívána vhodná technická a organizační opatření zejména na ochranu před neoprávněným přístupem k údajům a jejich zneužitím. Opatření jsou navržena tak, aby odpovídala stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a různě závažným rizikům pro práva a svobody fyzických osob.
4.1. Organizační opatření
Organizační opatření pro zajištění ochrany osobních údajů jsou následující.
- BKR všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Osobní údaje jsou uchovávány v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň řediteli BKR známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením ředitele nebo jím pověřené osoby.
- Dokumenty obsahující osobní údaje studentů jsou trvale uloženy v uzamykatelných skříních. Dokumenty nelze předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.
- Osobní spisy zaměstnanců či smluvních pracovníků jsou uloženy v uzamykatelných skříních, přístup k nim má ředitel BKR nebo pověřená osoba.
- V propagačních materiálech BKR, na webových stránkách či sociálních sítích lze uveřejňovat textové či obrazové informace o studentech pouze na základě souhlasu zákonných zástupců. Dítě nebo zákonný zástupce má právo na základě odvolání daného souhlasu požadovat bezodkladné zablokování či odstranění informace či fotografie či záznamu týkající se jeho osoby, který zveřejňovat nechce.
- BKR informuje o zavedených opatřeních ústní nebo písemnou komunikací, stanovením povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve Smlouvě o zpracování osobních údajů, kterou BKR uzavírá s externím zpracovatelem.
- BKR alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů. Zjistí-li se, že některé postupy jsou zastaralé, zbytečné nebo se neosvědčily, učiní BKR bezodkladně nápravu.
- Každý zaměstnanec či smluvní pracovník při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec či smluvní pracovník zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec či smluvní pracovník, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na ředitele BKR nebo jím určenou osobu.
- BKR ihned řeší každý bezpečnostní incident týkající se osobních údajů. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, především konkrétního studenta, zaměstnance, zákonného zástupce atd., BKR tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. O každém závažném incidentu informuje BKR dozorový úřad a to bez zbytečného odkladu, nejpozději však do 72 hodin od okamžiku, kdy se o něm dozvědělo, ledaže je nepravděpodobné, že by toto porušení mělo za následek riziko pro práva a svobody fyzických osob.
4.2. Technická opatření
Technická opatření pro zajištění ochrany osobních údajů jsou následující.
- Elektronická evidence osobních údajů je vedena v zabezpečeném informačním systému. Do tohoto systému mají přístup jednotliví zaměstnanci a další osoby výslovně pověřené ředitelem BKR a to jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Při práci s elektronickou evidencí nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla a v případě nebezpečí jeho vyzrazení jej ihned změnit. Přístupy nastavuje pověřený zaměstnanec BKR – správce počítačové sítě, který nastavuje potřebné zabezpečení dat.
- Osobní údaje se mohou přenášet (pomocí přenositelných paměťových médií), či zasílat (e-mailem) pouze zašifrované. Heslo pro odšifrování musí být zasíláno jiným médiem (např. pomocí telefonu).
- Zákonní zástupci studentů, případně samotní studenti, mají zajištěn zabezpečený dálkový přístup výhradně k vlastním údajům na základě přihlašovacího kódu a hesla.
- U informačních systému musí být zajištěno logování, zálohování a obnova dat.
4.3. Posouzení vlivu na ochranu osobních údajů
Pokud je pravděpodobné, že určitý druh zpracování, zejména při využití nových technologií, bude mít s přihlédnutím k povaze, rozsahu, kontextu a účelům zpracování za následek vysoké riziko pro práva a svobody fyzických osob, provede ředitel BKR před zpracováním posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů, a to v souladu s článkem 35 Nařízení.
Pokud z posouzení vlivu na ochranu osobních údajů vyplývá, že by dané zpracování mělo za následek vysoké riziko v případě, že by BKRnepřijalo opatření ke zmírnění tohoto rizika, konzultuje ředitel Výukového centra toto zamýšlené zpracování s dozorovým úřadem (před jeho započetím). Při konzultaci se postupuje v souladu s článkem 36 Nařízení.