Opatření rektora č. 16/2018 ****************************************************************************************** * ****************************************************************************************** Název: Zásady a pravidla ochrany osobních údajů K provedení: Nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzi nařízení o ochraně osobních údajů) Účinnost: 25. května 2018 ****************************************************************************************** * Zásady a pravidla ochrany osobních údajů ****************************************************************************************** *========================================================================================= * Část první - Základní ustanovení *========================================================================================= ------------------------------------------------------------------------------------------ Čl. 1 - Předmět opatření ------------------------------------------------------------------------------------------ 1.Toto opatření rektora (dále jen „opatření“) stanoví zásady a pravidla při zpracování oso v rámci Univerzity Karlovy (dále jen „univerzita“), odpovědnosti osob zajišťujících ochr údajů na univerzitě a vymezuje práva a povinnosti zaměstnanců, studentů, případně dalšíc právnických osob účastnících se činností souvisejících se zpracováním osobních údajů. 2.Toto opatření vychází z nařízení Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení s ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“) a ze zákona č. 101/2 ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů (dále je tím, že doplňuje a rozpracovává některá jejich ustanovení pro úpravu vztahů v rámci univ organizační postupy zajišťující jejich realizaci. ------------------------------------------------------------------------------------------ Čl. 2 - Výklad základních pojmů ------------------------------------------------------------------------------------------ 1.Pro účely tohoto opatření se rozumí: a.„osobními údaji“ veškeré informace o identifikované nebo identifikovatelné fyzické oso „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přím identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologic psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby; b.„zpracováním“ jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osob který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinová výmaz nebo zničení; c.„omezením zpracování“ označení uložených osobních údajů za účelem omezení jejich zprac budoucnu; d.„profilováním“ jakákoli forma automatizovaného zpracování osobních údajů spočívající v k hodnocení některých osobních aspektů vztahujících se k fyzické osobě, zejména k rozb aspektů týkajících se jejího pracovního výkonu, ekonomické situace, zdravotního stavu, preferencí, zájmů, spolehlivosti, chování, místa, kde se nachází, nebo pohybu; e.„pseudonymizací“ zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétní údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchováván a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou p identifikované či identifikovatelné fyzické osobě; f.„evidencí“ jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hle g.„správcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjek nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li úč tohoto zpracování určeny právem Unie či členského státu, může toto právo určit dotčené zvláštní kritéria pro jeho určení; h.„zpracovatelem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný s zpracovává osobní údaje pro správce; i.„řetězením zpracovatelů“ situace, kdy je do zpracování osobních údajů zapojena na zákl souhlasu univerzity další osoba v pozici (dílčího) zpracovatele; j.„příjemcem“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subje osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Avšak orgány veřejn mohou získávat osobní údaje v rámci zvláštního šetření v souladu s právem členského st příjemce nepovažují; zpracování těchto osobních údajů těmito orgány veřejné moci musí použitelnými pravidly ochrany údajů pro dané účely zpracování; k.„třetí stranou“ fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný s není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající správci neb jež je oprávněna ke zpracování osobních údajů; l.„souhlasem“ subjektu údajů jakýkoli svobodný, konkrétní, informovaný a jednoznačný pro subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování s údajů; m.„porušením zabezpečení osobních údajů“ porušení zabezpečení, které vede k náhodnému ne zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, ul jinak zpracovávaných osobních údajů; n.„genetickými údaji“ osobní údaje týkající se zděděných nebo získaných genetických znak které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejm biologického vzorku dotčené fyzické osoby; o.„biometrickými údaji“ osobní údaje vyplývající z konkrétního technického zpracování tý fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje neb jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje; p.„údaji o zdravotním stavu“ osobní údaje týkající se tělesného nebo duševního zdraví fy včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stav 2.Další pojmy jsou uvedeny v čl. 4 nařízení. ------------------------------------------------------------------------------------------ Čl. 3 - Zásady zpracování osobních údajů ------------------------------------------------------------------------------------------ 1.Osobní údaje musí být: a.ve vztahu k subjektu údajů zpracovávány korektně a zákonným a transparentním způsobem korektnost a transparentnost“); b.shromažďovány pro určité, výslovně vyjádřené a legitimní účely, a nesmějí být dále zpr způsobem, který je s těmito účely neslučitelný („účelové omezení“); další zpracování p archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro stat nepovažuje za neslučitelné s původními účely; c.přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou z („minimalizace údajů“); d.přesné a v případě potřeby aktualizované; musí být přijata veškerá rozumná opatření, a které jsou nepřesné s přihlédnutím k účelům, pro které se zpracovávají, byly bezodklad opraveny („přesnost“); e.uloženy ve formě umožňující identifikaci subjektů údajů po dobu ne delší, než je nezby účely, pro které jsou zpracovávány („omezení uložení“); osobní údaje lze uložit po del pokud se zpracovávají výhradně pro účely archivace ve veřejném zájmu , pro účely vědec historického výzkumu nebo pro statistické účely, a to za předpokladu provedení přísluš a organizačních opatření požadovaných nařízením s cílem zaručit práva a svobody subjek f.zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů, včetně jejic vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpr náhodnou ztrátou, zničením nebo poškozením („integrita a důvěrnost“). 