Základní právní normou upravující ochranu osobních údajů v naší organizaci je NAŘÍZENÍ EVROPSKÉHO PARLAMENTU A RADY (EU) 2016/679 (General Data Protection Regulation – dále jen GDPR, Nařízení), o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů, účinné od 25.5. 2018.

1)  Účel úpravy

Účelem vydání této směrnice je aplikace ochrany fyzických osob v souvislosti se zpracováním jejich osobních údajů a o volném pohybu těchto údajů, tak, aby bylo dosaženo požadované ochrany údajů při jejich zpracování u:

– fyzických osob – zaměstnanců, žáků, uchazečů o studium a o zaměstnání

– fyzických osob – současných či budoucích obchodních partnerů, klientů; resp. právnických osob, za něž při jednání vystupuje zaměstnanec této právnické osoby a naše organizace pak má k dispozici (v zájmu navázání řádného obchodního styku) potřebné osobní údaje této fyzické osoby – zaměstnance našeho obchodního partnera

– dalších osob, za něž organizace při své činnosti získává jejich osobní údaje (např. ubytovaní hosté, účastníci výherních soutěží pořádaných organizací aj.)

(dále jen subjekty údajů).

Organizace tyto údaje zpracovává a proto je dle GDPR správcem osobních údajů. Směrnice stanovuje práva a povinnosti zaměstnanců a ostatních fyzických osob při veškerém zpracování osobních údajů a to jak při ručním, tak automatizovaném zpracování. Ke zpracování osobních údajů může docházet:

1. na základě souhlasu této fyzické osoby („zpracování na základě souhlasu“)
2. pokud jsou osobní údaje zpracovávány na základě zvláštního zákona („zpracování ze zákona“), resp. při výkonu veřejné moci,
3. pokud jsou osobní údaje nezbytně nutné pro vstoupení fyzické osoby do jednání o smluvním vztahu či plnění uzavřené smlouvy se správcem („zpracování na základě uzavřené smlouvy“)
4. a dále v situaci, jedná-li se o oprávněně zveřejňované údaje v souladu se specifickým zvláštním zákonem

Osobní údaje se vyskytují v organizaci buď ve formě originálních písemností (či jejich kopií, fotokopií), v elektronické podobě ve formě počítačové databáze a na archivních médiích (CD, externí disky, vzdálená zabezpečená úložiště-cloud, FD…).

Subjekt údajů je o zpracování svých osobních údajů informován ihned při prvním kontaktu, při němž správce a subjekt údajů vstupují do právního vztahu (při nástupu zaměstnance do zaměstnání a při navázání dodavatelskoodběratelských vztahů s obchodními partnery-fyzickými osobami aj.).

Při získávání (prvotním zpracování) osobních údajů  se vždy posuzuje, zda jsou skutečně všechny údaje poskytované subjektem údajů potřebné v organizaci pro jejich další zpracování, tj. zda jimi organizace musí disponovat. Dále se rovněž posuzuje, zda nejsou údaje zpracovávány nad rámec stanovený zákonem. K jednotlivým skupinám (druhům) zpracovávaných osobních údajů se pak přiřazuje časový horizont jejich zpracování/ukončení zpracování, tj. doba zpracování nezbytná pro daný účel.

Při skartaci a archivaci  údajů/dat po ukončení jejich zpracování se postupuje dle Směrnice k vedení spisové služby, která obsahuje spisový řád se spisovým a skartačním plánem. V něm uvedené lhůty pak odpovídají zákonným požadavkům).

2)  Definice používaných pojmů

– správce osobních údajů (viz GDPR – článek 4, odst. 7) – fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt určující účel a prostředky zpracování osobních údajů;  zpracování provádí a odpovídá za něj,

– osobní údaj (viz GDPR – článek 4, odst. 1) – jakákoliv informace o identifikované či identifikovatelné fyzické osobě – „subjektu údajů“, jakýkoli údaj týkající se této osoby. Na základě tohoto údaje je subjekt přímo či nepřímo ztotožněn, identifikován, určen (např. jméno, příjmení, adresa, datum narození, rodné číslo, identifikační číslo, telefon, emailová adresa, IP adresa, aj.); osobní údaje jsou zpracovávány v neautomatizované podobě jako fyzická evidence, kartotéka, či úřední spis nebo automatizovaným postupem zpracováváním datového souboru,

– zpracovatel osobních údajů (viz GDPR – článek 4, odst. 8) – fyzická nebo právnická osoba, orgán veřejné moci či jiný subjekt, který zpracovává osobní údaje pro správce na základě smlouvy a plní stejné nároky na ochranu osobních údajů jako správce; může zpracovávat osobní údaje po technické stránce jen na základě přesných pokynů správce,

– zpracování osobních údajů (viz GDPR – článek 4, odst. 2) – jakákoli operace správce či zpracovatele s osobními údaji, zejména shromažďování (získání za účelem jejich uložení pro další zpracování), zaznamenání, uspořádání, strukturování, ukládání na nosiče dat, přizpůsobení, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, či jiné zpřístupnění, seřazení či zkombinování, výmaz nebo zničení; zpracování musí být vždy účelové,

 – pověřenec pro ochranu osobních údajů (viz GDPR – článek 37-39) – jeho úkolem je nezávislé a nestranné plnění úkolů při ochraně osobních údajů v organizaci na základě své hluboké znalosti GDPR a svých dalších odborných znalostí a zkušeností v oblasti ochrany údajů a IT. Pověřenec je kontaktní osobou pro ÚOOÚ; pověřenci nejsou ze strany organizace udíleny žádné konkrétní úkoly týkající se plnění jeho povinností dle GDPR, při zajišťování souladu činnosti organizace s GDPR; pokud jako zaměstnanec v organizaci vykonává i jinou práci, tak tato nesmí být ve střetu zájmů s prací pověřence; pověřenec je přímo podřízen řediteli.