Centrum pro zdravotně postižené kraje Vysočina,o.p.s.

Vrchlického 57, Jihlava

 

Směrnice č. 24/2018

 

SMĚRNICE ke GDPR

 

Obecné nařízení č. 2016/679 o ochraně osobních údajů (GDPR).

Nařízení Evropského parlamentu a rady EU ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, s účinností od 25.5. 2018.

 

Věcná a místní působnost:

 

Nařízení se vztahuje na zcela či částečně automatizované zpracování osobních údajů (OÚ) a na neautomatizované /manuální/ způsoby zpracování OÚ, které jsou již obsazeny v evidenci nebo do ní mají být zařazeny.

Nevztahuje se na manuální zpracování fyzických kopií a dokumentů, které nejsou nijak dále evidovány.

 

Princip odpovědnosti správce :

 

Odpovědnost toho , kdo OÚ zpracovává, vždy byl a bude. Obecné nařízení výslovně stanovuje povinnost být schopen soulad doložit. Správcem OÚ je každý zaměstnanec, který poskytuje sociální služby – ne zaměstnavatel.

(sociální pracovník, pracovník v sociálních službách, účetní, personalista)

 

Nové povinnosti :

 

Vést záznamy o činnostech zpracování

Posouzení vlivu na ochranu OÚ

Ohlašování případu porušení zabezpečení OÚ Úřadu pro ochranu OÚ

 

Přístup založený na riziku:

 

Tento princip znamená povinnost správce přijmout adekvátní technická a organizační opatření za účelem zajištění zabezpečení OÚ odpovídající riziku, které dané zpracování představuje pro subjekt údajů /SÚ/.

 

Pojmy a definice :

 

Subjekt údajů :

 pouze fyzická osoba, jíž se OÚ týkají /včetně anonymních klientů/

Osobní údaje :

 jakékoli informace, které se týkají určené žijící osoby

Zpracování OÚ:

 operace, nebo soustava operací, kterou systematicky provádí správce za určitým účelem či cílem, a to bez ohledu na způsob nebo prostředky zpracování

Osobní údaj :

 jméno, adresa,trvalé bydliště,doručovací adresa,pohlaví,věk,datum narození,rodné číslo,místo narození,osobní stav, fotografický záznam, videa audio záznam,telefonní číslo,emailová adresa,IČO,DIČ,číslo OP, číslo řidičského průkazu,číslo cestovního pasu,vzdělání,příjem ze zaměstnání,příjem z důchodu,sociálních dávek,

OÚ dětí,manžela,partnera,IP adresa,cookies.

Podmínky pro využívání RČ specifikuje zákon č.133/2000 Sb. o evidenci obyvatel a rodných čísel.

 

Zpracování OÚ:

 

Operace nebo soustava operací,kterou systematicky provádí správce za určitým účelem či cílem,a to bez ohledu na způsob.

 

Zvláštní OÚ:

 

Údaje o rasovém či etnickém původu – ne státní občanství.

Zdravotní stav

Sexuální orientace

Náboženské vyznání

Politické názory

Genetické údaje

Biometrické údaje

 

Zpracování OÚ:

 

Shromažďování

Zaznamenávání

Uspořádání

Strukturování

Uložení

Přizpůsobení nebo pozměnění

Vyhledávání

Nahlédnutí

Použití

Zpřístupnění přenosem

Šíření

Omezení

Výmaz

Zničení

 

Zásady zpracování OÚ :

 

Zásada zákonnosti – nejdůležitější zásada, která říká, že správce může OÚ zpracovávat k určitému účelu pouze tehdy, má-li k takovému zpracování alespoň jeden právní důvod.

Zásada korektnosti a transparentnosti – ukládá správci povinnost být otevřený ohledně zpracování a zajistit co největší míru informovanosti SÚ

Zásada účelového omezení – zakazuje správci zpracovávání OÚ za jinými účely, než pro které byly shromážděny

Zásada omezení uložení – jde o povinnost zlikvidovat OÚ pokud pomine účel zpracování

Zásada integrity a důvěrnosti – OÚ musí být dostatečně zabezpečeny a chráněny před neoprávněným zpracováním, před ztrátou, zničením – zkrátka postarat se o to, aby data neunikla

 

 

Právní důvody zpracování:

 

Souhlas nesmí být podmíněný ničím jiným. A jak jednoduše může SÚ dát souhlas, může si ho vzít zpět.Souhlas může být ústní nebo písemný – tento je lepší

1. souhlas se zpracováním OÚ –kdo souhlas udělil,kdy jej udělil,o čem byl SÚ informován,jak byl souhlas udělen,zda byl souhlas odvolán

2. plnění smlouvy – pokud je zpracování nezbytné pro plnění smluvního závazku, je správce oprávněn k tomuto účelu zpracovat OÚ Bez nutnosti dalšího právního titulu / zákon č.108/2006 Sb. O sociálních službách/