2.Za dodržování zásad dle odstavce 1 odpovídají osoby uvedené v části druhé tohoto opatřen čl. 5 odst. 2 nařízení rovněž schopny toto dodržení souladu doložit („odpovědnost“). ------------------------------------------------------------------------------------------ Čl. 4 - Zákonnost zpracování ------------------------------------------------------------------------------------------ 1.V souladu s čl. 6 nařízení je zpracování zákonné, pouze pokud je splněna nejméně jedna z a pouze v odpovídajícím rozsahu: a.subjekt údajů udělil souhlas se zpracováním svých osobních údajů pro jeden či více kon (podmínky vyjádření souhlasu jsou podrobně uvedeny v čl. 7 a 8 nařízení); b.zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, ne opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů; c.zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro spl povinnosti, která se na správce vztahuje; d.zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné f e.zpracování je v souladu s platnými obecně závaznými právními předpisy nezbytné pro spl prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce; f.zpracování je nezbytné pro účely oprávněných zájmů příslušného správce či třetí strany kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů ochranu osobních údajů, zejména pokud je subjektem údajů dítě. 2.Ustanovení odstavce 1 písm. f) se netýká zpracování osobních údajů prováděného univerzit kdy univerzita vystupuje jako orgán veřejné moci ve věcech jí svěřených zákonem č. 111/1 vysokých školách, ve znění pozdějších předpisů (dále jen „zákon o vysokých školách“) neb předpisem. V těchto případech se postupuje dle odstavce 1 písm. c). ------------------------------------------------------------------------------------------ Čl. 5 - Zpracování zvláštních kategorií osobních údajů ------------------------------------------------------------------------------------------ 1.Je zakázáno zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, po názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zp genetických údajů, biometrických údajů identifikujících konkrétní fyzickou osobu a údajů stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby v případech, na které odstavce 2 a 3. 2.Výjimky ze zákazu zpracování osobních údajů podle odstavce 1 jsou dány čl. 9 nařízení, z osobní údaje dle předchozího odst. 1. zpracovávat tehdy, pokud subjekt údajů udělil výsl se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů. Tento souhla dán písemně, podepsán subjektem údajů a musí z něho být zřejmé, jakých údajů se týká, k na jaké období a kdo jej poskytuje. Subjekt údajů svým podpisem také potvrzuje, že byl p o svých právech. Zaměstnanec provádějící zpracování osobních údajů musí být schopen exis souhlasu doložit po celou dobu jejich zpracovávání. 3.Výjimkami ze zákazu v odstavci 1 jsou také údaje: a.o zdravotním stavu v osobních evidencích zaměstnanců a studentů za předpokladu, že tyt subjektem údajů do zmíněné evidence dobrovolně předány a jsou vedeny v jeho prospěch ( na přijetí ke studiu, poskytování služeb osobám se specifickými potřebami, ubytování v výpočet jeho daňové povinnosti či jiných zákonných dávek); b.o členství v odborových organizacích působící na univerzitě uvedené v osobních a mzdov zaměstnanců za předpokladu, že byly subjektem údajů do zmíněné evidence dobrovolně pře pro placení členských příspěvků či jiných dávek, včetně účtování o těchto platbách; c.zvláštní kategorie osobních údajů zpracovávané pro účely projektů/výzkumu. 4.Zpracování osobních údajů, které nevyžaduje identifikaci subjektu údajů, upravuje čl. 11 *========================================================================================= * Část druhá - Odpovědnost osob zajišťujících ochranu osobních údajů *========================================================================================= ------------------------------------------------------------------------------------------ Čl. 6 - Univerzita ------------------------------------------------------------------------------------------ Univerzita je subjektem odpovědným za zpracování osobních údajů podle čl. 1 odst. 2. Může roli správce, tak v roli zpracovatele. Za účelem naplňování ochrany osobních údajů tak, ja nařízením a zákonem, jsou v této části opatření stanoveny osoby participující na zajišťová účelu. ------------------------------------------------------------------------------------------ Čl. 7 - Univerzitní úroveň ------------------------------------------------------------------------------------------ 1.Postavení rektora je dáno zákonem o vysokých školách, Statutem univerzity a ostatními vn univerzity. Rektor jedná jako statutární orgán univerzity odpovědný za dodržování zásad, a postupů při zpracování osobních údajů vně i dovnitř univerzity, a to v případech reali centrální úrovni univerzity a tam, kde nedošlo k posunu pravomocí na další osoby uvedené 2.Prorektoři odpovídají rektorovi univerzity za dodržování zásad, pravidel a postupů při z osobních údajů realizovaných v rámci oblasti jejich činnosti a působností daných čl. 11 univerzity. 3.Kvestor odpovídá rektorovi univerzity za dodržování zásad, pravidel a postupů při zpraco údajů realizovaných v oblastech své působnosti dané čl. 13 Statutu univerzity. ------------------------------------------------------------------------------------------ Čl. 8 - Fakulty a další součásti ------------------------------------------------------------------------------------------ 1.Děkani jednotlivých fakult univerzity odpovídají rektorovi za dodržování zásad, pravidel při zpracování osobních údajů realizovaných zaměstnanci a studenty fakulty univerzity př jejich pracovních či studijních povinností, případně dalšími fyzickými a právnickými oso zpracovávají osobní údaje na základě smlouvy s fakultou univerzity, a to ve věcech jim s ustanovením § 24 zákona o vysokých školách, čl. 15 a 16 Statutu univerzity, dalšími vnit univerzity a opatřeními rektora. 2.Ředitelé dalších součástí univerzity odpovídají rektorovi univerzity za dodržování zásad postupů při zpracování osobních údajů realizovaných zaměstnanci další součásti univerzit pro které součást zajišťuje výuku, při plnění jejich pracovních či studijních povinností dalšími fyzickými a právnickými osobami, které zpracovávají osobní údaje na základě smlo součástí univerzity, a to ve věcech jim svěřených čl. 15 a 16 Statutu univerzity, organi dané další součásti, dalšími vnitřními předpisy univerzity a opatřeními rektora. 3.Děkani jednotlivých fakult univerzity a ředitelé dalších součástí univerzity jmenují nej deseti dnů po nabytí účinnosti tohoto opatření kontaktní osobu pro oblast ochrany osobní fakultu, resp. další součást, která bude poskytovat součinnost pověřenci pro ochranu oso čl. 13 při plnění jeho úkolů dle čl. 15 týkající se činností zpracování osobních údajů n nebo další součásti univerzity. O tomto jmenování děkani fakult a ředitelé dalších součá bezodkladně informují pověřence pro ochranu osobních údajů dle části třetí. ------------------------------------------------------------------------------------------ Čl. 9 - Odpovědnost vedoucích pracovníků při zpracování osobních údajů ------------------------------------------------------------------------------------------ 1.Vedoucí pracovník je odpovědný za dodržování zásad, pravidel a postupů (uvedených v tomt nařízení a v zákoně) při zpracování osobních údajů realizovaných v jemu svěřené oblasti, zajištění bezpečného uložení dat, a řídí v této oblasti zpracování osobních údajů provád jemu podřízenými. 