Organizační a technická opatření k zabezpečení osobních údajů

část první Úvodní ustanovení

V souladu s účinností nařízení Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“) bylo přijato toto opatření, která upravuje podmínky nakládání s osobními údaji zaměstnanců Střední školy informatiky a právních studií, z. ú., Žižkova tř. 4, 370 01 České Budějovice.
Toto opatření upravuje postupy a povinnosti při zpracování osobních údajů. Je závazné pro všechny zaměstnance školy (pedagogické i nepedagogické pracovníky, vč. zaměstnanců na základě dohod o pracích konaných mimo pracovní poměr), jakož i další osoby, které jsou ke škole v jiném právním vztahu, v jehož rámci jsou jim poskytnuty či jimi zpracovávány osobní údaje a kteří se k jejímu dodržování smluvně zavázali.

Vymezení základních pojmů:
Osobní údaj: Osobním údajem se rozumí jakýkoliv údaj, podle kterého lze žáka, zaměstnance či jinou fyzickou osobou přímo či nepřímo identifikovat, zejména s odkazem na určitý identifikátor.
Zvláštní kategorie osobních údajů: Do zvláštní kategorie osobních údajů spadají osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Subjekt údajů: Identifikovaná nebo identifikovatelná fyzická osoba, zejména žák, zaměstnanec.
Zaměstnanec: Zaměstnancem je pro účely tohoto opatření každá fyzická osoba, která se zavázala k výkonu závislé práce v pracovněprávním vztahu ke škole, a to na základě uzavřené pracovní smlouvy nebo dohody o práci konané mimo pracovní poměr, ale i jakákoli třetí osoba v jiném právním vztahu, která se zavázala k dodržování tohoto opatření.
Správce: Správcem je Střední škola informatiky a právních studií, z. ú., Žižkova tř. 4, 370 01 České Budějovice.
Pověřenec pro ochranu osobních údajů: Pověřenec pro ochranu osobních údajů je osoba určená správcem. Pověřencem je paní Jitka Pánová, Nedabyle 87, 370 06 České Budějovice, e-mail: panova@stredniskola.cz , telefon: 386 116 812, pro IT systém Ing. Jiří Nechvátal, nechvatal@stredniskola.cz
Zpracování osobních údajů: Zpracováním údajů je jakákoliv operace s osobními údaji či soubory osobních údajů, kterou provádí správce prostřednictvím svých zaměstnanců, například jejich shromáždění, zaznamenání, uložení, vyhledání, nahlédnutí, šíření či zpřístupnění.
Nakládání s osobními údaji: Jakákoliv operace s osobními údaji či soubory osobních údajů, které provádí zaměstnanci na základě pokynů správce.

Právní titul ke zpracování osobních údajů
Organizace výchovy a vzdělávání je nezbytně spojena se zpracováním osobních údajů. Lze rozlišit tři skupiny při zpracovávání osobních údajů:

1. Osobní údaje zpracovávané na základě školského zákona:
školní matrika, doklady o přijímacím řízení, o průběhu vzdělávání a jeho ukončování, třídní kniha, záznamy z pedagogických rad, kniha úrazů a záznamy o úrazech žáků, lékařské posudky a zprávy.

2. Osobní údaje zpracovávané podle zvláštních zákonů:
podněty pro jednání OSPOD, přestupkové komise, podklady žáků pro vyšetření v PPP, hlášení trestných činů, neomluvená absence, údaje o zdravotní způsobilosti žáka na zotavovacích akcích.

3. Osobní údaje zpracovávané na základě informovaného souhlasu:
seznamy žáků na mimoškolních akcích, seznamy žáků na soutěžích, seznamy zákonných zástupců, jména osob, které mohou v případě nutnosti přímo vyzvedávat žáka ze školy, kontakt na zákonné zástupce (není shodný s adresou žáka), fotografie za účelem propagace či zvýšení zájmu o školu, zveřejnění výtvarných a obdobných děl žáků na výstavách, webu školy, školním časopisu a SOČ, záznamy z kamerového systému školy pořizované za účelem bezpečnosti žáků a ochrany jejich majetku.

