Směrnice
k ochraně osobních údajů podle Nařízení EU č. 2016/679

Název:

Zásady a pravidla ochrany osobních údajů v souladu s Nařízením EU č. 2016/679 o ochraně osobních údajů GDPR.

K provedení:

Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Účinnost:

25. května 2018

Část první

Základní ustanovení

Článek 1

Předmět

1. Tato směrnice stanoví zásady a pravidla při zpracování osobních údajů v rámci Vysoké školy aplikované psychologie, s.r.o. (dále jen VŠAPs), odpovědnosti osob zajišťujících ochranu osobních údajů na škole a vymezuje práva a povinnosti zaměstnanců, studentů, případně dalších fyzických i právnických osob účastnících se činností souvisejících se zpracováním osobních údajů.
2. Tato směrnice vychází z Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“) a ze zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále jen „zákon“), s tím, že doplňuje a rozpracovává některá jejich ustanovení pro úpravu vztahů v rámci VŠAPs a stanoví organizační postupy zajišťující jejich realizaci.

Článek 2

Výklad základních pojmů

1. Pro účely tohoto opatření se rozumí:
2. „osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby;
3. „zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení;
4. „omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu;
5. „profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v jejich použití k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozboru nebo odhadu aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, osobních preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu;
6. „pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě;
7. „evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska;
8. „správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení;
9. „zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce;
10. „řetězením zpracovatelů“ situace, kdy je do zpracování osobních údajů zapojena na základě písemného souhlasu univerzity další osoba v pozici (dílčího) zpracovatele;
11. příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejné moci, které mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského státu, se za příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí být v souladu s použitelnými pravidly ochrany údajů pro dané účely zpracování;
12. „třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci nebo zpracovateli, jež je oprávněna ke zpracování osobních údajů;
13. „souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů;
14. porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů;
15. „genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby;
16. „biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje;
17. údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.
18. Další pojmy jsou uvedeny v čl. 4 Nařízení. 

Článek 3

Zásady zpracování osobních údajů

1. Osobní údaje musí být:
2. ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem („zákonnost, korektnost a transparentnost“);
3. shromažďovány pro určité, výslovně vyjádřené a legitimní účely, a nesmějí být dále zpracovávány způsobem, který je s těmito účely neslučitelný („účelové omezení“); další zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého výzkumu nebo pro statistické účely se nepovažuje za neslučitelné s původními účely;
4. přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány („minimalizace údajů“);
5. přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, aby osobní údaje, které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodkladně vymazány nebo opraveny („přesnost“);
6. uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezbytné pro účely, pro které jsou zpracovávány („omezení uložení“); osobní údaje lze uložit po delší dobu, pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu, pro účely vědeckého výzkumu nebo pro statistické účely, a to za předpokladu provedení příslušných technických a organizačních opatření požadovaných nařízením s cílem zaručit práva a svobody subjektu údajů;
7. zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“).
8. Za dodržování zásad dle odstavce 1 odpovídají osoby uvedené v druhé části této směrnice a musí být dle čl. 5 ods. 2 Nařízení rovněž schopny toto dodržení souladu doložit („odpovědnost“).

 Článek 4

Zákonnost zpracování

1. V souladu s čl. 6 Nařízení je zpracování zákonné, pouze pokud je splněna nejméně jedna z těchto podmínek a pouze v odpovídajícím rozsahu:
2. subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více konkrétních účelů (podmínky vyjádření souhlasu jsou podrobně uvedeny v čl. 7 a 8 Nařízení);
3. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů;
4. zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro splnění právní povinnosti, která se na správce vztahuje;
5. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
6. zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce;
7. zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany, kromě případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů vyžadující ochranu osobních údajů, zejména pokud je subjektem údajů dítě.
8. Ustanovení odstavce 1 písm. f) se netýká zpracování osobních údajů prováděného VŠ v případech, kdy VŠ vystupuje jako orgán veřejné moci ve věcech jí svěřených zákonem č. 111/1998 Sb., zákon o vysokých školách, ve znění pozdějších předpisů nebo jiným právním předpisem. V těchto případech se postupuje dle odstavce 1 písm. c). 