2.Vedoucí pracovník provádí v jemu svěřené oblasti posouzení vlivu zamýšlených operací zpr ochranu osobních údajů podle čl. 35 nařízení. Za tímto účelem si vyžádá posudek pověřenc osobních údajů dle části třetí. 3.V registru činností zpracování osobních údajů vedeném dle části páté jsou u jednotlivých zpracování evidováni vedoucí pracovníci na jednotlivých fakultách a dalších součástech U kompetence dané zpracování spadá. V případě pochybnosti o rozdělení těchto kompetencí, r kompetentní pro danou činnost zpracování: a.rektor pro případy zpracování osobních údajů, které zasahují centrální úroveň univerzi b.děkan v případě zpracování osobní údajů v působnosti dané fakulty; c.ředitel další součásti univerzity v případě zpracování osobní údajů v působnosti dané d.kvestor v případě zpracování osobních údajů, které jsou v působnosti rektorátu a nezas úroveň univerzity. 4.U nových činností bude odpovídající vedoucí pracovník nebo pracovníci určeni před zaháje osobních údajů. 5.Osoby uvedené v odstavci 3 neprodleně informují pověřence pro ochranu osobních údajů dle 6.Vedoucí pracovníci zajistí, aby jim podřízení zaměstnanci podílející se na zpracování os byli zavázáni závazkem mlčenlivosti. Vzor závazku mlčenlivosti, doporučený pro doplnění smluv zaměstnanců, tvoří přílohu č. 2 tohoto opatření. ------------------------------------------------------------------------------------------ Čl. 10 - Zaměstnanci univerzity ------------------------------------------------------------------------------------------ 1.Zaměstnanci univerzity, kteří přijdou do styku se zpracováním osobních údajů, jsou povin s tímto opatřením, nařízením, dalšími relevantními obecně závaznými právními předpisy a metodickými doporučeními vydanými pověřencem pro ochranu osobních údajů podle čl. 15 ods Za toto seznámení odpovídá vedoucí pracovník nadřízený zaměstnanci. 2.Osoby uvedené v odstavci 1 jsou povinny zpracovávat osobní údaje vždy jen v rozsahu a za stanovených vedoucím pracovníkem, v jehož kompetenci je daná činnost zpracování osobních 3.Osoby uvedené v odstavci 1 jsou povinny zachovávat mlčenlivost o osobních údajích a o be opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů. Povinnost mlčenli ukončení pracovního poměru, studia nebo výkonu příslušných prací. Povinnost mlčenlivosti stanoveném pracovní smlouvou. 4.Pokud se zaměstnanec univerzity či jiná osoba v pracovněprávním vztahu s univerzitou, fa součástí univerzity podílí na zpracování osobních údajů, je odpovědná za jí realizované osobních údajů. Při zpracování osobních údajů je povinna dbát pokynů a metodických dopor pro ochranu osobních údajů dle části třetí a poskytovat pověřenci informace, které si od vyžádá. 5.Osoba v pracovněprávním vztahu s univerzitou, fakultou či další součástí univerzity je o se se svým dotazem či podnětem týkajícím se zpracování a ochrany osobních údajů na pověř osobních údajů dle části třetí, a to buď přímo, anebo prostřednictvím kontaktní osoby dl 3. ------------------------------------------------------------------------------------------ Čl. 11 - Studenti a účastníci programů celoživotního vzdělávání ------------------------------------------------------------------------------------------ 1.V případech, kdy by při zpracování závěrečných prací studentů (bakalářské, magisterské a práce), účastníků rigorózního řízení a účastníků programů celoživotního vzdělávání (dále zpracovávány osobní údaje, je vedoucí práce nebo školitel povinen seznámit studenta, res rigorózního řízení nebo programu CŽV, s povinnostmi dle tohoto opatření a nařízení a zaj další kroky v souladu s tímto opatřením. 2.V případech, kdy vyučující předmětu zadává v rámci výuky předmětu studentům, účastníkům řízení nebo účastníkům programů CŽV zpracování práce vyžadující zpracování osobních údaj povinen seznámit studenta, resp. účastníka rigorózního řízení nebo programu CŽV, s povin tohoto opatření a nařízení a zajistit případné další kroky v souladu s tímto opatřením. 3.Další podrobnosti o činnostech zpracování osobních údajů dle tohoto článku může stanovit rektora univerzity, na návrh pověřence. ------------------------------------------------------------------------------------------ Čl. 12 - Další osoby podílející se na zpracování osobních údajů, řetězení zpracovatelů a z smlouva ------------------------------------------------------------------------------------------ 1.V případech, kdy se na zpracování osobních údajů, u nichž je univerzita správcem či zpra podílejí osoby bez přímého právního vztahu s univerzitou (např. zaměstnanci společných p univerzity a jiné instituce, spoluřešitelé výzkumných projektů z jiných institucí, spolu apod.), je třeba, aby tyto osoby byly seznámeny s povinnostmi vyplývajícími z tohoto opa z nařízení a byly zavázány k dodržování tohoto opatření např. formou smlouvy mezi univer spolupracující institucí či jiným vhodným závazným způsobem. 2.Smlouva, jejímž předmětem má být poskytování služeb univerzitě ze strany zpracovatele os smí být uzavřena pouze s takovou osobou, jež bude plnit funkci zpracovatele, která bude dostatečné záruky zavedení vhodných technických a organizačních opatření tak, aby dané z splňovalo požadavky podle právní úpravy na ochranu osobních údajů a byla zajištěna bezpe osobních údajů, práv a svobod subjektů údajů. 3.Je povinností zaměstnance, který za univerzitu o smlouvě vyjednává, příp. ji za univerzi ověřit spolehlivost zpracovatele osobních údajů a naplnění předpokladů pro zákonné zprac údajů ze strany potenciálního zpracovatele. O způsobu prověřování a o jeho výsledcích se záznam, který se vkládá spolu s podklady, z nichž hodnotitel vycházel, do spisové dokume předmětnému obchodnímu případu a do spisové dokumentace příslušného zpracování osobních povinností zaměstnance dle věty první oznámit údaje o zpracovateli osobních údajů postup 4.Předchozí písemný souhlas univerzity k řetězení zpracovatelů pro případy poskytování zpr služeb zpracovatelem ze strany třetích osob lze udělit pouze, pokud je to k plnění úkolů nezbytně nutné. 