část druhá Zásady a základní pravidla

Základní zásady dle GDPR
Osobní údaje musí být ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem.
Osobní údaje musí být shromažďovány pro určité, výslovně vyjádřené a legitimní účely. Osobní údaje musí být omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány. Osobní údaje nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný.
Osobní údaje musí být přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny.
Osobní údaje musí být uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány.
Osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely podle čl. 89 odst. 1 GDPR, a to za předpokladu provedení příslušných technických a organizačních opatření s cílem zaručit práva a svobody subjektu údajů.
Osobní údaje musí být zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.

Základní pravidla pro nakládání s osobními údaji
Zaměstnanci jsou povinni při jakémkoliv nakládání s osobními údaji postupovat v souladu s relevantními právními předpisy, zejména pak s nařízením Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“), a zajistit zabezpečení osobních údajů subjektů údajů.
Zaměstnanci jsou povinni zpracovávat osobní údaje v souladu s účelem a na základě právního titulu, který určí správce. V případě, že vznikne potřeba zpracování osobních údajů pro jiný, nový účel, je zaměstnanec povinen oprávněnost zpracování zkonzultovat s organizací a postupovat dle získaných pokynů.
V případě, že je osobní údaj zpracováván na základě právního titulu souhlasu subjektu osobních údajů, je zaměstnanec povinen tento souhlas před započetím zpracování osobního údaje od subjektu získat. K získání souhlasu je zaměstnanec povinen mít text souhlasu předem schválený ředitelkou. Při udělení souhlasu je zaměstnanec povinen informovat subjekt o možnosti souhlas kdykoliv odvolat.
Zaměstnanci jsou oprávněni zpracovávat osobní údaje subjektů pouze po dobu, po kterou je dán účel zpracování, a to po dobu nezbytně nutnou ve vztahu k danému účelu.
Veškeré pochybnosti v oblasti zpracování osobních údajů je zaměstnanec povinen neprodleně konzultovat se správcem, případně pověřencem pro ochranu osobních údajů.

Povinnost mlčenlivosti
Zaměstnanci jsou povinni mít osobní údaje pod kontrolou (uzamčená skříňka, …), zachovávat o nich mlčenlivost a neposkytovat údaje osobám mimo výchovně vzdělávací proces. Již nepotřebné údaje je nutné skartovat.
Pokud zaměstnanec vědomě poruší povinnost mlčenlivosti, bude to zaměstnavatel považovat za porušení pracovní kázně zvlášť hrubým způsobem a může se zaměstnancem okamžitě rozvázat pracovní poměr podle § 55 odst. 1 písm. b) zákoníku práce. Jestliže zaměstnanec, který byť i z nedbalosti, neoprávněně zveřejní, sdělí, zpřístupní, jinak zpracovává nebo si přisvojí osobní údaje, které byly shromážděné v souvislosti s výkonem veřejné moci, vystavuje se nebezpečí trestního stíhání pro trestný čin dle § 180 zákona č. 40/2009 Sb., trestního zákoníku. Stejnému postihu se vystavuje zaměstnanec, který byť i z nedbalosti, poruší povinnost mlčenlivosti tím, že neoprávněně zveřejní, sdělí nebo zpřístupní třetí osobě osobní údaje získané v souvislosti s výkonem svého zaměstnání.

Zákaz zpracování pro komerční účely
Ředitelka školy důsledně zakazuje předávání osobních údajů žáků a jejich zákonných zástupců třetím osobám soukromého práva. Obdobně se postupuje i u osobních údajů zaměstnanců školy.

Záznamy o činnostech zpracování
Škola jako správce vede v dokumentaci školy písemné záznamy (za písemné se považují i elektronické záznamy) o činnostech zpracování v souladu s čl. 30 GDPR.

Zpracování zvláštní kategorie osobních údajů

Při zpracování zvláštní kategorie osobních údajů může zaměstnanec zpracovávat následující informace pro následující účely, nicméně zpracování je třeba věnovat zvláštní pozornost:
• údaje o zdravotním stavu žáka nebo zaměstnance školy,
• speciální vzdělávací potřeby související se zdravotním stavem,
• specifické stravovací plány související se zdravotním stavem, filozofickým nebo náboženským přesvědčením.

Nevhodná práce s těmito údaji může mít nepříznivý vliv na dotčené osoby. Škola proto zpracovává tyto údaje pouze v nezbytném rozsahu a dbá ve zvýšené míře o jejich zabezpečení.
Zaměstnanci nejsou oprávněni zpracovávat jiné osobní údaje spadající do zvláštní kategorie osobních údajů, vyjma těch osobních údajů, k jejichž zpracování dostali výslovný pokyn od ředitelky školy.