Článek 5

Zpracování zvláštních kategorií osobních údajů

1. Je zakázáno zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů identifikujících konkrétní fyzickou osobu a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby v případech, na které se nevztahují odstavce 2 a 3.
2. Výjimky ze zákazu zpracování osobních údajů podle odstavce 1 jsou dány čl. 9 Nařízení, zejména lze osobní údaje dle předchozího odst. 1. zpracovávat tehdy, pokud subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů. Tento souhlas musí být dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, jakých údajů se týká, k jakému účelu, na jaké období a kdo jej poskytuje. Subjekt údajů svým podpisem také potvrzuje, že byl předem poučen o svých právech. Zaměstnanec provádějící zpracování osobních údajů musí být schopen existenci tohoto souhlasu doložit po celou dobu jejich zpracovávání.
3. Výjimkami ze zákazu v odstavci 1 jsou také údaje:
4. o zdravotním stavu v osobních evidencích zaměstnanců a studentů za předpokladu, že tyto údaje byly subjektem údajů do zmíněné evidence dobrovolně předány a jsou vedeny v jeho prospěch (např. mají vliv na přijetí ke studiu, poskytování služeb osobám se specifickými potřebami, ubytování v kolejích nebo výpočet jeho daňové povinnosti či jiných zákonných dávek);
5. zvláštní kategorie osobních údajů zpracovávané pro účely projektů/výzkumu.
6. Zpracování osobních údajů, které nevyžaduje identifikaci subjektu údajů, upravuje č. 11 Nařízení.

Část druhá

Odpovědnost osob zajišťujících ochranu osobních údajů

Článek 6

Vysoká škola

VŠAPs je subjektem odpovědným za zpracování osobních údajů podle čl. 1 odst. 2. Může vystupovat jak v roli správce, tak v roli zpracovatele. Za účelem naplňování ochrany osobních údajů tak, jak je požadováno nařízením a zákonem, jsou v této části opatření stanoveny osoby participující na zajišťování výše uvedeného účelu.

1. Postavení rektora je dáno zákonem o vysokých školách, Statutem a ostatními vnitřními předpisy VŠ. Rektor jedná jako statutární orgán VŠ odpovědný za dodržování zásad, pravidel a postupů při zpracování osobních údajů vně i dovnitř vysoké školy, a to v případech realizovaných na centrální úrovni VŠ a tam, kde nedošlo k posunu pravomocí na další osoby, uvedené v této části.
2. Prorektoři odpovídají rektorovi VŠ za dodržování zásad, pravidel a postupů při zpracování osobních údajů realizovaných v rámci oblasti jejich činnosti a působností.
3. Tajemníci odpovídají rektorovi VŠAPs za dodržování zásad, pravidel a postupů při zpracování osobních údajů realizovaných v oblastech své působnosti. 

Článek 7

Odpovědnost vedoucích pracovníků při zpracování osobních údajů 

1. Vedoucí pracovník je odpovědný za dodržování zásad, pravidel a postupů (uvedených v této směrnici, v Nařízení a v zákoně) při zpracování osobních údajů realizovaných v jemu svěřené oblasti, a to včetně zajištění bezpečného uložení dat, a řídí v této oblasti zpracování osobních údajů prováděná pracovníky jemu podřízenými.
2. Vedoucí pracovník provádí v jemu svěřené oblasti posouzení vlivu zamýšlených operací zpracování na ochranu osobních údajů podle čl. 35 Nařízení. Za tímto účelem si vyžádá posudek pověřence pro ochranu osobních údajů dle části třetí.
3. U nových činností bude odpovídající vedoucí pracovník nebo pracovníci určeni před zahájením zpracování osobních údajů.
4. Vedoucí pracovníci zajistí, aby jim podřízení zaměstnanci podílející se na zpracování osobních údajů, byli zavázáni závazkem mlčenlivosti. Vzor závazku mlčenlivosti, doporučený pro doplnění do pracovních smluv zaměstnanců, tvoří přílohu směrnice č. 2.