5.Má-li univerzita realizovat zpracování osobních údajů v pozici zpracovatele osobních úda zpracování osobních údajů zapojit dílčího zpracovatele (řetězení zpracovatelů) pouze teh k tomu ve smlouvě o zpracování osobních údajů, příp. v písemném svolení ze strany správc údajů udělen souhlas. Souhlas může být buďto pro osobu určitého zpracovatele, nebo obecn dílčího zpracovatele v mezích plynoucích ze svolení náleží univerzitě, přičemž však vůči dílčímu zpracovateli náleží správci právo na námitku. Vznese-li správce osobních údajů v zpracovateli námitku, nelze takového dílčího zpracovatele zapojit do procesu zpracování Bude-li u individuálně určeného dílčího zpracovatele při prověřování provedeném způsobem odstavcích 2 a 3 zjištěno, že nejsou dány patřičné garance, oznámí se taková skutečnost údajů. Takový dílčí zpracovatel může být do zpracování osobních údajů zapojen jedině, po přes univerzitou sdělené výhrady správce osobních údajů. Veškerá komunikace, podklady pr výsledky posouzení budou vloženy do spisové dokumentace k předmětnému obchodnímu případu dokumentace předmětného zpracování osobních údajů. 6.Má-li univerzita realizovat zpracování osobních údajů jako dílčí zpracovatel v rámci řet zpracovatelů, tedy jako zpracovatel zpracovávající osobní údaje pro zpracovatele, vyžádá vyjednávající uzavření smlouvy za univerzitu před uzavřením smlouvy potřebné podklady os zpracovatel disponuje od správce osobních údajů oprávněním zapojit do zpracování dílčího osobních údajů; podklady se míní buďto individuální svolení k zapojení univerzity coby d zpracovatele, nebo obecné zmocnění k zapojení dílčího zpracovatele a potvrzení o tom, že osobních údajů vůči univerzitě, coby dílčímu zpracovateli, nevznesl námitky. Podklady a komunikace budou vloženy do spisové dokumentace vedené k předmětnému případu a do spisov předmětného zpracování osobních údajů. 7.Smlouva o zpracování osobních údajů uzavíraná univerzitou se zpracovatelem, příp. se spr dílčím zpracovatelem bude mít parametry podle čl. 28 nařízení. *========================================================================================= * Část třetí - Pověřenec pro ochranu osobních údajů *========================================================================================= ------------------------------------------------------------------------------------------ Čl. 13 - Postavení pověřence ------------------------------------------------------------------------------------------ 1.Pověřenec pro ochranu osobních údajů (dále jen „pověřenec“) je přímo podřízen rektorovi. 2.Pověřenec je zapojen do veškerých procesů a záležitostí souvisejících s ochranou a zprac údajů na univerzitě. 3.Pověřenec je za strany univerzity podporován v udržování svých odborných znalostí a je m přístup k osobním údajům, operacím zpracování a k veškerým zdrojům potřebným pro plnění v čl. 15. 4.Pověřenci nejsou ze strany univerzity udělovány žádné konkrétní pokyny, týkající se napl povinností pověřence. Může mu však být rektorem zadáno i plnění jiných úkolů a povinnost těchto úkolů či povinností však nesmí vést ke střetu zájmů s výkonem funkce pověřence. 5.Pověřenec je v souvislosti s výkonem svých úkolů vázán mlčenlivostí. Povinnost mlčenlivo skončení pracovního poměru. 6.Údaje o pověřenci včetně kontaktu na něj jsou uvedeny ve veřejné části internetových str ------------------------------------------------------------------------------------------ Čl. 14 - Jmenování pověřence ------------------------------------------------------------------------------------------ Pověřenec je jmenován rektorem na základě svých profesních kvalit, zejména na základě svýc znalostí a praxe v oblasti ochrany osobních údajů a schopnosti plnit úkoly uvedené v čl. 1 pověřence také odvolat. ------------------------------------------------------------------------------------------ Čl. 15 - Úkoly pověřence ------------------------------------------------------------------------------------------ 1.1. Pověřenec vykonává zejména tyto úkoly: a.poskytuje informace a poradenství zaměstnancům a studentům univerzity, kteří provádějí osobních údajů, o jejich povinnostech podle tohoto opatření, nařízení a dalších obecně právních předpisů v oblasti ochrany osobních údajů; b.monitoruje soulad s tímto opatřením, nařízením, dalšími obecně závaznými právními před ochrany osobních údajů a s koncepcemi univerzity v oblasti ochrany osobních údajů, vče povědomí a odborné přípravy pracovníků zapojených do operací zpracování; c.dohlíží nad realizací ochrany a zpracování osobních údajů; d.poskytuje odbornou pomoc, pokud jde o posouzení vlivu na ochranu osobních údajů, a mon uplatňování podle čl. 35 nařízení; e.po předchozí konzultaci s osobami uvedenými v čl. 7 a 8 ohlašuje případy porušení zabe údajů dozorovému úřadu podle čl. 33 nařízení a oznamuje případy porušení ochrany osobn subjektu údajů podle čl. 34 nařízení; f.spolupracuje a komunikuje s dozorovým úřadem; g.působí jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování včetně předchozí konzultace podle čl. 36 nařízení; h.přijímá od zaměstnanců univerzity návrhy na zahájení nového, resp. změnu dosavadního z osobních údajů a zaujímá k těmto návrhům stanoviska; i.komunikuje se subjekty údajů, které se na něj mohou obracet ve všech záležitostech sou zpracováním jejich osobních údajů a výkonem jejich práv dle tohoto opatření a nařízení j.vydává metodická doporučení týkající se zpracování osobních údajů na univerzitě, jimiž podílející se na zpracování osobních údajů na univerzitě mají řídit; k.plní další úkoly vyplývající pro jeho pozici z nařízení, zákona či jiných obecně závaz předpisů, či vyplývajících z tohoto opatření a ostatních vnitřních předpisů univerzity rektora. 2.Pověřenec dohlíží na fungování registru činností zpracování osobních údajů univerzity uv 3.Pověřenec bere při plnění svých úkolů patřičný ohled na riziko spojené s činnostmi zprac přihlíží k povaze, rozsahu, kontextu a účelům zpracování. ------------------------------------------------------------------------------------------ Čl. 16 - Působnost pověřence na univerzitě ------------------------------------------------------------------------------------------ 1.Dozví-li se pověřenec, že hrozí porušení pravidel na ochranu osobních údajů vyplývajícíc zákona či tohoto opatření nebo je-li porušení zjištěno, je povinen na to upozornit vedou dle čl. 9 a písemně doporučit odstranění závadného či rizikového stavu. Vedoucí pracovní je povinen v přiměřené lhůtě projednat s pověřencem stav, a pokud se se zjištěním pověře zdržet se dalšího závadného či rizikového chování. Vedoucí pracovník dle čl. 9 je rovněž přijmout veškerá opatření k tomu, aby se situace neopakovala. 2.Nesouhlasí-li vedoucí pracovník dle čl. 9 s doporučením pověřence, písemně to sdělí pově důvody, proč se domnívá, že nedošlo, či nehrozí, že by mohlo dojít k porušení pravidel u větě odstavce 1. V takovém případě pověřenec oznámí tuto skutečnost věcně příslušným oso čl. 7 a 8 a postoupí jim celou dokumentaci. 3.Pověřenec je povinen dát podnět k přijetí obecných či konkrétních opatření v oblasti och údajů osobám uvedeným v čl. 7 a 8 vždy, když: a.na základě svých zjištění podle odstavce 1 zjistí hrozbu porušení či porušení pravidel b.to bude vhodné v návaznosti na zobecňování praxe v oblasti ochrany osobních údajů. 