L I S T JAMU
Ročník 2018
částka zpřístupněna 20. prosince 2018
OBSAH:
50. Směrnice o ochraně osobních údajů (platnost 20. prosince 2018, účinnost 1. ledna
2019)
č. 50/2018 LJ
631
SMĚRNICE
ze dne 20. prosince 2018
o ochraně osobních údajů
Rektor vydává následující směrnici:
ČÁST PRVNÍ
OBECNÁ USTANOVENÍ
Čl. 1
Předmět a účel úpravy
(1) Tato směrnice
a) stanoví zásady a pravidla při zpracování osobních údajů na JAMU,
b) stanoví odpovědnost osob zajišťujících ochranu osobních údajů,
c) vymezuje práva a povinnosti zaměstnanců, případně dalších fyzických i právnických
osob účastnících se činností souvisejících se zpracováním těchto údajů.
(2) Účelem vydání tohoto vnitřního předpisu je přijmout a zavést vhodná technická a
organizační opatření k zajištění ochrany osobních údajů v souladu s čl. 24 a násl. nařízení EU
č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o
volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně
osobních údajů).
Čl. 2
Vymezení některých pojmů
Pro účely této směrnice se rozumí
a) GDPR nařízení EU č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním
osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné
nařízení o ochraně osobních údajů), tzv. GDPR (angl. General Data Protection
Regulation).
b) osobním údajem veškeré informace o identifikované nebo identifikovatelné fyzické osobě
(dále jen "subjekt údajů"); identifikovatelnou fyzickou osobou je fyzická osoba, kterou
lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například
jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více
zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo
společenské identity této fyzické osoby,
c) citlivým údajem údaj o rasovém či etnickém původu, politických názorech, náboženském
vyznání či filozofickém přesvědčení nebo členství v odborech, genetické údaje,
biometrické údaje a údajů o zdravotním stavu či o sexuálním životě nebo sexuální
orientaci fyzické osoby,
d) Zaměstnavatelem Janáčkova akademie múzických umění v Brně,
e) Správcem zaměstnavatel pokud
1. určuje účel zpracování osobních údajů a prostředky zpracování osobních údajů,
2. jej jako správce označuje zvláštní zákon,
f) Zpracovatelem zaměstnavatel, pokud je na základě smlouvy, zmocnění, pověření nebo
právního předpisu oprávněn zpracovávat osobní údaje pro jiného správce,
č. 50/2018 LJ
632
g) Zaměstnancem osoba, která je u zaměstnavatele v pracovním nebo obdobném poměru; za
zaměstnance se pro účely ochrany osobních údajů považuje i jiná osoba, která vykonává
činnost pro zaměstnavatele,
h) Rozsahem zpracování osobních údajů určení způsobu zpracování osobních údajů, dobu
uchovávání, prostředky zpracování, určení kategorií příjemců, důvodů zpracování,
Součástí stanovení rozsahu zpracování osobních údajů je rovněž stanovení, na základě
jakého zákonného důvodu zpracování jsou osobní údaje zpracovávány a v případě, že jde
o osobní údaje získané od subjektu údajů, zda je získávání osobních údajů zákonným
nebo smluvním požadavkem, nebo požadavkem na to, aby byly osobní údaje součástí
smlouvy a rovněž poučení subjektu údajů o následcích neposkytnutí osobních údajů,
i) Klíčem Klíč k ochraně osobních údajů, což je nástroj k definování účelu zpracování a
rozsahu zpracování osobních údajů přístupný na adrese www.oou.cloud,
j) Úřadem Úřad pro ochranu osobních údajů.
ČÁST DRUHÁ
ODPOVĚDNOST OSOB ZAJIŠŤUJÍCÍCH OCHRANU OSOBNÍCH ÚDAJŮ
Čl. 3
Garant zpracování osobních údajů
(1) Za účelem zajištění ochrany osobních údajů a jejich zpracování v souladu s GDPR a
zákonem o ochraně osobních údajů jsou ustanoveni pro jednotlivé případy či oblasti
zpracování garanti zpracování osobních údajů (dále jen „garant“). Garanty pro jednotlivé
účely zpracování ustanoví rektor; rektorát udržuje aktuální seznam garantů a jejich pověření.