Článek 8

Zaměstnanci vysoké školy 

1. Zaměstnanci či jiné osoby v pracovně právním vztahu, kteří přijdou do styku se zpracováním osobních údajů, jsou povinni se seznámit s touto směrnicí, Nařízením, dalšími relevantními obecně závaznými právními předpisy a relevantními metodickými doporučeními vydanými pověřencem pro ochranu osobních údajů na VŠAPs. Za toto seznámení odpovídá vedoucí pracovník nadřízený zaměstnanci.
2. Osoby uvedené v odstavci 1 jsou povinny zpracovávat osobní údaje vždy jen v rozsahu a za podmínek stanovených vedoucím pracovníkem, v jehož kompetenci je daná činnost zpracování osobních údajů.
3. Osoby uvedené v odstavci 1 jsou povinny zachovávat mlčenlivost o osobních údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenlivosti trvá i po ukončení pracovního poměru, studia nebo výkonu příslušných prací.
4. Pokud se zaměstnanec vysoké školy či jiná osoba v pracovněprávním vztahu s vysokou školou podílí na zpracování osobních údajů, je odpovědná za jí realizované zpracovávání osobních údajů. Při zpracování osobních údajů je povinna dbát pokynů a metodických doporučení určeného správce pro ochranu osobních údajů na VŠAPs a poskytovat mu informace, které si od ní správce vyžádá.
5. Osoba v pracovněprávním vztahu s VŠAPs je oprávněna obrátit se se svým dotazem či podnětem týkajícím se zpracování a ochrany osobních údajů na pověřence pro ochranu osobních údajů dle části třetí.
6. Řešení konkrétních záležitostí pak vycházejí ze Sbírky zákonů České republiky. 

Článek 9

Studenti a účastníci programů celoživotního vzdělávání 

1. V případech, kdy by při zpracování závěrečných prací studentů (bakalářské a ročníkové práce) a účastníků programů celoživotního vzdělávání (dále jen „CŽV“) byly zpracovávány osobní údaje, je vedoucí práce nebo školitel povinen seznámit studenta, resp. účastníka programu CŽV s povinnostmi dle této směrnice a Nařízení a zajistit případné další kroky v souladu s tímto opatřením. Student podpisem zaměstnanci školy stvrdí, že byl se směrnicí seznámen.
2. V případech, kdy vyučující předmětu zadává v rámci výuky předmětu studentům nebo účastníkům programů CŽV zpracování práce vyžadující zpracování osobních údajů, je vyučující povinen seznámit studenta, resp. účastníka programu CŽV, s povinnostmi podle této směrnice a Nařízení a zajistit případné další kroky v souladu s tímto opatřením. Další povinnosti zaměstnance a studenta vycházejí z právních náležitostí obsažených ve Sbírce zákonů České republiky.
3. Další podrobnosti o činnostech zpracování osobních údajů dle tohoto článku může stanovit opatření rektora vysoké školy, na návrh pověřence.

Článek 10

Další osoby podílející se na zpracování osobních údajů, řetězení zpracovatelů a zpracovatelská smlouva 