4.Ustanoveními odstavce 1 až 4 není dotčena povinnost pověřence po předchozí konzultaci s uvedenými v čl. 7 a 8 ohlásit porušení zabezpečení osobních údajů dozorovému úřadu a sub podle čl. 15 odst. 1 písm. e). *========================================================================================= * Část čtvrtá - Subjekt údajů *========================================================================================= ------------------------------------------------------------------------------------------ Čl. 17 - Subjekt údajů ------------------------------------------------------------------------------------------ Subjektem údajů je fyzická osoba, jejíž osobní údaje jsou zpracovávány. Při činnostech zpr údajů na univerzitě jsou zpracovávány údaje těchto subjektů údajů: a.zaměstnanec univerzity (resp. osoba v pracovněprávním vztahu s univerzitou), b.uchazeč o zaměstnání, c.uchazeč o studium, d.student univerzity, e.bývalý student univerzity (včetně absolventů), f.účastník programu CŽV, g.student jiné vysoké školy nebo student na krátkodobém studijním pobytu na univerzitě, h.obchodní partner (dodavatel, odběratel, zákazník), i.účastník výzkumu, j.externí spolupracovník (např. školitel, spoluřešitel, spoluautor publikace), k.návštěvník nebo účastník akce pořádané univerzitou, l.účastník správního nebo soudního řízení s univerzitou, m.jiná osoba. ------------------------------------------------------------------------------------------ Čl. 18 - Informace poskytované subjektu údajů ------------------------------------------------------------------------------------------ 1.Univerzita v roli správce poskytuje informace subjektu údajů v souladu s čl. 12 nařízení transparentním, srozumitelným a snadno přístupným způsobem za použití jasných a jednoduc prostředků. 2.Pokud jsou osobní údaje získány od subjektu údajů, poskytne správce v okamžiku jejich zí údajů tyto informace: a.kontaktní údaje univerzity; b.kontaktní údaje pověřence pro ochranu osobních údajů; c.účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; d.oprávněné zájmy univerzity nebo třetí strany v případě, že je zpracování založeno na č písm. f); e.případné příjemce nebo kategorie příjemců osobních údajů; f.případný úmysl univerzity předat osobní údaje do třetí země (tj. mimo Evropskou unii) organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo inf kde byly tyto údaje zpřístupněny. 3.Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne uni údajů vedle informací uvedených v odstavci 2 další informace uvedené v čl. 13 odst. 2 na 4.Pokud nebyly osobní údaje získány od subjektu údajů, poskytuje univerzita subjektu údajů a.kontaktní údaje univerzity; b.kontaktní údaje pověřence pro ochranu osobních údajů; c.účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování; d.kategorie dotčených osobních údajů; e.případné příjemce nebo kategorie příjemců osobních údajů; f.případný úmysl univerzity předat osobní údaje do třetí země (tj. mimo Evropskou unii) organizaci a odkaz na vhodné záruky a prostředky k získání kopie těchto údajů nebo inf kde byly tyto údaje zpřístupněny. 5.Je-li to nezbytné pro zajištění spravedlivého a transparentního zpracování, poskytne uni údajů vedle informací uvedených v odstavci 4 další informace uvedené v čl. 14 odst. 2 na 6.Univerzita v roli správce učiní dále veškerá sdělení podle čl. 15 až 22 a 34 nařízení. 7.Informace dle tohoto článku jsou poskytovány v elektronické formě na webových stránkách informačních systémech univerzity, popřípadě jiným vhodným prokazatelným způsobem. ------------------------------------------------------------------------------------------ Čl. 19 - Práva subjektu údajů ------------------------------------------------------------------------------------------ 1.Práva subjektu údajů tvoří nedílnou součást ochrany osobních údajů při jejich zpracování 2.Jedná se především o právo subjektu údajů na: a.přístup k osobním údajům podle čl. 15 nařízení; b.informace o zpracování osobních údajů; c.opravu podle čl. 16 a 19 nařízení; d.výmaz podle čl. 17 a 19 nařízení; e.omezení zpracování podle čl. 18 a 19 nařízení; f.přenositelnost údajů podle čl. 20 nařízení; g.vznesení námitky podle čl. 21 nařízení; h.automatizované individuální rozhodování, které upravuje čl. 22 nařízení. 3.Subjekty údajů se mohou obracet ve všech záležitostech souvisejících se zpracováním jeji údajů a výkonem jejich práv dle tohoto opatření a nařízení na pověřence. 4.Veškerá sdělení vůči subjektům údajů, včetně informací o jejich právech a vyrozumění sub uplatnění jeho práv, se poskytují stručným, transparentním, srozumitelným a snadno příst za použití jasných a jednoduchých jazykových prostředků, kdy se krom jiného přihlíží i k informace. K zajištění srozumitelnosti poskytovaných informací se v případech, kde to je mnohovrstevné informace. 5.O splnění informační povinnosti, o uplatnění práv subjektů údajů, o vyřízení uplatnění p údajů, včetně odmítnutí žádosti subjektu údajů atd., se pořizuje záznam. Součástí záznam podklady, z nichž odpovědná osoba vycházela, včetně žádosti/přípisu, jehož prostřednictv uplatnil své právo. Není-li výslovně uvedeno jinak, záznam se vkládá do spisové dokument zpracování osobních údajů a archivuje se po dobu odpovídající promlčecím a prekluzivním a veřejnoprávních deliktů, kterých je možné se v souvislosti se zpracováním osobních úda 6.V případě uplatnění práv subjektu údajů je třeba kvůli ochraně práv a právem chráněných způsobem ověřit totožnost žádajícího subjektu údajů a subjekt údajů je povinen dostatečn svou identitu prokázat. Za dostatečný způsob prokázání identity se považuje, pokud je žá prostřednictvím zprávy elektronické pošty, která je opatřena ověřeným elektronickým podp prostřednictvím datové schránky nebo prostřednictvím poskytovatele poštovních služeb, kd podepsána a podpis jednajícího byl úředně ověřen, a součástí žádosti jsou identifikační daném § 14 odst. 2 zákona č. 106/1999 Sb., o svobodném přístupu k informacím. 7.Pověřenec poskytne subjektu údajů na jeho žádost podle čl. 15 až 22 nařízení informace o opatřeních, a to bez zbytečného odkladu a v každém případě do jednoho měsíce od obdržení lhůtu je možné v případě potřeby a s ohledem na složitost a počet žádostí prodloužit o d Pověřenec informuje subjekt údajů o jakémkoliv takovém prodloužení do jednoho měsíce od spolu s důvody pro tento odklad. Jestliže subjekt údajů podává žádost v elektronické for informace v elektronické formě, je-li to možné, pokud subjekt údajů nepožádá o jiný způs *========================================================================================= * Část pátá - Registr činností zpracování osobních údajů *========================================================================================= ------------------------------------------------------------------------------------------ Čl. 20 - Registrace a evidence činností zpracování osobních údajů ------------------------------------------------------------------------------------------ 1.Za účelem dosažení přehledu o zpracování osobních údajů na univerzitě se zřizuje elektro činností zpracování osobních údajů na univerzitě (dále jen „registr“). Provozem tohoto r pověřen Ústav výpočetní techniky univerzity (dále jen „ústav“). Odpovědným za provoz reg ústavu. 