(2) Garant
a) odpovídá za dodržování zásad, pravidel a postupů při zpracování osobních údajů
realizovaných v jemu svěřeném případě/oblasti/činnosti,
b) po předchozí konzultaci s pověřencem oznamuje případy porušení ochrany osobních
údajů subjektu údajů (čl. 34 GDPR).
(3) Garant odpovídá za uvedené činnosti od data svého ustanovení až po ukončení
činnosti, a to včetně zajištění bezpečné archivace dat.
Čl. 4
Zaměstnanci
(1) Zaměstnanec je oprávněn seznamovat se s osobními údaji pouze v rozsahu, který je
nezbytný pro výkon práce zaměstnance a za zpracování těchto osobních údajů je odpovědný.
(2) Zaměstnanec je povinen seznámit se se stanoveným účelem a rozsahem zpracování
těch osobních údajů, se kterými bude při výkonu práce přicházet do styku, a to
prostřednictvím dokumentů přístupných na http://www.oou.cloud/katalog/sady?u_id=72.
(3) V rámci odpovědnosti zaměstnanců za zpracování osobních údajů nemohou
zaměstnanci při zpracování osobních údajů překračovat rozsah zpracovávaných osobních
údajů, který stanovil správce.
(4) Zaměstnanci jsou povinni zachovávat mlčenlivost o osobních údajích a o
bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.
č. 50/2018 LJ
633
Povinnost mlčenlivosti trvá i po ukončení pracovního poměru, nebo výkonu příslušných
prací.
(5) Zaměstnanec je povinen zpracovávat osobní údaje pouze způsoby zpracování a
v rozsahu, který je správcem stanoven.
(6) Zaměstnanec je povinen neumožnit neoprávněným osobám seznamovat se s osobními
údaji. Za tímto účelem je zaměstnanec povinen zejména při odchodu z pracoviště dodržovat
tzv. pravidlo čistého stolu, tedy nenechávat na stole dokumenty obsahující osobní údaje a
vypínat osobní počítač
(7) Zaměstnanec je povinen bez zbytečného odkladu informovat garanta a pověřence o
případném úniku osobních údajů a jeho rozsahu.
ČÁST TŘETÍ
POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ
Čl. 5
Postavení pověřence
(1) Pověřencem pro ochranu osobních údajů na JAMU je JUDr. MgA. Michal Šalomoun,
Ph.D., advokát, Bráfova tř. 52, 67401 Třebíč, tel: 776048017, email: advokacie@oou.cz.
(2) Pověřenec je zapojen do veškerých procesů a záležitostí souvisejících s ochranou a
zpracováním osobních údajů u zaměstnavatele.
(3) Pověřenci nejsou ze strany zaměstnavatele udělovány žádné konkrétní pokyny,
týkající se naplňování jeho povinností pověřence.
(4) Pověřenec je v souvislosti s výkonem svých úkolů vázán mlčenlivostí.
Čl. 6
Úkoly pověřence
(1) Pověřenec vykonává zejména tyto úkoly
k) poskytuje informace a poradenství zaměstnancům a garantům, kteří provádějí zpracování
osobních údajů, o jejich povinnostech v oblasti ochrany osobních údajů,
l) dohlíží nad realizací ochrany a zpracování osobních údajů,
m) poskytuje poradenství a odbornou pomoc na požádání, pokud jde o posouzení vlivu na
ochranu osobních údajů, a monitoruje jeho uplatňování podle čl. 35 GDPR,
n) po předchozí konzultaci s garanty ohlašuje případy porušení zabezpečení osobních údajů
dozorovému orgánu (čl. 33 GDPR),
o) spolupracuje a komunikuje s dozorovým úřadem,
p) působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování
osobních údajů, včetně předchozí konzultace podle článku 36 GDPR,
q) přijímá od zaměstnanců návrhy na zahájení nového, resp. změnu dosavadního účelu
zpracování osobních údajů a zaujímá k takovýmto návrhům stanoviska,
r) komunikuje se subjekty údajů, které se na něj mohou obracet ve všech záležitostech
souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv dle této
směrnice a nařízení.