1. V případech, kdy se na zpracování osobních údajů, u nichž je VŠ správcem či zpracovatelem, podílejí osoby bez přímého právního vztahu s VŠ (např. zaměstnanci společných pracovišť VŠ a jiné instituce, spoluřešitelé výzkumných projektů z jiných institucí, spoluautoři publikací ), je třeba, aby tyto osoby byly seznámeny s povinnostmi vyplývajícími z tohoto opatření a z Nařízení a byly zavázány k dodržování tohoto opatření např. formou smlouvy mezi VŠ a spolupracující institucí či jiným vhodným závazným způsobem.
2. Smlouva, jejímž předmětem má být poskytování služeb VŠ ze strany zpracovatele osobních údajů, smí být uzavřena pouze s takovou osobou, jež bude plnit funkci zpracovatele, která bude poskytovat dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané zpracování splňovalo požadavky podle právní úpravy na ochranu osobních údajů a byla zajištěna bezpečnost a ochrana osobních údajů, práv a svobod subjektů údajů.
3. Je povinností zaměstnance, který za VŠ o smlouvě jedná, příp. ji za VŠ uzavírá, ověřit spolehlivost zpracovatele osobních údajů a naplnění předpokladů pro zákonné zpracování osobních údajů ze strany potenciálního zpracovatele.
4. Předchozí písemný souhlas VŠ k řetězení zpracovatelů pro případy poskytování zpracovatelských služeb zpracovatelem ze strany třetích osob lze udělit pouze, pokud je to k plnění úkolů VŠ nezbytně nutné.
5. Má-li VŠ realizovat zpracování osobních údajů v pozici zpracovatele osobních údajů, lze do zpracování osobních údajů zapojit dílčího zpracovatele (řetězení zpracovatelů) pouze tehdy, byl-li k tomu ve smlouvě o zpracování osobních údajů, příp. v písemném svolení ze strany správce osobních údajů udělen souhlas. Souhlas může být buďto pro osobu určitého zpracovatele, nebo obecný, kdy výběr dílčího zpracovatele v mezích plynoucích ze svolení náleží VŠ.
6. Má-li VŠ realizovat zpracování osobních údajů jako dílčí zpracovatel v rámci řetězení zpracovatelů, tedy jako zpracovatel zpracovávající osobní údaje pro zpracovatele, vyžádá si osoba vyjednávající uzavření smlouvy za VŠ před uzavřením smlouvy potřebné podklady osvědčující, že zpracovatel disponuje od správce osobních údajů oprávněním zapojit do zpracování dílčího zpracovatele osobních údajů; podklady se míní buďto individuální svolení k zapojení VŠ coby dílčího zpracovatele, nebo obecné zmocnění k zapojení dílčího zpracovatele.
7. Smlouva o zpracování osobních údajů uzavíraná VŠ se zpracovatelem, příp. se správcem nebo s dílčím zpracovatelem bude mít parametry podle čl. 28 Nařízení.

Část třetí

Pověřenec pro ochranu osobních údajů

Článek 11

Postavení pověřence

1. Pověřenec pro ochranu osobních údajů (dále jen „pověřenec“) je přímo podřízen rektorovi.
2. Pověřenec je zapojen do veškerých procesů a záležitostí souvisejících s ochranou a zpracováním osobních údajů na VŠAPs.
3. Pověřenec je za strany vysoké školy podporován v udržování svých odborných znalostí a je mu umožněn přístup k osobním údajům, operacím zpracování a k veškerým zdrojům potřebným pro plnění úkolů, uvedených v čl. 13.
4. Pověřenci nejsou ze strany vysoké školy udělovány žádné konkrétní pokyny, týkající se naplňování jeho povinností pověřence.
5. Pověřenec je v souvislosti s výkonem svých úkolů vázán mlčenlivostí. Povinnost mlčenlivosti trvá i po skončení pracovního poměru.
6. Údaje o pověřenci včetně kontaktu na něj jsou uvedeny ve veřejné části internetových stránek VŠAPs.

Článek 12

Jmenování pověřence

Pověřenec je jmenován rektorem na základě svých profesních kvalit, zejména na základě svých odborných znalostí a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly uvedené v čl. 13. Rektor může pověřence také odvolat. Jmenování je u externí osoby provedeno formou smlouvy o poskytování této služby.