část třetí Výkon práv subjektů údajů

Ředitelka školy informuje zaměstnance školy nejméně jednou ročně o ochraně osobních údajů ve škole.
Pedagogičtí pracovníci nejméně jednou ročně informují zákonné zástupce žáků o ochraně osobních údajů ve škole. Rovněž průběžně informují žáky o ochraně osobních údajů.

Právo na přístup
Každý subjekt údajů (zákonný zástupce žáka, zaměstnanec školy) má právo na přístup k osobním údajům, které se ho týkají.
Subjekt údajů (zákonný zástupce žáka, zaměstnanec školy) má právo si podat žádost o informaci, zda a v jakém rozsahu jsou zpracovávány jeho osobní údaje, osobní údaje jeho dítěte.
Škola musí subjektu údajů (zákonným zástupcům žáků, zaměstnancům), poskytnout kopie zpracování osobních údajů bez zbytečného odkladu.
Škola poskytuje subjektu údajů informace o ochraně osobních údajů bezplatně.
Škola vždy dbá na to, aby žádost o poskytnutou informaci zjišťovala pouze oprávněný zájem žadatele.
Škola vždy dbá na to, aby při poskytnutí informace o osobních údajích nebyly zároveň poskytnuty osobní údaje jiných osob. Žadatele je vždy třeba důkladně identifikovat. Není možné vyhovět pouze e-mailové nebo telefonické žádosti, kdy není žadatel dostatečně identifikován.

Právo na opravu
Každý subjekt údajů (zákonný zástupce žáka, zaměstnanec školy) má právo na opravu k osobním údajům, které se ho týkají. Může se jednat o změnu adresy, jména, bydliště, telefonního čísla apod.
Zaměstnanci školy mají povinnost ohlašovat zaměstnavateli všechny skutečnosti, které jsou nezbytné pro vedení personální a mzdové dokumentace.
Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu.

Právo na výmaz
Každý subjekt údajů (zákonný zástupce žáka, zaměstnanec školy) má právo na výmaz k osobním údajům, které se ho týkají.
Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je školní matrika, přijímací řízení, personální a mzdová evidence apod. S těmito dokumenty je nakládáno dle spisového a skartačního řádu školy a tohoto opatření.
Právo na výmaz nebo omezení osobních údajů se týká pouze případů, kdy subjektu údajů (zákonný zástupce žáka, zaměstnanec školy) dává souhlas se zpracováním osobních údajů.
V závěru školního roku se vždy provádí kontrola dokumentace školy, aby dále neobsahovala zbytečné osobní údaje (žáci odcházející ze školy, rozvázání pracovního poměru zaměstnance apod.).
Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu.

Právo vznést námitku proti zpracování osobních údajů
Každý subjekt údajů (zákonný zástupce žáka, zaměstnanec školy) má právo vznést námitku proti zpracování osobních údajů, které se ho týkají.
Tohoto práva nelze využít při zákonném zpracovávání osobních údajů jako je školní matrika, přijímací řízení, personální a mzdová evidence apod.
S těmito dokumenty je nakládáno dle spisového a skartačního řádu a tohoto opatření.
Tohoto práva nelze využít při zpracování nezbytném pro plnění smlouvy ani při zpracování na základě souhlasu. Toto právo slouží ke zpracování na základě oprávněného zájmy (např. kamerové systémy).
Žádost subjektu údajů vyřizuje škola bez zbytečného odkladu.

Bezpečnostní pravidla pro zaměstnance
Zaměstnanci jsou povinni vynaložit veškeré úsilí k tomu, aby nedošlo k ohrožení osobních údajů žáků, zejména pak musí předcházet neoprávněnému zpřístupnění osobních údajů třetím osobám a ztrátě osobních údajů.