(3) Pověřenec bere při plnění svých úkolů patřičný ohled na riziko spojené s činnostmi
zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.
č. 50/2018 LJ
634
(4) Dozví-li se pověřenec, že hrozí porušení pravidel na ochranu osobních údajů nebo jeli
porušení zjištěno, je povinen na to upozornit garanta a písemně doporučit postup odstranění
závadného či rizikového stavu. Garant je povinen v přiměřené lhůtě projednat s pověřencem
stav, a pokud se se zjištěním pověřence ztotožnil, zdržet se dalšího závadného či rizikového
chování. Garant je rovněž povinen přijmout veškerá opatření k tomu, aby se situace
neopakovala. Nesouhlasí-li garant s doporučením pověřence, tak pověřenci písemně zdůvodní
vytýkané chování a uvede důvody, proč se domnívá, že nedošlo, či nehrozí, že by mohlo dojít
k porušení pravidel uvedených v první větě. V takovém případě pověřenec oznámí tuto
skutečnost rektorovi a postoupí mu celou dokumentaci.
ČÁST ČTVRTÁ
ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A JEJICH NAPLŇOVÁNÍ
Čl. 7
Zásady zpracování osobních údajů
Zásady zpracování osobních údajů jsou uvedeny v čl. 5 GDPR. V souladu s ním musí být
osobní údaje:
a) ve vztahu k subjektu údajů zpracovány zákonným, korektním a transparentním
způsobem;
b) shromažďovány pro určité, výslovně vyjádřené a legitimní účely a nesmějí být dále
zpracovávány způsobem, který je s těmito účely neslučitelný,
c) přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou
zpracovány,
d) přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby
osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají,
byly bezodkladně vymazány nebo opraveny,
e) uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je
nezbytné pro účely, pro které jsou zpracovávány,
f) zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich
ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným
či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
Čl. 8
Naplnění zásady transparentnosti
(1) Správce zpracovává osobní údaje transparentně, tak aby kdokoli měl možnost
seznámit se se zpracováním osobních údajů, které provádí.
(2) V rámci transparentnosti tak správce zveřejňuje na internetu všechny informace o
zpracování osobních údajů roztříděné podle jednotlivých účelů zpracování. Tyto informace
jsou zveřejněny na stránkách http://www.oou.cloud/katalog/sady?u_id=72 v sekci Databáze
informací o zpracování osobních údajů.
Čl. 9
Stanovení účelu a rozsahu zpracování osobních údajů
Správce stanoví účel a rozsah zpracování osobních údajů prostřednictvím Klíče.
č. 50/2018 LJ
635
Čl. 10
Plnění povinností správce a zpracovatele
(1) Povinnosti správce a zpracovatele plní garanti, není-li dále stanoveno jinak.
(2) Při jednání s Úřadem zaměstnavatele zastupuje rektor, případně pověřenec.
(3) Podklady pro veškerá jednání s Úřadem připravuje rektorovi garant.
Čl. 11
Zabezpečení osobních údajů
(1) Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponuje
zaměstnavatel, a které obsahují osobní údaje, musí být uchovávány pouze v uzamykatelných
skříních na pracovištích zaměstnavatele, případně na jiných bezpečných místech určených
charakteristikou příslušného zpracování, nebo zabezpečeny šifrováním.
(2) Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní
údaje chráněné podle této směrnice, musí být zabezpečeny před volným přístupem
neoprávněných osob, zpravidla přístupovými hesly, šifrováním či uzamčením. Odpovědné
osoby nesmějí opouštět počítač bez odhlášení se, nesmí neoprávněné osobě umožnit přístup
k počítači a musí chránit utajení přihlašovacího hesla.
(3) V případě, kdy garant, anebo zaměstnanec zjistí nebo nabude podezření, že by mohlo
dojít nebo že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně oznámit
pověřenci a odpovědnému garantovi.