Článek 13

Úkoly pověřence

1. Pověřenec vydává zejména tyto úkoly:
2. poskytuje informace a poradenství zaměstnancům a studentům VŠAPs, kteří provádějí zpracování osobních údajů, o jejich povinnostech podle tohoto opatření, nařízení a dalších obecně závazných právních předpisů v oblasti ochrany osobních údajů;
3. monitoruje soulad s tímto opatřením, Nařízením, dalšími obecně závaznými právními předpisy v oblasti ochrany osobních údajů a s koncepcemi VŠ v oblasti ochrany osobních údajů, včetně zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování;
4. dohlíží nad realizací ochrany a zpracování osobních údajů;
5. poskytuje odbornou pomoc, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitoruje jeho uplatňování podle čl. 35 Nařízení;
6. po předchozí konzultaci s osobami uvedenými v čl. 6 ohlašuje případy porušení zabezpečení osobních údajů dozorovému úřadu podle čl. 33 Nařízení a oznamuje případy porušení ochrany osobních údajů subjektu údajů podle čl. 34 Nařízení;
7. spolupracuje a komunikuje s dozorovým úřadem;
8. působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů, včetně předchozí konzultace podle čl. 36 Nařízení;
9. přijímá od zaměstnanců vysoké školy návrhy na zahájení nového, resp. změnu dosavadního zpracování osobních údajů a zaujímá k těmto návrhům stanoviska;
10. komunikuje se subjekty údajů, které se na něj mohou obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv dle tohoto opatření a Nařízení;
11. vydává metodická doporučení týkající se zpracování osobních údajů na VŠAPs, jimiž se osoby podílející se na zpracování osobních údajů na vysoké škole mají řídit;
12. plní další úkoly vyplývající pro jeho pozici z Nařízení, zákona či jiných obecně závazných právních předpisů, či vyplývajících z tohoto opatření a ostatních vnitřních předpisů VŠAPs a Opatření rektora.
13. Pověřenec dohlíží na fungování registru činností zpracování osobních údajů VŠAPs uvedené v čl. 18.
14. Pověřenec bere při plnění svých úkolů patřičný ohled na riziko spojené s činnostmi zpracování a současně přihlíží k povaze, rozsahu, kontextu a účelům zpracování.

Článek 14

Působnost pověřence na vysoké škole

1. Dozví-li se pověřenec, že hrozí porušení pravidel na ochranu osobních údajů vyplývajících z Nařízení, zákona či této směrnice nebo je-li porušení zjištěno, je povinen na to upozornit vedoucí pracovníky dle čl. 6 a písemně doporučit odstranění závadného či rizikového stavu. Vedoucí pracovník dle čl. 7 je povinen v přiměřené lhůtě projednat s pověřencem stav, a pokud se se zjištěním pověřence ztotožnil, zdržet se dalšího závadného či rizikového chování. Vedoucí pracovník je rovněž povinen přijmout veškerá opatření k tomu, aby se situace neopakovala.
2. Pověřenec je povinen dát podnět k přijetí obecných či konkrétních opatření v oblasti ochrany osobních údajů osobám uvedeným v čl. 6 vždy, když:

a) na základě svých zjištění podle odstavce 1 zjistí hrozbu porušení či porušení pravidel;

b) to bude vhodné v návaznosti na zobecňování praxe v oblasti osobních údajů.

3. Ustanoveními odstavce 1 až 3 není dotčena povinnost pověřence po předchozí konzultaci s osobami uvedenými v čl. 6 ohlásit porušení zabezpečení osobních údajů dozorovému úřadu a subjektu údajů podle čl. 13 odst. 1 písm. e).

Část čtvrtá

Subjekt údajů

Článek 15

Subjekt údajů

Subjektem údajů je fyzická osoba, jejíž osobní údaje jsou zpracovávány. Při činnostech zpracování osobních údajů na VŠAPs jsou zpracovávány údaje těchto subjektů údajů:

1. zaměstnanec VŠAPs (respektive osoba v pracovněprávním vztahu s VŠAPs),
2. uchazeč o zaměstnání,
3. uchazeč o studium,
4. student vysoké školy,
5. bývalý student vysoké školy (včetně absolventů),
6. účastník programu CŽV,
7. student jiné vysoké školy nebo student na krátkodobém studijním pobytu na VŠAPs,
8. obchodní partner (dodavatel, odběratel, zákazník),
9. účastník výzkumu,
10. externí spolupracovník (např. školitel, spoluřešitel, spoluautor publikace),
11. návštěvník nebo účastník akce pořádané vysokou školou,
12. účastník správního nebo soudního řízení s vysokou školou,
13. jiná osoba.

