Dne 25. května 2018 vstoupilo v účinnost Nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Statutární město Liberec, jako správce a zpracovatel osobních údajů za účelem naplnění zásady transparentnosti ve smyslu nařízení Evropského parlamentu a Rady (EU) 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (dále jen GDPR) informuje o základních aspektech zpracování osobních údajů, která probíhají v rámci činností statutárního města, o právech subjektů údajů a způsobech jejich uplatnění.
Správce osobních údajů:
Název organizace | MATEŘSKÁ ŠKOLA "SÍDLIŠTĚ", Liberec 30, Skloněná 1414, příspěvková organizace |
Sídlo organizace | Skloněná 1414, 463 11, Liberec 30 |
IČ | 46746234 |
Kontaktní telefon | +420 482 739 133 |
Kontaktní e-mail | mssidliste@vratislavice.cz |
Elektronická podatelna | |
ID datové schránky | saaky6p |
Web | www.ms-sidliste.cz |
Pověřenec pro ochranu osobních údajů:
V souladu s článkem 37 odst. 1 písm. a) GDPR správce osobních údajů zřídil funkci pověřence (DPO – Data Protection Officer).
Firma | GDPR posouzení s.r.o. |
Titul | Ing. Bc. |
Jméno | Jiří |
Příjmení | Kubela |
Kontaktní telefon | +420 725 980 725 |
Kontaktní e-mail | gdprposouzeni@outlook.cz |
Hlavním úkolem pověřence je monitorování souladu zpracování osobních údajů s povinnostmi vyplývajícími z GDPR, provádění interních auditů, školení pracovníků a celkové řízení agendy interní ochrany dat správce osobních údajů.
Mezi další úkoly Pověřence náleží např.:
Anonymní údaj
Údaj, který v původním tvaru, nebo po provedeném zpracování osobních údajů nelze vztáhnout k identifikované nebo identifikovatelné fyzické osobě.
Automatizované zpracování osobních údajů
Běžně rozšířená forma zpracování osobních údajů za použití výpočetní techniky, bez lidského zásahu.
Biometrický údaj
Osobní údaj technického charakteru zpracování osobních údajů fyzických či fyziologických znaků fyzické osoby, který umožňuje jedinečnou identifikaci. Typickým biometrickým údajem je např. snímek obličeje, otisk prstu, DNA, apod.
Dozorový úřad
Úřad pro ochranu osobních údajů (zkráceně také ÚOOÚ) je v České republice nezávislým orgánem, který:
Důvěrnost
K informacím či datům mají přístup pouze oprávněné osoby.
GDPR
Právní rámec ochrany osobních údajů v evropském prostoru s cílem hájit co nejvíce práva občanů EU proti neoprávněnému zacházení s jejich daty včetně osobních údajů. Jedná se o obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation), které je účinné od 25. května 2018.
Integrita
Informace či data nebyla změněna neoprávněnou osobou.
Identifikovaná nebo identifikovatelná fyzická osoba
Fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Osobní údaj
Každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů).
Osobní údaje mohou být osobními údaji pouze ve vztahu k žijící fyzické osobě, jelikož obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.
Pověřenec pro ochranu osobních údajů
Neboli DPO (z anglického Data Protection Officer) je pracovní pozice stanovená dle GDPR. Hlavním úkolem DPO je monitorování souladu zpracování osobních údajů správce s povinnostmi vyplývajícími z GDPR.
Právní důvody
Oprávnění správce osobní údaje zpracovávat.
Profilování
Jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu.
Příjemce osobních údajů
Fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty.
Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem ČR, se za příjemce nepovažují. Orgány veřejné moci, kterým jsou osobní údaje sdělovány na základě právní povinnosti pro účely výkonu jejich úředních povinností, jako jsou daňové a celní orgány, finanční vyšetřovací jednotky, nezávislé správní orgány nebo orgány finančního trhu příslušné pro regulaci trhů s cennými papíry a dohled nad nimi, by neměly být považovány za příjemce, pokud obdrží osobní údaje, které jsou nezbytné pro provedení konkrétního šetření v obecném zájmu v souladu s právem EU či ČR. Žádost o sdělení osobních údajů zaslaná orgány veřejné moci by měla být vždy písemná a odůvodněná, měla by se týkat jednotlivého případu a neměla by se vztahovat na celou evidenci, ani vést k propojení evidencí. Zpracování osobních údajů těmito orgány veřejné moci by mělo být v souladu s platnými pravidly pro ochranu osobních údajů podle účelů zpracování osobních údajů.