Zaměstnanci jsou povinni dodržovat zejména následující bezpečnostní opatření:
veškeré osobní údaje, podklady, dokumenty nebo jakékoliv jiné materiály a nosiče obsahující osobní údaje žáků uchovávat na chráněných místech a z hlediska techniky a bezpečnosti informací a osobních údajů zabezpečené tak, že je zaručeno, že nedojde k jakémukoliv přístupu neoprávněné třetí osoby k osobním údajům, k jejich změně, zničení či ztrátě, neoprávněným přenosům, či k jejich jinému neoprávněnému zásahu,
nesdělovat osobní údaje neoprávněným osobám, a to ani telefonicky ani při osobním jednání, ani jinak neumožnit neoprávněným osobám přístup k osobním údajům, např. neopouštět prostory, kde se momentálně nachází dokumenty obsahující osobní údaje, pokud jsou zde přítomny třetí osoby, jsou-li dány legitimní účely pro zpřístupnění údajů nebo je-li zpřístupnění právní povinností (např. na základě výzvy exekutora či orgánu činného v trestním řízení), zpřístupnit údaje pouze v přiměřeném rozsahu ve vztahu k účelu zpracování nebo v rozsahu, který stanoví zvláštní právní předpis (občanský soudní řád, exekuční řád, trestní řád), jsou-li dány legitimní účely pro zveřejnění údajů, zveřejnit údaje pouze v přiměřeném rozsahu ve vztahu k účelu zpracování, při zpracovávání osobních údajů využívat pouze schválené programy, formuláře a vzorové dokumenty schválené správcem, při práci s osobními údaji využívat výlučně počítačové vybavení správce, které je vybaveno antivirovým programem, využívat pouze software s legálně pořízenou licencí k jeho užívání.
Řadoví zaměstnanci nejsou oprávněni sdělovat osobní údaje zaměstnanců a žáků třetím osobám, pokud k tomu nedostanou pokyn nadřízeného zaměstnance.
Psychologické, lékařské a jiné průzkumy lze provádět jen se souhlasem zákonného zástupce žáka, dochází-li při nich ke zpracování osobních údajů.

Přístup k osobním údajům
K osobním spisům mají přístup osoby zmocněné k tomu zákonem, nebo osoby, kterým oprávnění plyne z jejich pracovněprávního zařazení.
Do spisu zaměstnanců mohou dále nahlížet vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni. Zaměstnanec má právo nahlížet do svého osobního spisu a pořizovat z něj výpisy a opisy, a to na náklady zaměstnavatele.
Do údajů žáka v matrice mohou dále nahlížet pedagogičtí pracovníci a účetní (ekonom), zřizovatelka školy.
Do údajů žáka o jeho zdravotním stavu a zpráv o vyšetření v poradenském zařízení mohou dále nahlížet výchovná poradkyně, třídní učitel, vedoucí pedagogičtí pracovníci a specializovaní pracovníci spolupracující s organizací (například školní psycholog).

Zabezpečení výpočetní techniky
Pro zajištění ochrany osobních údajů jsou stanovena pravidla pro užívání IT techniky ve škole. Jedná se o správu, údržbu, ochranu a zabezpečení výpočetní techniky, ochranu a zabezpečení informačních systémů, dat a software. Tyto pravidla zajistí ředitelka školy spolu se zřizovatelkou školy a ICT metodikem.

Porušení zabezpečení osobních údajů:
Jestliže kterákoliv ze zúčastněných stran (správce, zpracovatel, subjekt údajů) získá podezření, že je porušeno zabezpečení osobních údajů, je postup následující:

  1. Ihned o tom informuje ředitelku školy a pověřence k ochraně osobních údajů.
  2. Ředitelka školy a pověřenec pro ochranu osobních údajů zhodnotí, zda došlo k porušení zabezpečení osobních údajů dle článku 33 a 34 GDPR.
  3. Ředitelka školy a pověřenec pro ochranu osobních údajů zjistí povahu a závažnost daného porušení zabezpečení osobních údajů a jeho důsledky a nežádoucí účinky pro školu.
  4. V případě potvrzení bezodkladně, nejpozději do 72 hodin, informují Úřad pro ochranu osobních údajů.
  5. V případě pochybností, zda došlo/nedošlo k porušení zabezpečení osobních údajů je vždy vznesen dotaz na Úřad pro ochranu osobních údajů.
  6. V případě, že došlo k porušení zabezpečení osobních údajů, oznámí tuto skutečnost ředitelka školy subjektu údajů (žák, zákonný zástupce, zaměstnanec).
  7. Ředitelka školy a pověřenec pro ochranu osobních údajů na základě doporučení Úřadu pro ochranu osobních údajů učiní taková opatření, aby nedocházelo k dalšímu porušování zabezpečení osobních údajů.

Spisový a skartační řád
Škola má zpracovaný spisový a skartační řád včetně spisového a skartačního plánu.

