19e62c707e843c4507aa3f295615e650 Obec Čestín - oficiální stránky - GDPR
poslední aktualizace 04.07.2018 | úvodní strana 
obec Čestín 

Vyhledávač:  
 

Směrnice GDPR

Směrnice pro nakládání s osobními údaji


Obsah

  1. Jak se směrnicí nakládat

    1. Tuto Směrnici mohou starostové či tajemníci zejména malých obcí využít buď tak, jak je, anebo s přihlédnutím k potřebě jednoduchosti a konkrétních instrukcí zaměstnancům a členům orgánů její pasáže včlenit do pracovního nebo organizačního řádu nebo přímo do některých smluv a pracovních náplní. Konkrétní provedení by měli konzultovat s Pověřencem pro ochranu osobních údajů.

    2. Směrnici musí schválit zastupitelstvo, aby byla závazná také pro členy zastupitelstva.

  2. Předmět směrnice a základní ustanovení

    1. Touto směrnicí obec ČESTÍN (dále jen „obec“) stanovuje vnitřní pravidla pro zajištění ochrany osobních údajů a plnění povinností podle Obecného nařízení EU č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů jakožto přímo účinného předpisu EU (dále též „Obecné nařízení“) a podle zákona o zpracování osobních údajů (dále též „zákon“), zejména při zpracování osobních údajů vykonávaných obcí, zejména jejím obecním úřadem (dále jen „OÚ“) a knihovnou zřízenou obcí1.

    2. Ustanovení této směrnice jsou závazná pro všechny osoby v rámci obce, zejména pro zaměstnance obce (dále jen „zaměstnanci“). Obdobně jako pro zaměstnance je tato směrnice závazná i pro členy orgánů města, jako jsou členové zastupitelstva, komisí a výborů (dále jen „členové orgánů“), pokud se v souvislosti s výkonem své funkce seznamují, případně zpracovávají osobní údaje.

    3. Jakékoliv smlouvy, podle kterých osobní údaje zpracovávají anebo se s nimi seznamují při plnění smlouvy uzavřené s obcí další osoby, (dále jen "zpracovatelé a další smluvní osoby"), musejí být písemné (včetně elektronické formy) a obsahují závazek k dodržování této směrnice, konkretizaci povinností podle směrnice a potvrzení, že smluvní strana se se směrnicí seznámila.

    4. Pokud pro obec zajišťuje zpracování osobních údajů v rámci plnění smluvních povinností jiný subjekt (zpracovatel), pak musí být v rámci smluvních vztahů zaručeno plnění povinností podle Obecného nařízení a podle této směrnice a musí být upravena odpovědnost za tyto činnosti vůči správci a vůči kontrolním orgánům. Náležitosti smlouvy o zpracování osobních údajů upravuje Obecné nařízení.

  3. Základní pojmy

Základní pojmy ochrany osobních údajů stanovuje Obecné nařízení a zákon. V souladu s tím je

    1. osobním údajem jakákoliv informace týkající se identifikované nebo identifikovatelné fyzické osoby (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;

    2. citlivým osobním údajem osobní údaj vypovídající o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby. Osobní údaje týkající se rozsudků v trestních věcech a trestných činů se pro účel této směrnice hodnotí obdobně jako citlivé osobní údaje.

    3. zpracováním osobních údajů jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení; za zpracování osobních údajů se nepovažuje pořízení a použití jednotlivých fotografií nebo časově omezeného obrazového záznamu (schůze, kulturní, společenské, sportovní akce), aniž se vytváří evidence a nejsou kromě běžné identifikace jménem a příjmením systematicky přiřazovány další osobní údaje2,

    4. subjektem údajů fyzická osoba, k níž se osobní údaje vztahují,

    5. souhlasem subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

  1. Osobní údaje a jejich zpracování

    1. Způsob zpracování osobních údajů a pověřené osoby

      1. Osobní údaje lze zpracovávat pouze za podmínek stanovených Obecným nařízením, případně zvláštními zákony, přičemž je nezbytné dodržovat ustanovení této směrnice. Zpracovávat lze pouze osobní údaje získané zákonným způsobem.