Pseudonymizace
Proces skrytí identity, jehož účelem je mít možnost sbírat další údaje týkající se stejné fyzické osoby, aniž by bylo nutné znát její totožnost. Pseudonymizované osobní údaje nejsou anonymizovanými údaji, proto se na ně stále vztahuje regulace GDPR.
Souhlas subjektu údajů
Jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Správce
Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů.
Subjekt údajů
Identifikovaná nebo identifikovatelná fyzická osoba. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
Uchovávání osobních údajů
Udržování údajů v takové podobě, která je umožňuje dále zpracovávat.
Zpracovatel
Fyzická osoba, právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Zpracování osobních údajů
Jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, které jsou prováděny pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení. Pro nakládání s osobními údaji způsobem, který není zpracováním osobních údajů, poskytuje ochranu např. zákon č. 89/2012 Sb., občanský zákoník.
Zvláštní kategorie osobních údajů
Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, zpracování genetických a biometrických osobních údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Statutární město jako správce i zpracovatel se při zpracování osobních údajů řídí GDPR a dalšími právními předpisy upravujícími ochranu osobních údajů a stanovenými principy. Základní principy vycházející z GDPR jsou následující:
Statutární město Liberec zpracovává osobní údaje subjektů údajů, tj. fyzických osob, na základě následujících právních důvodů (titulů):
Plnění právní povinnosti
Zpracování je nezbytné pro splnění právní povinnosti (dle zákona, vyhlášky ministerstva, nařízení EU, apod.), která se na správce vztahuje, např. agenda cestovních dokladů nebo občanských průkazů, stavební řízení, účetnictví.
Výkon veřejné moci nebo plnění úkolu ve veřejném zájmu
Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, např. provozování městského kamerového systému pro potřeby prevence kriminality a zajištění veřejného pořádku.
Plnění smlouvy
Zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů, např. nákup a prodej nemovitostí, pronájem obecních bytů.
Oprávněný zájem
Zpracování je nezbytné pro splnění oprávněného zájmu správce. V případě oprávněného zájmu je nutné posoudit vždy konkrétní situaci, tedy určit, zda skutečně je zájem oprávněný, a za jakým účelem je nezbytné zpracovat osobní údaje.
Ochrana životně důležitého zájmu
Zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, např. povodně, požáry, nehody.
Souhlas se zpracováním osobních údajů
Zpracování je nezbytné pro plnění účelu, který nelze zařadit pod právní důvody uvedené výše. Souhlas je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Souhlas se zpracováním osobních údajů musí být:
Práva subjektu údajů jsou důležitým prvkem ochrany osobních údajů, mezi práva subjektu údajů náleží:
Právo na přístup k informacím
Subjekt údajů má právo na základě žádosti získat od správce informace, zda jsou jeho osobní údaje zpracovávány:
Právo na opravu
Subjekt údajů má právo na opravu nepřesných osobních údajů, které se ho týkají. Neznamená to povinnost správce aktivně vyhledávat nepřesné údaje. Pokud se subjekt údajů domnívá, že správce zpracovává jeho nepřesné údaje, upozorní jej na to. Je povinností správce, pokud mu subjekt údajů oznámí, že požaduje opravu jeho osobních údajů, zabývat se jeho žádostí.
Právo na výmaz údajů („být zapomenut“)
Správce má povinnost zlikvidovat osobní údaje, pokud je splněna alespoň jedna z následujících podmínek:
Právo na výmaz není absolutní právo, které by subjektu údajů dávalo možnost žádat kdykoli a za jakékoli situace o vymazání osobních údajů. Nelze v rámci „práva být zapomenut“ žádat např. likvidaci všech osobních údajů po ukončení zaměstnání, jelikož se na správce vztahují zákonné povinnosti o dalším uchování osobních údajů.
Právo na omezení zpracování
Zahrnuje v sobě dočasný přesun vybraných údajů do jiného systému zpracování, znepřístupnění vybraných osobních údajů uživatelům nebo dočasné odstranění zveřejněných údajů z internetových stránek.
Právo na přenositelnost zpracování
Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu. Subjekt údajů má právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že zpracování je založeno na souhlasu nebo na smlouvě.
Právo na námitku proti zpracování
Subjekt údajů má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů.
Automatizované individuální rozhodování včetně profilování
Toto právo zajišťuje subjektu údajů, že nebude předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, včetně profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
Automatizované rozhodování je přípustné v případě, kdy je nezbytné k uzavření nebo plnění smlouvy mezi subjektem údajů a správcem, pokud je povoleno právem EU nebo ČR, nebo pokud je založeno na výslovném souhlasu subjektu údajů.