Školní řád
Ředitelka školy zajistí doplnění školního řádu o kapitolu věnující se ochraně osobních údajů, ve které pojmenujeme práva a povinnosti ve vztahu k ochraně osobních údajů, tj. zejména povinnost zachovávat mlčenlivost pro pedagogy školy, právo zákonných zástupců na přístup k osobním údajům, pravidla pro souhlas se zpracováváním osobních údajů a zákaz pořizování zvukových a obrazových záznamů osob bez jejich svolení.

Organizační řád
Organizační řád je doplněn o funkci o funkci pověřence pro ochranu osobních údajů, který provádí nezávislou kontrolní funkci ochrany osobních údajů ve škole.

část čtvrtá Jednotlivé případy zpracování

Školní matrika
Ředitelka školy rozhodne o formě vedení školní matriky (písemná, elektronická), o odpovědných osobách pro práci se školní matrikou (administrátor, učitel, …), o právech a povinnostech zodpovědných osob, o zabezpečení údajů ze školní matriky a o způsobu předávání údajů ze školní matriky.

Školní úraz
Při evidenci školních úrazů (kniha úrazů, záznam o úrazu) je třeba zajistit, aby byla zachovávána mlčenlivost při práci s osobními údaji při evidenci úrazů žáků a veškeré dokumenty (kniha úrazů, záznamy o úrazech) byly řádně uloženy ve spisovně školy, popřípadě v archivu školy a byl dodržován režim dle spisové služby ve škole.

Správní řízení
V případě rozhodování ředitelky školy o právech a povinnostech v oblasti veřejné/státní správy podle ustanovení § 165 odst. 2 a § 183 odst. 1 školského zákona se o průběhu správního řízení vede spis, který je řádně uložen a zabezpečen dle spisového a skartačního řádu ve škole. V souladu s § 36 odst. 3 zákona č. 500/2004 Sb., správního řádu, má zákonný zástupce možnost ještě před vydáním rozhodnutí seznámit se s obsahem spisu vyjádřit se k podkladům rozhodnutí.

Poskytování poradenských služeb
Škola má podle vyhlášky č. 72/2005 Sb., o poskytování poradenských služeb, povinnost poskytovat poradenské služby žákům i zákonným zástupcům žáků.
Osobní údaje o žácích a jejich rodičích, která se poradenští pracovníci školy dozvědí v souvislosti s výkonem své poradenské činnosti, jsou rovněž chráněny dle GDPR a této směrnice. V těchto případech je nutné klást důraz na následující pravidla:
zachovávat mlčenlivost o skutečnostech týkajících se osobních údajů žáků (zákonných zástupců žáků), dbát, aby programy, se kterými se pracuje při poskytování poradenské služby, byly nainstalovány pouze na určených počítačích, byly přístupné až po přihlášení uživatele ke školní počítačové síti, pro spuštění programu je nezbytné přihlášení uživatele, dokumentaci v listinné podobě je nutné ukládat v zamykatelné skříni v určených prostorách školy, vydává se na základě žádosti odpovědného pracovníka, během zpracování nesmí být ponechána bez dohledu, po ukončení zpracování musí být neprodleně navrácena na určené místo.
Zvláštní pozornost je třeba věnovat citlivým údajům o žácích. Citlivými údaji jsou zejména zdravotní stav žáka, závěry pedagogicko-psychologické poradny, lékařské posudky a závěry jiných institucí.
Při předávání informací, které obsahují citlivé údaje, podepíše zákonný zástupce žáka souhlas se zpracováním citlivých údajů.

Webové stránky školy a fotografie/videa
Mezi osobní údaje patří i fotografické záznamy a videozáznamy (dále jen fotografie). Činnost školy je neodmyslitelně spojena s pořizováním fotografií žáků i zaměstnanců školy, popřípadě dalších osob (zákonní zástupci žáků, účastníci školních akcí apod.).
Osobní údaje žáků na webových stránkách je možné využívat pouze se souhlasem zákonných zástupců žáků.
Souhlas subjektu údajů (zákonný zástupce žáka, zaměstnanec školy) musí být informovaný, konkrétní a písemný a správce osobních údajů je povinen získat jej ještě předtím, než zpracování osobních údajů zahájí, a také je povinen jej po celou dobu zpracování prokázat.