Článek 16

Informace poskytované subjekt údajů

1. VŠAPs v roli správce poskytuje informace subjektu údajů v souladu s čl. 12 Nařízení stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků.
2. Pokud jsou osobní údaje získány od subjektu údajů, poskytne správce v okamžiku jejich získání subjektu údajů tyto informace:
3. kontaktní údaje vysoké školy;
4. kontaktní údaje pověřence pro ochranu osobních údajů;
5. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
6. oprávněné zájmy vysoké školy nebo třetí strany v případě, že je zpracování založeno na čl. 4 odst. 1 písm. f);
7. případné příjemce nebo kategorie příjemců osobních údajů;
8. případný úmysl vysoké školy předat osobní údaje do třetí země (tj. mimo Evropskou unii) nebo mezinárodní organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
9. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne vysoká škola subjektu údajů vedle informací uvedených v odstavci 2 další informace uvedené v čl. 13 odst. 2 Nařízení.
10. Pokud nebyly osobní údaje získány od subjektu údajů, poskytuje VŠ subjektu údajů tyto informace:
11. kontaktní údaje vysoké školy;
12. kontaktní údaje pověřence pro ochranu osobních údajů;
13. účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
14. kategorie dotčených údajů;
15. případné příjemce nebo kategorie příjemců osobních údajů;
16. případný úmysl vysoké školy předat osobní údaje do třetí země (tj. mimo Evropskou unii) nebo mezinárodní organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo informace o tom, kde byly tyto údaje zpřístupněny.
17. Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne vysoká škola subjektu údajů vedle informací uvedených v odstavci 4 další informace uvedené v čl. 14 odst. 2 Nařízení.
18. Vysoká škola v roli správce učiní dále veškerá sdělení podle čl. 15 až 22 a 34 Nařízení.
19. Informace dle tohoto článku jsou poskytovány v elektronické formě na webových stránkách a v informačních systémech VŠAPs, popřípadě jiným vhodným prokazatelným způsobem. 

Článek 17

Práva subjektu údajů 

1. Práva subjektu údajů tvoří nedílnou součást ochrany osobních údajů při jejich zpracování.
2. Jedná se především o právo subjektu údajů na:
3. přístup k osobním údajům podle čl. 15 Nařízení;
4. informace o zpracování osobních údajů
5. opravu podle čl. 16 a 19 Nařízení;
6. výmaz podle čl. 17 a 19 Nařízení;
7. omezení zpracování podle čl. 18 a 19 Nařízení;
8. přenositelnost údajů podle čl. 20 Nařízení;
9. vznesení námitky podle čl. 21 Nařízení;
10. automatizované individuální rozhodování, které upravuje čl. 22 Nařízení.
11. Subjekty údajů se mohou obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv dle této směrnice a Nařízení na pověřence.
12. Veškerá sdělení vůči subjektům údajů, včetně informací o jejich právech a vyrozumění subjektu údajů při uplatnění jeho práv, se poskytují stručným, transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduchých jazykových prostředků, kdy se mimo jiného přihlíží i k věku adresáta informace. 