2.Fakulty a další součásti univerzity, které zpracovávají, nebo chtějí zpracovávat osobní podléhající tomuto opatření, resp. chtějí změnit dosavadní způsob zpracování osobních úd skutečnost pověřenci prostřednictvím e-mailové adresy gdpr@cuni.cz. 3.Oznámení podle odstavce 2 musí obsahovat úplnou charakteristiku příslušného zpracování o to v tomto rozsahu: a.název agendy, resp. činnosti zpracování, b.popis činnosti zpracování, c.typy subjektů údajů dle čl. 17, jejichž údaje jsou činností zpracovávány, d.výčet osobních údajů nebo jejich skupiny, které jsou činností zpracovávány, e.typy dokumentů, které jsou činností zpracovávány, f.informace o předávání osobních údajů mimo univerzitu, g.umístění zpracovávaných osobních údajů a označení informačního systému nebo aplikace, činnosti zpracování využívá, h.informace, kdy a jak jsou nebo budou osobní údaje z agendy odstraňovány, i.role podílející se na činnosti zpracování, j.vedoucí pracovníci odpovědní za činnosti zpracování dle čl. 9, k.právní důvod a účel pro činnost zpracování, l.informace o zpracovatelích, pokud se na agendě podílejí vč. rozsahu jim zpřístupněných zpracování, které vykonávají, m.obecný popis technických a organizačních bezpečnostních opatření k zabezpečení osobníc odpovídajících rizikům pro práva a svobody subjektů údajů dle čl. 32 odst. 1 nařízení. 4.Navrhovatel má právo zahájit nové, resp. změnit dosavadní zpracování osobních údajů, až od pověřence obdrží jeho souhlas na základě oznámení dle odstavce 3 a následného posouze zpracování osobních údajů a jejich ochrany. V případě nesouhlasu pověřence je další post osobami uvedenými v čl. 7 a 8. 5.Pověřenec nebo jím pověřená osoba zanese informace o nové činnosti zpracování osobních ú o změnách stávající činnosti zpracování osobních údajů do registru, a to na základě údaj uvedeného odstavce 3, po vyjádření souhlasu pověřence se zpracováním nebo změnou zpracov údajů dle odstavce 4. *========================================================================================= * Část šestá - Zveřejňování osobních údajů a jejich poskytování třetím stranám *========================================================================================= ------------------------------------------------------------------------------------------ Čl. 21 - Zveřejňování osobních údajů ------------------------------------------------------------------------------------------ 1.Zveřejněním osobních údajů se rozumí jejich zpřístupnění konkrétně neurčeným osobám či s zejména hromadnými sdělovacími prostředky, jiným veřejným sdělením nebo jako součást veř (např. ve veřejné části internetových stránek univerzity). 2.Student může po svém přihlášení do informačního systému univerzity (dále jen „systém“) n údaje o jeho osobě může anonymní uživatel vyhledat. 3.Pokud je vyhledání studenta povoleno, zobrazí se o něm tyto údaje: a.příjmení a jméno (resp. příjmení a jména), b.tituly, c.fakulta, d.studijní program, studijní obor, popřípadě specializace, e.ročník studia, f.v případě již ukončených studií akademický rok ukončení studia. 4.Student může po svém přihlášení do systému nastavit, které další údaje o něm mají být zv 5.Anonymní uživatel systému nebo přihlášený uživatel, který není zaměstnancem univerzity n (dále jen „anonymní uživatel“), nemůže vyhledat studenta podle zadaných kritérií, nestan vyhledávaný student postupem podle odstavce 2, že toto vyhledání je povoleno. 6.Osoba, která na univerzitě studovala a jejíž studium již bylo ukončeno, může povolit vyh údajů jedním z těchto dvou postupů: a.pokud zná své přihlašovací údaje do systému, může se do něj přihlásit a povolit vyhled přímo v nastavení systému, b.může požádat o změnu nastavení prostřednictvím mailové adresy helpdesk@is.cuni.cz nebo pověřence. 7.Osoby, které na univerzitě studovaly a jejichž studium již bylo ukončeno, nejsou anonymn vyhledatelné, pokud tato osoba nestanovila postupem podle odstavce 6, že toto vyhledání tímto není dotčeno ustanovení odstavce 8. 8.U osob, které obhajovaly závěrečnou práci po 1. 1. 2006, jsou v souvislosti se zveřejňov prací dle § 47b zákona o vysokých školách zveřejňovány tyto údaje: a.příjmení a jméno (resp. příjmení a jména), b.tituly, c.datum narození, d.fakulta, e.studijní program, studijní obor studia, popřípadě specializace, f.název pracoviště, které vypsalo práci, g.typ práce (bakalářská, diplomová, rigorózní, disertační), h.název práce, i.kompletní text práce a přílohy práce, j.jazyk práce, k.klíčová slova k práci, l.abstrakt, m.vedoucí práce, n.konzultant práce, o.oponenti práce, p.posudek vedoucího práce, q.posudek oponenta, resp. oponentů práce, r.datum obhajoby, s.záznam o průběhu obhajoby, t.výsledek obhajoby (udělená klasifikace). 9.Pokud student aktuálně působí v samosprávných akademických či poradních orgánech univerz zveřejněny údaje dle odstavce 11 písm. a), b), c), h), i) a j) a může povolit zveřejnění dle odstavce 13. Pokud se student podílí na výuce, jsou o něm zveřejněny údaje dle odsta b), c), f), i), j), k), l), m), n) a o). Pokud se student podílí na tvůrčí činnosti univ něm zveřejněny údaje dle odstavce 11 písm. a), b), c), f), m) a n). 10Údaje o uchazečích ke studiu se nezveřejňují, anonymnímu uživateli není v systému vyhled studium povoleno. 11Univerzita zveřejňuje prostřednictvím svých internetových stránek výstupy ze systému, kt následující údaje o zaměstnancích a základní údaje o jejich pracovněprávních vztazích: a.jméno, b.příjmení, c.tituly, d.druh pracovněprávního vztahu (pracovní smlouva, dohoda o pracovní činnosti, dohoda o p e.fakultu nebo další součást univerzity, na níž je pracovněprávní vztah uzavřen, f.pracoviště, tedy organizační součást nebo součásti fakulty nebo další součásti univerz na nichž je práce vykonávána, g.pracovní zařazení (profesor, docent, odborný asistent, asistent, lektor atd.), h.funkce na pracovišti a v orgánech univerzity, fakult a dalších součástí, i.kontaktní údaje v souvislosti s univerzitou (adresy pracovišť, umístění kanceláře, tel čísla, e-mailové adresy), j.vědní obor nebo jinou specializaci zaměstnance, k.konzultační hodiny, l.průběh akademické kvalifikace, m.podíl na jednotlivých formách tvůrčí činnosti univerzity, n.informace o vydaných publikacích, o.výuku uskutečňovanou na univerzitě. 12Údaje dle odstavce 11 jsou povinně zveřejňovány pro zaměstnance s aktuálně platnou praco Pro zaměstnance pracující na základě dohody o pracovní činnosti jsou tyto údaje povinně nerozhodne-li nadřízený pracovník zaměstnance jinak. Pro zaměstnance pracující na základ provedení práce jsou údaje o zaměstnanci a jeho pracovněprávním vztahu nezveřejněny, ner nadřízený pracovník zaměstnance jinak. 13Zaměstnanec má dále právo povolit zveřejnění a zvolit si jeho konkrétní rozsah pro násle a.fotografie, b.