      2. Zpracovávat osobní údaje a seznamovat se s nimi mohou v rozsahu podle následujících ustanovení pouze pověřené osoby, kterými jsou:

        1. zaměstnanec, který v souladu se svým pracovním zařazením vykonává agendu, jejíž nezbytnou součástí je zpracování osobních údajů,

        2. člen orgánu, pokud je to nezbytné pro výkon jeho funkce,

        3. osoby, které k tomu mají oprávnění na základě uzavřené smlouvy.

    2. Účel zpracování, zákonnost a nově zaváděné účely zpracování3

      1. Veškerá zpracování osobních údajů probíhají v rámci jednotlivých agend, tzv. „účelech zpracování“. Ten, kdo rozhoduje o činnosti zpracování (dále „odpovědný zaměstnanec“), pro každé zpracování (agendu, evidenci) stanoví účel zpracování, tedy jeho výstižný a konkrétně vymezující popis v rozsahu několika slov. O účelu drobných zpracování (tj. zpracování s nízkým rizikem4) rozhoduje osoba, do jejíž kompetence spadá úkol, který zpracování osobních údajů vyžaduje. V případě, kdy lze předpokládat, že účel zpracování zasahuje subjekty osobních údajů ve velkém rozsahu, je povinna předložit stanovení účelu k rozhodnutí svému starostovi, tajemníkovi obce, případně svému nadřízenému.

      2. Právní titul či tituly5 každého účelu zpracování určí odpovědný zaměstnanec. V případě, kdy agenda obsahuje také citlivé osobní údaje, určí zároveň právní titul pro citlivé údaje. K obojímu určí také právní základ, je-li potřebný.

      3. Při potřebě nového zpracování osobních údajů ten, kdo navrhuje jeho účel, posoudí oprávněnost účelu a navrhne nezbytný rozsahu údajů pro dané zpracování, dobu a způsob uchování a způsob informování subjektů údajů.

      4. Ke stanovení účelu zpracování, určení právního titulu a případně právního základu si odpovědný zaměstnanec vyžádá posouzení pověřencem.

      5. O každém nově zamýšleném účelu zpracování je ten, kdo navrhuje jeho účel, povinen informovat pověřence, a to před jakýmkoliv krokem, který vyvolává závazek nebo náklady obce. Zahájit novou činnost zpracování lze jen na základě doložitelného posouzení pověřencem.

      6. Pověřené osoby jsou povinny zpracovávat osobní údaje pouze ke stanovenému účelu, v rozsahu pracovní náplně a úkolů, které jim byly stanoveny jejich nadřízenými anebo vyplývajícím z jejich funkce, a na místech k tomu určených. Jsou povinny dodržovat základní zásady při zpracování osobních údajů.

      7. Ustanovení tohoto článku se přiměřeně vztahuje i na člena orgánu při výkonu jeho funkce, který spolupracuje s odpovědným zaměstnancem a pověřencem.

    3. Zásady zpracování osobních údajů

Základní zásady při zpracování osobních údajů jsou:

      1. zpracovávat osobní údaje korektním a transparentním způsobem,

      2. před zavedením každého zpracování osobních údajů stanovit účel, právní titul a případně právní základ či oprávněné důvody správce pro toto zpracování,

      3. zpracovávat osobní údaje pouze v nezbytném rozsahu a po dobu nezbytnou k danému účelu,

      4. zpracovávat osobní údaje přesně a podle potřeby je aktualizovat,

      5. zajišťovat náležité zabezpečení osobních údajů.

    1. Záznamy o zpracování a kontrolní seznam

      1. Každý odpovědný zaměstnanec vede ve formuláři, jímž byla provedena implementace Obecného nařízení (dále jen „Kontrolní seznam“),

        1. záznamy o příslušných účelech zpracování (dále jen „záznam o zpracování“)6

        2. záznamy o provedených opatřeních k dosažení souladu s Obecným nařízením, jako je šifrování, likvidace či výmaz dat, lhůty pro likvidaci, forma a lhůty zálohování

        3. záznamy o bezpečnostních incidentech jako je únik, ztráta, neoprávněný přenos či zveřejnění,

        4. další údaje potřebné k vyhodnocení a doložení souladu s Obecným nařízením a k informování subjektů údajů.

      2. Ke kontrolnímu seznamu mají přístup odpovědní zaměstnanci a pověřenec. O změnách v kontrolním seznamu musejí odpovědní zaměstnanci vždy informovat pověřence, např. sdílením aktualizované verze.