Část pátá

Registr činností zpracování osobních údajů

Článek 18

Registrace a evidence činností zpracovávání osobních údajů

1. Za účelem dosažení přehledu o zpracování osobních údajů na VŠ je zřízen registr činností zpracování osobních údajů. Za registr jsou zodpovědné osoby uvedené v čl. 6.
2. Popis jednotlivých činností musí obsahovat úplnou charakteristiku příslušného zpracování osobních údajů, a to v tomto rozsahu:
3. název agendy, resp. činnosti zpracování,
4. popis činnosti zpracování,
5. typy subjektů údajů dle čl. 15, jejichž údaje jsou činností zpracovávány,
6. výčet osobních údajů nebo jejich skupiny, které jsou činností zpracovávány,
7. typy dokumentů, které jsou činností zpracovávány,
8. informace o předávání osobních údajů mimo VŠ,
9. umístění zpracovávaných osobních údajů a označení informačního systému nebo aplikace, pokud se při činnosti zpracovávání využívá,
10. informace, kdy a jak jsou nebo budou osobní údaje z agendy odstraňovány,
11. role podílející se na činnosti zpracování,
12. vedoucí pracovníci odpovědní za činnosti zpracování dle čl. 7,
13. právní důvod a účel pro činnosti zpracování,
14. informace o zpracovatelích, pokud se na agendě podílejí, včetně rozsahu jim zpřístupněných údajů a zpracování, které vykonávají,
15. obecný popis technických a organizačních bezpečnostních opatření k zabezpečení osobních údajů odpovídajících rizikům pro práva a svobody subjektu údajů dle čl. 32 odst. 1 Nařízení.
16. Osobní údaje na VŠAPs jsou zpracovávané v elektronické podobě prostřednictvím informačního systému Moggis a papírové formě. 

Část šestá

Zveřejňování osobních údajů a jejich poskytování třetím stranám

Článek 19

Zveřejňování osobních údajů

1. Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným osobám či skupinám osob, zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veřejného seznamu (např. ve veřejné části internetových stránek, Facebooku, Instagramu nebo Newsletteru vysoké školy).
2. U osob, které obhajovaly závěrečnou práci po 1. 1. 2006, jsou v souvislosti se zveřejňováním závěrečných prací dle § 47b zákona o vysokých školách zveřejňovány tyto údaje:
   1. příjmení a jméno (resp. příjmení a jména),
   2. tituly,
   3. datum narození,
   4. název vysoké školy
   5. studijní program, studijní obor studia, popřípadě specializace,
   6. název pracoviště, které vypsalo práci,
   7. typ práce (bakalářská, diplomová, rigorózní, disertační),
   8. název práce,
   9. kompletní text práce a přílohy práce,
   10. jazyk práce,
   11. klíčová slova k práci,
   12. abstrakt,
   13. vedoucí práce,
   14. konzultant práce,
   15. oponenti práce,
   16. posudek vedoucího práce,
   17. posudek oponenta, resp. oponentů práce,
   18. datum obhajoby,
   19. záznam o průběhu obhajoby,
   20. výsledek obhajoby (udělená klasifikace).
3. Pokud student aktuálně působí v samosprávných akademických či poradních orgánech vysoké školy, jsou o něm zveřejněny údaje dle odstavce 5 písm. a), b), c), g) a může povolit zveřejnění dalších údajů dle odstavce 7.
4. Údaje o uchazečích ke studiu se nezveřejňují.
5. VŠAPs zveřejňuje prostřednictvím webových stránek, publikací vydaných na VŠAPs či dalších veřejně přístupných dokumentů, následující údaje o zaměstnancích:
   1. jméno,
   2. příjmení,
   3. tituly,
   4. druh pracovněprávního vztahu,
   5. pracovní zařazení (profesor, docent, odborný asistent, asistent, lektor atd.),
   6. funkce na pracovišti a v orgánech vysoké školy,
   7. kontaktní údaje v souvislosti s vysokou školou (adresy pracovišť, umístění kanceláře, telefonní čísla, e-mailové adresy),
   8. vědní obor nebo jinou specializaci zaměstnance,
   9. konzultační hodiny,
   10. průběh akademické kvalifikace,
   11. podíl na jednotlivých formách tvůrčí činnosti vysoké školy,
   12. informace o vydaných publikacích,
   13. výuku uskutečňovanou na vysoké škole.
6. Údaje dle odstavce 5 jsou povinně zveřejňovány pro zaměstnance s aktuálně platnou pracovní smlouvou. Pro zaměstnance pracující na základě dohody o pracovní činnosti či dohody o provedení práce jsou tyto údaje zveřejněny, nerozhodne-li nadřízený pracovník zaměstnance jinak.
7. Zaměstnanec má dále právo povolit zveřejnění a zvolit si jeho konkrétní rozsah pro následující údaje:
   1. fotografie,
   2. životopis,
   3. osobní internetové stránky související s jeho působením na VŠAPs,
   4. případně další údaje, které o sobě zveřejní sám,

8. V případě akademických funkcionářů a osob aktuálně působících v samosprávných akademických či poradních orgánech univerzity, které nejsou v pracovněprávním vztahu k univerzitě, jsou zveřejňovány údaje dle odstavce 5 písm. a), b), c), f) a g). 