ČÁST PÁTÁ
REALIZACE PRÁV SUBJEKTU ÚDAJŮ
Čl. 12
Informace poskytované subjektu údajů na žádost
(1) Zaměstnavatel v roli správce poskytuje subjektu údajů v souladu s čl. 12 GDPR
informace uvedené v čl. 13 a 14 GDPR a učiní veškerá sdělení podle čl. 15 až 22 a 34 GDPR
o zpracování. Informace je rovněž poskytována v elektronické formě na webových stránkách
na tomto odkazu - http://www.oou.cloud/katalog/sady?u_id=72.
(2) Subjekty údajů se mohou obracet ve všech záležitostech souvisejících se zpracováním
jejich osobních údajů a výkonem jejich práv na pověřence.
(3) Garant, případně pověřenec právu na informace subjektu údajů vyhoví tím, že subjekt
údajů bez zbytečného odkladu navede na
stránku http://www.oou.cloud/katalog/sady?u_id=72, kde jsou požadované informace
roztříděné podle účelu zpracování.
(4) Pokud subjekt údajů bude trvat na jiném způsobu informování, poskytnou se subjektu
údajů informace v samostatných PDF dokumentech, které jsou k dispozici u pověřence.
(5) Informování subjektu údajů bude probíhat dále tak, že zaměstnanci, kteří se subjekty
údajů přicházejí do styku prostřednictvím emailové nebo písemné komunikace do této
komunikace zařadí u každého subjektu údajů do prvního emailu nebo dokumentu, kterým
přicházejí do styku se subjektem údajů, text tohoto znění: Informování subjektu údajů o
zpracování jeho osobních údajů: Informace o zpracování osobních údajů JAMU jako správce
č. 50/2018 LJ
636
osobních údajů zveřejňuje na stránkách http://www.oou.cloud/katalog/sady?u_id=72, kde je
možné informace o zpracování osobních údajů vyhledat podle účelu zpracování. Případně jiný
text, ve kterém bude obsahově vymezen účel zpracování a informace, které se ke zpracování
osobních údajů za tímto účelem vztahují a jsou uvedené
na http://www.oou.cloud/katalog/sady?u_id=72.
Čl. 13
Další práva subjektu údajů
(1) Subjekt údajů má právo na
g) přístup k osobním údajům dle čl. 15 GDPR,
h) opravu dle čl. 16 a 19 GDPR,
i) výmaz dle čl. 17 a 19 GDPR,
j) omezení zpracování dle čl. 18 a 19 GDPR,
k) přenositelnost údajů dle čl. 20 GDPR,
l) vznesení námitky a automatizované individuální rozhodování dle čl. 21 a 22 GDPR.
(5) Vyhovění dalším právům provádí garant za součinnosti pověřence.
Čl. 14
Závěrečná ustanovení
(1) Ochrana osobních údajů, která se doposud u zaměstnavatele uskutečňovala, se uvede
do souladu s touto směrnicí do 1 měsíce ode dne účinnosti této směrnice.
(2) Tato směrnice nabývá účinnosti 1. ledna 2019.
prof. Mgr. Petr Oslzlý, v.r.
rektor
č. 50/2018 LJ
637
Obsah
ČÁST PRVNÍ OBECNÁ USTANOVENÍ
Čl. 1 Předmět a účel úpravy
Čl. 2 Vymezení některých pojmů
ČÁST DRUHÁ ODPOVĚDNOST OSOB ZAJIŠŤUJÍCÍCH OCHRANU
OSOBNÍCH ÚDAJŮ
Čl. 3 Garant zpracování osobních údajů
Čl. 4 Zaměstnanci
ČÁST TŘETÍ POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ
Čl. 5 Postavení pověřence
Čl. 6 Úkoly pověřence
ČÁST ČTVRTÁ ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ A JEJICH
NAPLŇOVÁNÍ
Čl. 7 Zásady zpracování osobních údajů
Čl. 8 Naplnění zásady transparentnosti
Čl. 9 Stanovení účelu a rozsahu zpracování osobních údajů
Čl. 10 Plnění povinností správce a zpracovatele
Čl. 11 Zabezpečení osobních údajů
ČÁST PÁTÁ REALIZACE PRÁV SUBJEKTU ÚDAJŮ
Čl. 12 Informace poskytované subjektu údajů na žádost
Čl. 13 Další práva subjektu údajů
Čl. 14 Závěrečná ustanovení