      3. Starosta nebo jím určená osoba zajistí pravidelné zálohování kontrolního seznamu a případných souvisejících dokladů.

  1. Doklady o souladu s Obecným nařízením

    1. Každá pověřená osoba, pokud to plyne z náplně její práce, dbá na uchování dokladů, opravňujících určité zpracování osobních údajů, jako jsou

      1. smlouvy, pro jejichž plnění se zpracovávají osobní údaje,

      2. doklady o informování subjektů údajů v případech, kdy nepostačuje zveřejnění na webu,

      3. doklady o vyřízení žádostí subjektů údajů,

      4. souhlasy se zpracováním osobních údajů,

      5. balanční testy v případě zpracování na základě právního titulu oprávněného zájmu správce nebo třetí osoby,

      6. evidence klíčů, je-li potřebná

      7. evidence přístupů do počítačů a přístupových práv v informačním systému, je-li potřebná

      8. údaje o zpřístupnění záznamu kamerového systému či dalších specifických záznamů osobních údajů,

      9. další obdobné doklady.

    2. Tyto doklady vede odpovědný zaměstnanec v kontrolním seznamu, pokud to jejich povaha umožňuje, jinak se v kontrolním seznamu pouze uvede, kde jsou uloženy.

  2. Práva subjektů údajů

    1. Informování subjektů údajů7

      1. Odpovědný zaměstnanec zajistí informování subjektů údajů, jejichž údaje obec zpracovává, zejména na webu obce, případně při uzavření smlouvy nebo získání souhlasu se zpracováním. Zajistí též stručný, transparentní, srozumitelný a snadno přístupný způsob těchto sdělení8.

      2. Odpovědný zaměstnanec zajistí také doložitelnost uvedeného informování. Může v rámci své kompetence tento úkol uložit jinému zaměstnanci.

    2. Přístup k osobním údajům9

      1. Požadavky subjektů údajů vyřizuje odpovědný zaměstnanec. Může v rámci své kompetence tento úkol uložit jinému zaměstnanci. Pro vyřízení se přiměřeně postupuje podle obecného předpisu pro přístup k informacím (zákon č. 106/1999 Sb.), neuplatní se správní řád.

      2. Požádá-li subjekt údajů o sdělení svých osobních údajů, ověří se totožnost žadatele a potvrdí na žádosti, případně se ověření totožnosti k žádosti přiloží, např. číslo průkazu, podle kterého byla ověřena, ověření uznávaného elektronického podpisu, datové schránky (dále jen „ověření totožnosti“).

      3. Běžné provozní dotazy týkající se osobních údajů (zejm. informace o zpracování osobních údajů), vyřídí zaměstnanec podle okolností co nejdříve.

      4. K vyřízení ostatních žádostí o přístup k osobním údajům (zejm. export údajů) je příslušný odpovědný zaměstnanec. Žádost se vyřídí do 30 dnů.

      5. V případě potřeby a s ohledem na složitost a počet žádostí může odpovědný zaměstnanec prodloužit lhůtu vyřízení žádosti o další dva měsíce, přičemž o tom informuje subjekt údajů do jednoho měsíce od obdržení žádosti spolu s důvody pro tento odklad.

      6. Jestliže subjekt údajů podává žádost v elektronické formě a je-li to možné, poskytnou se informace v elektronické formě, pokud subjekt údajů nepožádá o jiný způsob.

    3. Právo na výmaz, opravu a doplnění

      1. Pověřené osoby jsou povinny dbát na správnost zpracovávaných osobních údajů.

      2. Subjekt údajů má právo žádat výmaz, opravu a doplnění osobních údajů, které se ho týkají.10 Případy, kdy je požadavek na výmaz oprávněný, stanoví čl. 17 odst. 1 a 3 Obecného nařízení. Žádost vyřídí odpovědný zaměstnanec po ověření totožnosti a po prověření oprávněnosti požadavku ihned, jakmile je to možné, nejdéle do 30 dnů; čl. 6.2.5. Směrnice se použije obdobně. Pokud má ověření oprávněnosti požadavku trvat delší dobu, zejména by se osobní údaje dotčené žádostí měly zpracovávat ke stanovenému účelu zpracování (např. zaslat pravidelné vyúčtování s chybným údajem), zajistí jejich vyřazení ze zpracování 11 a informuje o tom žadatele. Ve složitých případech si vyžádá posouzení pověřencem.