životopis, c.osobní internetové stránky související s jeho působením na univerzitě, d.případně další údaje, které o sobě zveřejnil sám. 14V případě společných pracovišť univerzity s jinými institucemi (jde zejména o fakultní n ústavy Akademie věd České republiky) univerzita zveřejňuje i údaje zaměstnanců těchto ji pokud se podílejí na činnosti univerzity, a to v rozsahu dle odstavce 11 písm. a), b), c 15Účastník programu CŽV může po svém přihlášení do systému nastavit, že údaje o jeho osobě uživatel vyhledat. 16Pokud je vyhledání účastníka programu CŽV povoleno, zobrazí se o něm tyto údaje: a.příjmení a jméno (resp. příjmení a jména), b.tituly, c.fakulta nebo další součást univerzity, d.program CŽV, e.ročník studia, f.v případě již ukončených studií programů CŽV akademický rok ukončení studia. 17Účastník programu CŽV může po svém přihlášení do systému nastavit, které další údaje maj viditelné. 18Anonymní uživatel informačního systému nemůže vyhledat účastníka programu CŽV podle zada nestanovil-li vyhledávaný účastník postupem podle odstavce 15, že toto vyhledání je povo 19Účastník programu CŽV, který na univerzitě studoval a jehož studium programu CŽV již byl povolit vyhledání svých údajů jedním z těchto dvou postupů: a.pokud zná své přihlašovací údaje do systému, může se do něj přihlásit a povolit vyhled přímo v nastavení systému, b.může požádat o změnu nastavení prostřednictvím mailové adresy helpdesk@is.cuni.cz nebo pověřence. 20V případě akademických funkcionářů a osob aktuálně působících v samosprávných akademický orgánech univerzity, které nejsou v pracovněprávním vztahu k univerzitě, jsou zveřejňová odstavce 11 písm. a), b), c), h) a i). ------------------------------------------------------------------------------------------ Čl. 22 - Poskytování osobních údajů třetím stranám ------------------------------------------------------------------------------------------ 1.Poskytování osobních údajů třetím stranám mimo univerzitu se řídí tímto opatřením, naříz obecně závaznými právními předpisy. 2.Každé poskytování osobních údajů třetí straně mimo univerzitu musí být zaznamenáno v reg uvedení rozsahu poskytovaných údajů, účelu poskytnutí a identifikace třetí strany. 3.Za dodržování správného postupu při poskytování osobních údajů třetím osobám mimo univer s tímto opatřením, nařízením a platnými obecně závaznými právními předpisy jsou odpovědn pracovníci pro danou činnost či oblast zpracování dle čl. 9. ------------------------------------------------------------------------------------------ Čl. 23 - Zabezpečení osobních údajů ------------------------------------------------------------------------------------------ 1.Písemnosti a mobilní/externí/přenosné technické nosiče informací, jimiž disponuje univer obsahují osobní údaje chráněné podle tohoto opatření, musí být uchovávány pouze v uzamyk skříních, nebo k tomu vyhrazených místnostech na pracovištích univerzity, případně na ji místech určených charakteristikou příslušného zpracování údajů nebo zabezpečeny šifrován pracoviště univerzity mohou být odneseny pouze kopie těchto písemností nebo nosičů, a to stanovených v odstavci 3. V případě online předávání údajů mimo univerzitu musí být osob přenosu chráněny šifrováním a jejich ochrana příjemcem či zpracovatelem dat zajištěna ad způsobem dle nařízení a ošetřena smlouvou. Podstatné náležitosti smlouvy se zpracovatele příloze č. 1 tohoto opatření. 2.Počítače a další technické prostředky, na nichž jsou uložena data obsahující osobní údaj tohoto opatření, musí být zabezpečeny před volným přístupem neoprávněných osob, zpravidl hesly, šifrováním či uzamčením. Údaje uložené na těchto technických prostředcích, které s činnostmi univerzity (např. soukromé soubory zaměstnanců a studentů univerzity), nepod opatření. 3.Kopie osobních údajů chráněných podle tohoto opatření musí být pořizovány na technické n podle provozních pravidel stanovených pro jednotlivá zpracování údajů a uchovávány v uza skříních na pracovištích univerzity, případně na jiných bezpečných místech určených char příslušného zpracování údajů nebo zabezpečeny šifrováním. V případě, že tyto kopie opust univerzity, musí být dodatečně zabezpečeny (uzamčeny, zašifrovány apod.) tak, aby se pře nahodilému přístupu neoprávněné osoby k nim, tak cílenému pokusu o neoprávněný přístup k 4.V případě, kdy zaměstnanec nebo student univerzity zjistí nebo nabude podezření, že by m že došlo k porušení zabezpečení osobních údajů, je povinen to neprodleně oznámit pověřen uvedeným v čl. 7 a 8. 5.Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu podle čl. 33 na oznamování případů porušení ochrany osobních údajů subjektu údajů podle čl. 34 nařízení předchozí konzultaci s osobami uvedenými v čl. 7 a 8 pověřenec. *========================================================================================= * Část sedmá - Přechodná a závěrečná ustanovení *========================================================================================= ------------------------------------------------------------------------------------------ Čl. 24 - Přechodná a závěrečná ustanovení ------------------------------------------------------------------------------------------ 1.Opatření rektora č. 28/2015 – Zpracování osobních údajů studentů, uchazečů o studium, za dalších osob na Univerzitě Karlově – se zrušuje. 2.V případech již existujících činností zpracování osobních údajů budou kompetence vedoucí dle čl. 9 stanoveny nejpozději do deseti dnů po nabytí účinnosti tohoto opatření. 3.Výkladem jednotlivých ustanovení tohoto opatření je pověřen pověřenec dle čl. 15 odst. 1 4.Kontrolu dodržování tohoto opatření vykonává pověřenec dle čl. 15 odst. 1. 5.Toto opatření nabývá účinnosti dne 25. května 2018. Přílohy: Příloha č. 1 – Podstatné náležitosti smlouvy v oblasti zpracovávání osobních údajů Příloha č. 2 – Povinnost mlčenlivosti zaměstnance V Praze dne 27. dubna 2018 .pdf ke stažení [ URL "UK-9014-version1-or_2018_16.pdf"] Příloha č. 1 k opatření rektora č. 16/2018 – Zásady a pravidla ochrany osobních údajů *========================================================================================= * ***** Podstatné náležitosti smlouvy v oblasti zpracovávání osobních údajů ***** *========================================================================================= Náležitosti každé smlouvy mezi správcem a zpracovatelem jsou taxativně uvedeny v čl. 28 GD odst. 2. a 3. a v ust. § 32 nově připravovaného zákona o ochraně osobních údajů. Ve smlouvě se zpracovatelem musí být vždy jednoznačně stanoven předmět a doba trvání zprac údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a veškeré p správce a zpracovatele. Předmět zpracování by mohl být totožný s předmětem smlouvy, např. „Předmětem smlouvy je zp uvedených osobních údajů“. Doba trvání zpracování by měla být vždy totožná s dobou platnosti smlouvy, protože po skon zpracovatel údaje vrátí zpět správci, nebo bude mít povinnost je