3. Plnění zákonem stanovené povinnosti – zpracování je nezbytné pro splnění právní povinnosti, kterou správci ukládá zákon

4. Oprávněné zájmy správce – nejvíce flexibilní titul – nemusí se jednat jen o ochranu určitého práva,správce si může určit vlastní,subjektivní oprávněný zájem – lze uplatnit pouze za předpokladu,že nad těmito oprávněnými zájmy nepřevažují zájmy nebo základní práva a svobody SÚ

5. Plnění smlouvy – nesmí být překročen účel, ke kterému se zpracování vztahuje, musí být pouze v nezbytném rozsahu

6. Životně důležitý zájem – tento právní titul je možno použít v případě nutnosti předejití újmy na životě SÚ nebo jiné osoby

7. Veřejný zájem nebo výkon veřejné moci – primárně jde o zpracovávání OÚ orgány veřejné moci

    

   Práva SÚ:

   Informační povinnost správce :

• kontaktní údaje správce ( totožnost správce)

• účel a právní základ zpracování (důvody a cíle shromažďování)

• oprávněné zájmy (správce je povinen SÚ o takovém zájmu informovat)

• příjemce OÚ (informace,které správce využívá,nebo které předává)

• předání do zahraničí (SÚ musí obdržet informaci o tom, že správce hodlá jeho OÚ předat mimo země EU)

   

  Doba uložení –

  pokud nelze předem určit, tak např.vztáhnout k právnímu důvodu – zákon č. 499/2004 Sb. Zákon o archivnictví a spisové službě

   

  Další práva SÚ:

   

  Odvolat souhlas se zpracováním,požadovat přístup ke svým OÚ,právo podat stížnost u dozorového úřadu, důvod poskytnutí OÚ – zda je důvod založen zákonem,smlouvou nebo jinými požadavky, celistvá informace jak je nakládáno s jeho OÚ

  Právo být zapomenut :

  SÚ má právo požadovat vymazání OÚ pokud již nejsou údaje potřebné pro účely pro které byly shromážděny, odvolat souhlas, vznést námitky

  Vyřizování žádostí SÚ:

  Správce musí žádost zpracovat,posoudit a odpovědět bez zbytečného odkladu,nejpozději do 1 měsíce po obdržení

  Identifikace SÚ:

  U každé žádosti musí správce ověřit totožnost žadatele a určit,zda se skutečně jedná o daný SÚ,aby nebyla zneužita jeho práva jinými osobami

   

  Pověřenec – monitorování souladu s Obecným nařízením o ochraně OÚ.

  CZP Vysočina vzhledem k velikosti organizace a množství zpracovávaných dat nemusí stanovovat pověřence !

   

  Postup k zajištění Obecného nařízení :

   

• příprava k zajištění splnění povinností

• vymezení odpovědnosti za ochranu OÚ ( vytvoření interní směrnice)

• seznámení všech zaměstnanců pracujících s OÚ o povinnostech – prokazatelné proškolení

• seznam zpracovávaných OÚ

• vytvoření registru OÚ, identifikace účelu a právních titulů

• analýza rizik

• prověření správnosti souhlasů

• prověření smluv se zpracovateli (mlčenlivost)

• prověření postupů pro uchování a likvidaci OÚ

• prověření propagace organizace,fotky,pořizování obrazových záznamů,kroniky…

• kamerové systémy, účetnictví,personalistika

• informace na webových stránkách, že jsme správce OÚ a že pracujeme dle Obecného nařízení EU

   

  Otázky pro sebehodnocení v organizaci:

• shromažďujeme pouze informace, které nezbytně potřebujeme a získáváme je správným způsobem ?

• zkontrolovali jsme, zda všechny informace jsou relevantní a nezbytné pro náš účel ?

• kontrolujeme údaje z hlediska přesnosti ?

• máme zajištěnou stálou aktualizaci našich databází ?

   

  Příklady nebezpečí – rizik:

   

• nedostatečná ochrana PC heslem

• práce několika uživatelů na jednom PC

• vkládání vlastních nosičů /flash, DVD apod./

• sdílení hesla několika osobami

• volně přístupná fyzická úložiště /šanony, archivy, skříňky …

• zastupování zaměstnanců jeden za druhého

• pracovní techniky a metody

   

   

   

   

   

  Odpovědnost zpracovatele – správce :

   

• IT systém a jeho zajištění ochrany dat

• Forma uložení a zabezpečení dat

• Fyzická bezpečnost dat

• Spolehlivý personál, který má k údajům přístup

• Dodržení skartačního řádu

• Zajištění práv SÚ jako právo výmazu apod.

   

   

  Závěr :

   

  Nařízení vstoupilo v platnost 20 dní po jeho vyhlášení v Úředním věstníku EU 24. 5. 2016.

   

  Nařízení nabývá účinnosti 25. 5. 2018 .

   

  Nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech EU.

   

  Interní směrnice CZP Vysočina je účinná od 1. dubna 2018

   

   

  Zpracoval :

  Mgr. Miroslav Němec

  ředitel