Článek 20

Poskytování osobních údajů třetím stranám

1. Poskytování osobních údajů třetím stranám mimo vysokou školu se řídí touto směrnicí, Nařízením a platnými obecně závaznými právními předpisy.
2. Každé poskytování osobních údajů třetí straně mimo VŠ musí být zaznamenáno v registru, včetně uvedení rozsahu poskytovaných údajů, účelu poskytnutí a identifikace třetí strany.
3. Za dodržování správného postupu při poskytování osobních údajů třetím osobám mimo vysokou školu v souladu s tímto opatřením, nařízením a platnými obecně závaznými právními předpisy jsou odpovědní vedoucí pracovníci pro danou činnost či oblast zpracování dle čl. 6 a 7. 

Článek 21

Zabezpečení osobních údajů 

1. Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponuje škola, které obsahují osobní údaje chráněné podle tohoto opatření, musí být uchovávány pouze v uzamykatelných skříních, nebo k tomu vyhrazených místnostech na pracovištích školy, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů nebo zabezpečeny šifrováním. Mimo pracoviště školy mohou být odneseny pouze kopie těchto písemností nebo nosičů a to za podmínek uvedených v odstavci 3.
2. Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní údaje chráněné podle tohoto opatření, musí být zabezpečeny před volným přístupem neoprávněných osob, zpravidla přístupovými hesly, šifrováním či uzamčením. Údaje uložené na těchto technických prostředcích, které nesouvisejí s činnostmi VŠAPs (např. soukromé soubory zaměstnanců a studentů vysoké školy), nepodléhají tomuto opatření.
3. Kopie osobních údajů chráněných podle tohoto opatření musí být pořizovány na technické nosiče informací podle provozních pravidel stanovených pro jednotlivá zpracování údajů a uchovávány v uzamykatelných skříních na pracovištích vysoké školy, případně na jiných bezpečných místech určených charakteristikou příslušného zpracování údajů nebo zabezpečeny šifrováním. V případě, že tyto kopie opustí prostory vysoké školy, musí být dodatečně zabezpečeny (uzamčeny, zašifrovány apod.) tak, aby se předešlo jako nahodilému přístupu neoprávněné osoby k nim, tak cílenému pokusu o neoprávněný přístup k těmto údajům.
4. V případě, kdy zaměstnanec nebo student univerzity zjistí nebo nabude podezření, že by mohlo dojít nebo že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně oznámit pověřenci a osobám uvedeným v čl. 6 a 7.
5. Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu podle čl. 33 Nařízení a oznamování případů porušení ochrany osobních údajů subjektů podle čl. 34 Nařízení provádí po předchozí konzultaci s osobami uvedenými v čl. 6 pověřenec.

Část sedmá

Přechodná a závěrečná ustanovení

Článek 22

Přechodná a závěrečná ustanovení

1. V případech již existujících činností zpracování osobních údajů budou kompetence vedoucích pracovníků dle čl. 6 a 7 stanoveny nejpozději do deseti dnů po nabytí účinnosti tohoto opatření.
2. Výkladem jednotlivých ustanovení tohoto opatření je pověřen pověřenec dle čl. 13 odst. 1.
3. Kontrolu dodržování tohoto opatření vykonává pověřenec dle čl. 13 odst. 1.
4. Toto opatření nabývá účinnosti dne 25. května 2018.

Přílohy:

Příloha č. 1 – Podstatné náležitosti smlouvy v oblasti zpracování osobních údajů (17.06 KB)

Příloha č. 2 – Povinnost mlčenlivosti zaměstnance (14.82 KB)

                                                                                                 

PhDr. et Mgr. Štefan Medzihorský

Rektor Vysoké školy aplikované psychologie

        

V Terezíně dne 24. 5. 2018