      3. Oznámí-li subjekt údajů (např. telefonicky nebo emailem), že osobní údaje, které se ho týkají, se změnily, a nelze dostatečně ověřit jeho totožnost s ohledem na závažnost požadované změny (např. na základě osobní znalosti hlasu, znalosti e-mailové adresy), vyzve ho odpovědný zaměstnanec k postupu, umožňujícímu totožnost ověřit.

      4. Zjistí-li pověřená osoba při své činnosti, že při zpracování osobních údajů došlo ke zjevné chybě v psaní (např. překlepu), informuje odpovědného zaměstnance a údaj opraví.







  1. Pověřenec pro ochranu osobních údajů

    1. Pro obec vykonává úkoly pověřence pro ochranu osobních údajů Ing. Martina Jiříková, e-mailová adresa: martina.jirikova@sms-sluzby.cz, telefon: +420 605 039 967.

    2. Starosta zajistí zveřejnění kontaktních údajů pověřence a Úřadu pro ochranu osobních údajů je sdělí včetně jeho identifikace.

    3. Všechny pověřené osoby jsou povinny 12:

      1. konzultovat s pověřencem všechny záležitosti, související s ochranou osobních údajů, pokud si nejsou zcela jisty jejich prováděním v souladu s Obecným nařízením,

      2. poskytnout pověřenci součinnost při plnění jeho úkolů, zejména mu umožnit plný přístup k osobním údajům a k operacím zpracování,

      3. zdržet se jakéhokoli jednání, které by mohlo ohrozit nezávislé posouzení věci pověřencem,

      4. neukládat pověřenci úkoly, které by vedly k jeho střetu zájmů.

    4. Povinnosti pověřence jsou stanoveny ve zvláštní smlouvě.



  1. Bezpečnost informací

    1. Obecné postupy při zabezpečení osobních údajů

      1. Přiměřeně zabezpečeny musejí být zpracovávané osobní údaje i ty, které nejsou systematicky zpracovávané, například vyskytující se v jednotlivých nezařazených dopisech, sděleních, e-mailech.

      2. Úroveň zabezpečení lze přiměřeně snížit u osobních údajů, u nichž je riziko pro subjekty údajů nepatrné nebo jsou běžně dostupné veřejnosti, zejména o zaměstnancích a členech orgánů, dalších osobách

        1. na základě zákona o svobodném přístupu k informacím,

        2. jsou veřejně dostupné (například ve veřejně přístupných registrech),

        3. nepředstavují žádné riziko pro subjekty údajů, například malý počet nahodilých nevýznamných informací.

      3. V pochybnostech je pověřená osoba vždy povinna konzultovat potřebu zabezpečení s nadřízeným nebo s pověřencem.

      4. Osobní údaje musí být zabezpečeny před neoprávněným nebo nahodilým přístupem k nim, proti jejich změně, zničení či ztrátě (zejména dostatečné zálohování), neoprávněným a nezabezpečeným přenosům, proti jejich jinému neoprávněnému zpracování, jakož i proti jinému zneužití osobních údajů. Zabezpečení spočívá při nepřítomnosti pověřených osob zejména v uchovávání záznamových médií (písemných i elektronických), obsahujících osobní údaje, v uzamčených skříních, v uzamykání kanceláří a jiných míst a dále v dodržování pravidel informační bezpečnosti.

      5. Dále jsou pověřené osoby povinny vyvarovat se jakéhokoliv jednání, které by mohlo být chápáno jako neoprávněné zveřejňování osobních údajů, nebo vést k neoprávněnému přístupu třetích osob k osobním údajům. Zejména, ale nikoliv pouze:

        1. sdělovat jakékoliv osobní údaje jiné osobě, než která je subjektem údajů nebo je jejím zákonným zástupcem,

        2. hlasitě sdělovat osobní údaje ve veřejně přístupných prostorách

        3. umožnit nepovolaným osobám nahlížet do listin, které nesou osobní údaje, nebo na obrazovku monitoru, kde jsou takové údaje zobrazeny,

        4. sdělovat komukoliv svá přístupová hesla do počítače, do informačních systémů a hesla k zašifrovaným souborům nebo zařízením.



    1. Zabezpečení písemností a záznamových médií obsahujících osobní údaje

      1. 22. května 2018 (Út)




 


ADMIN
↑ nahoru
TOPlist  © Jan Holomek 2010