Ředitelka školy zajistí:
aby žáci i zaměstnanci školy byli seznámení s ustanoveními § 84 až § 90 občanského zákoníku (Podoba a soukromí), aby pořizování fotografií za účelem propagace a informování o činnosti školy bylo vždy na základě informovaného souhlasu zákonných zástupců žáků, aby zaměstnanci školy znali oprávněné zpracování osobních údajů – fotografií, aby byly zveřejňované fotografie vhodné.
Při zpřístupnění fotografií žáků na webových stránkách školy je potřeba rozlišovat, jedná-li se o fotografii konkrétního žáka s osobními údaji (jméno, příjmení, třída, …) nebo zda fotografie zachycují pouze průběh školních akcí, nikoli podobizny jednotlivých žáků, a jsou označeny pouze názvem dané školní akce. Tento postup účastníka řízení tak nelze považovat za zásah do práva na ochranu osobních údajů a k porušení nařízení EU.

Kamerový systém
V režimu nařízení EU o ochraně osobních údajů (GDPR) jsou takové kamerové systémy, které jsou vybaveny záznamovým zařízením, tedy jejich součástí je uchovávání (zpracování) informací – osobních údajů.

Ředitelka školy zajistí:
Stanovení účelu instalace kamerového systému, způsob provozování kamerového systému, souhlas subjektu údajů (zákonných zástupců žáků, zaměstnanců školy, …), pokud není kamera provozována na základě oprávněného zájmu (zajištění bezpečnosti a ochrany majetku), informovanost monitorovaných osob o kamerovém systému, ochranu zaměstnanců před sledováním zaměstnavatele.

Smlouvy
Řada smluv obsahuje osobní údaje nebo na základě smluvního vztahu jako zpracovatelé pracují s osobními údaji správce (školy). Jedná se zejména o smlouvy typu:
Může být např. provozování cloudového úložiště (uložena školní matrika a další dokumentace školy), poskytování pracovně lékařské služby závodním lékařem.

Škola je v pozici správce osobních údajů
Externí firma poskytující prodej zboží nebo služby je v pozici zpracovatele osobních údajů. I uzavřená smlouva nezbavuje správce (školy) povinnosti chránit osobní údaje
Škola je povinna využít pro zpracování osobních údajů pouze ty zpracovatele, kteří poskytují dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky GDPR (čl. 28 GDPR) a zajistit a doložit, že zpracování osobních údajů je prováděno v souladu s GDPR (čl. 24 GDPR). Zejména musí být uzavřena písemná (postačí elektronická) zpracovatelská smlouva.

Účetní doklady
Účetní doklady (faktury) jsou dokumenty obsahujícím osobní údaje, na které se GDPR vztahuje. Účetní jednotky jsou povinny uchovávat účetní záznamy pro účely vedení účetnictví po zákonem stanovenou dobu (zákon o účetnictví), jedná se tedy o zpracování osobních údajů.

Příklady účetních dokladů a jejich archivace:
účetní závěrky a výroční zprávy po dobu 10 let počínajících koncem účetního období, kterého se týkají, účetní doklady, účetní knihy, odpisové plány, inventurní soupisy, účtový rozvrh, přehledy po dobu 5 let počínajících koncem účetního období, kterého se týkají, účetní záznamy, kterými účetní jednotky dokládají vedení účetnictví, po dobu 5 let počínajících koncem účetního období, kterého se týkají. Účetní jednotka může jako účetní záznamy použít zejména mzdové listy, daňové doklady nebo jinou dokumentaci vyplývající ze zvláštních právních předpisů.

Poskytování dotací z operačních programů
Zpracovávání osobních údajů při realizaci poskytování dotací nemá zásadně výslovnou oporu v zákoně s výjimkou čl. 125 odst. 2 písm. d) a e) GDPR, podle kterého je mimo jiné možné zpracovávat osobní údaje osob podpořených z dotace, které se uchovávají a zaznamenávají v počítačových systémech o každé operaci nezbytné pro realizaci čerpání dotace.
Při zpracování žádosti o dotaci a další dokumentace při poskytování dotací je třeba zajistit souhlas subjektu údajů.

část pátá Pověřenec pro ochranu osobních údajů

Jmenování pověřence pro ochranu osobních údajů
Ředitelka školy jmenuje pověřence pro ochranu osobních údajů.

část šestá Závěrečná ustanovení

Účinnost
Opatření nabývá účinnosti dne 25. 5. 2018.

Mgr. Kateřina Cikánová
ředitelka školy