vymazat. Pojmem povaha osobních údajů lze zřejmě rozumět, jak se tyto údaje budou zpracovávat, zda elektronicky – to se týká nejen zpracování samotného, ale i získávání údajů od subjektů úd Účelem bude konkretizace naší potřeby, tj. např. k zajištění pracovněprávních zaměstnaneck k vedení matriky studentů, či k vyhotovení a předání průkazů studentů/zaměstnanců, nebo zp zprávy pacienta atd. Typem osobních údajů lze rozumět konkrétní identifikaci těchto údajů, jméno a příjmení, da číslo OP/či pasu, bydliště, kontakty, pohlaví, nemoci atd. Pod kategorii subjektu údajů patří, zda jde o dospělého, či dítě, zaměstnance, či studenta další třetí osobu, smluvní stranu apod. Práva a povinnosti správce a zpracovatele mohou být široce vymezeny, ale v každém případě měla být alespoň obdoba dále uvedených ustanovení: • „Bez předchozího písemného souhlasu správce není zpracovatel oprávněn přenést ani část s vyplývajících z této smlouvy, na další třetí osobu (na dalšího zpracovatele). Pokud dojd všech, nebo části povinností zpracovatele s předchozím písemným souhlasem správce na tře odpovídá zpracovatel za případnou škodu způsobenou touto třetí osobou tak, jakoby škodu to bez jakéhokoliv omezení.“ • Pokud bude ke zpracování osobních údajů třeba předchozí souhlas subjektu údajů, je třeba uvést do smlouvy – „Správce/zpracovatel se zavazuje předem zajistit písemný souhlas se z osobních údajů dle této smlouvy od jednotlivých subjektů osobních údajů, jejichž osobní této smlouvy zpracovávány.“. • „Zpracovatel se zavazuje zajistit všechna bezpečnostní, technická a organizační zabezpeč osobních údajů a jiná opatření požadovaná v čl. 32 nařízení; zejména přijmout veškerá op nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, jejich změně, z ztrátě, jakož i jejich zneužití, včetně opatření týkajících se práce s informačními syst jsou tyto osobní údaje zpracovávány. • Zpracovatel se dále zavazuje: a.neužívat osobní údaje k jinému než stanovenému účelu podle této smlouvy a zpracovávat pouze na základě doložených pokynů správce s výjimkou těch případů, kdy tato povinnost uložena přímo právním předpisem; b.učinit s odbornou péčí všechna kontrolní a ochranná opatření za účelem ochrany osobníc kontroly, audity či inspekce prováděné správcem nebo jiným příslušným orgánem dle práv c.s odbornou péčí dodržovat všechna kontrolní a ochranná opatření za účelem ochrany osob d.poskytnout správci bez zbytečného odkladu nebo ve lhůtě, kterou stanoví správce, souči pro plnění zákonných povinností správce spojených s ochranou osobních údajů, jejich zp plněním smlouvy o zpracování osobních údajů; e.informovat správce o všech skutečnostech majících vliv na zpracování osobních údajů; f.oznámit správci každou pochybnost o dodržování zákona či narušení bezpečnosti osobních g.bude-li to třeba, poskytnout správci veškerou podporu a pomoc při styku a jednáních s ochranu osobních údajů a se subjekty údajů; h.neprodleně reagovat na žádosti subjektů, tyto informovat o všech jejich právech a na ž přístup k informacím o zpracování; i.po ukončení poskytování služeb spojených se zpracováním dle potřeb správce řádně nalož zpracovávanými osobními údaji, tj., všechny osobní údaje buď vymazat, nebo je vrátit s pokynu správce; j.dodržovat všechny ostatní povinnosti stanovené právními předpisy, i pokud tak není výs smlouvě; k.vynaložit veškeré možné úsilí na odstranění protiprávního stavu ve vztahu k převedeným dle této smlouvy, kterým by došlo k porušení povinností jednáním příslušné smluvní str neprodleně poté, co taková skutečnost nastane. • Veškeré informace obsahující osobní údaje, které si smluvní strany při realizaci této sm jsou důvěrné. Zpracovatel se zavazuje, že tyto informace neposkytne třetí osobě ani je n rozporu s účelem jejich poskytnutí (tj. za účelem splnění této smlouvy), není-li touto s stanoveno jinak. Zpracovatel se zavazuje, že neprozradí informace vztahující se k této s další osobě a že tyto informace nikdy nepoužije k jinému než účelu stanovenému touto sml jak po dobu trvání této smlouvy, tak i po jejím ukončení (s výjimkou případů, kdy mu to předpis nebo, kdy se na tomto obě smluvní strany písemně dohodnou). Zpracovatel dále zaj osoby oprávněné zpracovávat osobní údaje, zavázaly k mlčenlivosti nebo aby se na ně vzta povinnost mlčenlivosti.“. Za dodržování výše uvedených povinností a závazků zpracovatele se doporučuje stanovit ve s pokuty a v případě opakování porušování ze strany zpracovatele i právo okamžitého odstoupe Do smlouvy dále napsat, že všechny dokumenty, které se týkají zpracování osobních údajů, a poskytnutých zpracovateli, nebo zpracovatelem samotným, musí být uloženy a archivovány na na adrese ……/doplnit adresu, která bude co nejblíže zpracovateli, v každém případě jen na V případě, že zpracovatel by byla zahraniční osoba, doporučuje se stanovit do smlouvy, že: dokumenty a komunikace, týkající se zpracování osobních údajů a zajištění činností dle sml českém jazyce a případné spory se budou řešit dle českého práva u soudu místně a věcně pří správce. Doplnit Rozhodčí řízení je vyloučené.“. I v případě, že smlouva bude uzavřena na dobu určitou, je účelné do smlouvy doplnit i možn výpovědi smlouvy, a to pro případ, že dojde k pochybením ze strany zpracovatele, která sic na odstoupení, ale přesto bude obezřetné smlouvu ukončit, popř. to bude pro UK ekonomicky bude k dispozici jiný a lepší zpracovatel. Protože však výpověď by měla být reciproční, mě taková délka výpovědní doby, aby UK nebyla ohrožena, při výpovědi ze strany zpracovatele. Příloha č. 2 k opatření rektora č. 16/2018 – Zásady a pravidla ochrany osobních údajů *========================================================================================= * ***** Doporučený text o povinnosti mlčenlivosti zaměstnance do pracovních smluv uzavíran ***** *========================================================================================= „Zaměstnanec se zavazuje, že bude zachovávat mlčenlivost o informacích a skutečnostech, kt při výkonu svého zaměstnání, označených zaměstnavatelem jako důvěrné podle ust. § 276 odst 262/2006 Sb., zákoník práce, ve znění pozdějších předpisů (dále jen „ZP“), nebo které podl tajemství dle ust. § 504 zákona č. 89/2012 Sb., občanský zákoník, ve znění pozdějších před zaměstnavatelem zveřejněny či určeny ke zveřejnění. Zaměstnanec se dále zavazuje zachovávat mlčenlivost o osobních údajích, se kterými přijde do styku a jejichž zveřejnění by ohrozilo zabezpečení těchto osobních údajů, a to v soulad zákona č. 110/2019 Sb., o zpracování osobních údajů, v platném znění. Zaměstnanec bere na povinnost mlčenlivosti nezaniká ukončením pracovního poměru. Zaměstnanec dále bere na vědomí, že porušení těchto povinností může být posuzováno jako po zaměstnance podle ust. § 301 písm. d) ZP. V případě vzniku škody v souvislosti s tímto por mlčenlivosti odpovídá za škodu zaměstnavateli podle ust. § 250 odst. 1 ZP.“ .pdf ke stažení [ URL "UK-9014-version1-or_2018_16_pril_new_20.pdf"]