GDPR transparentnost

Směrnice o nakládání a ochraně osobních údajů v Ústavu mezinárodních vztahů v.v.i., č. 33

Tento vnitřní předpis určuje stanovení pravidel uchování osobních údajů našich zaměstnanců, klientů a dalších osob a nakládání s nimi.

1. Úvodní ustanovení

1.1. Tento vnitřní předpis upravuje postup zaměstnanců Ústavu mezinárodních vztahů v.v.i., se sídlem Nerudova 3, Praha 1, 118 50 (dále jen „ÚMV“) a dalších ÚMV pověřených osob při nakládání, zpracování a ochraně osobních údajů zpracovávaných v podmínkách provozu a aktivit ÚMV podle nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů) (dále jen „nařízení“) a dalších právních předpisů upravujících ochranu osobních údajů.   

1.2. Tyto zásady se vztahují na osobní údaje zaměstnanců, externích spolupracovníků, návštěvníků akcí ÚMV, uživatelů knihovny ÚMV, zákazníků a odběratelů novinek ÚMV zpracovávané pověřenými osobami, a to zaměstnanci a osobami, které osobní údaje zpracovávají na základě smlouvy uzavřené s ÚMV. Tato směrnice musí být učiněna přílohou každé smlouvy, kterou ÚMV uzavírá s pověřenou osobou, která není zaměstnancem. 

1.3. Osobním údajem je jakákoliv informace týkající se určeného nebo určitelného subjektu údajů. Subjekt údajů se považuje za určený nebo určitelný, jestliže lze subjekt údajů přímo či nepřímo identifikovat zejména na základě čísla, kódu nebo jednoho či více prvků, specifických pro jeho fyzickou, fyziologickou, psychickou, ekonomickou, kulturní nebo sociální identitu.

 1.4. Citlivým údajem se rozumí osobní údaj vypovídající o národnostním, rasovém nebo etnickém původu, politických postojích, členství v politických stranách či hnutích nebo odborových či zaměstnaneckých organizacích, náboženství a přesvědčení, trestné činnosti, zdravotním stavu a sexuálním životě.

1.5. Subjektem údajů se rozumí fyzická osoba, k níž se osobní údaje vztahují. Subjektem údajů může být výlučně fyzická osoba; není rozhodné, zda se jedná o občana České republiky nebo o cizince, důležitý není její věk, skutečnost, zda je plně svéprávná apod.  V případě ÚMV se jedná o uživatele služeb, návštěvníka akcí, nebo zaměstnance ÚMV.

1.7. Správcem osobních údajů je ten, kdo určuje účel a prostředky konkrétního zpracování osobních údajů. Pro účely této směrnice se správcem osobních údajů rozumí ÚMV.

1.8. Zpracovatelem osobních údajů je ten, kdo zpracovává osobní údaje pro správce (např. poskytovatel knihovního systému), nikoli však zaměstnanec správce. Využívá-li zpracovatel osobních údajů při zpracování třetích osob, je povinen zajistit, že i tyto osoby budou povinny dodržovat veškeré povinnosti vyplývající z této směrnice a souvisejících zákonných opatření. V opačném případě odpovídá za vzniklou škodu.

1.9. ÚMV deklaruje, že pokud dojde ke změně zákonné úpravy povinností při ochraně osobních údajů, je povinen od účinnosti této změny automaticky dodržovat i veškeré další povinnosti, které z této změny vyplývají.

2. Pověřené osoby

2.1. Pověřenými osobami ÚMV, které jsou oprávněny zpracovávat osobní údaje, jsou:

- ředitel ÚMV, zaměstnanci pověření vedením oddělení

- zaměstnanci zařazení na pozice vedoucích úseků a na pozicích administrativních pracovníků ve službách a ve výzkumném oddělení,

- osoby, které zabezpečují informační systémy pro zpracování osobních údajů,

- jiné osoby, které k tomu mají oprávnění na základě smlouvy.

3. Zajištění bezpečnosti

3.1. Písemnosti a elektronické dokumenty obsahující osobní data subjektů údajů musí být zabezpečené v uzamykatelných prostorách ÚMV a v místech, kde je možno zajistit jejich ochranu, což platí i pro veškeré kopie těchto písemností. Za plnění povinností stanovených dle jednotlivých agend jsou odpovědné pověřené osoby dle rozsahu svých oprávnění vyplývajících z pracovní smlouvy nebo pokynů ÚMV. Za plnění těchto povinností jsou odpovědny osoby pověřené v rozsahu svých oprávnění.

3.2. Data obsahující osobní údaje subjektů, která jsou uložena v osobních počítačích, musí být zabezpečena před volným přístupem neoprávněných osob a zajištěna proti zneužití osobních údajů.

3.3. Všichni zaměstnanci jsou povinni zachovávat mlčenlivost o osobních či citlivých údajích a o bezpečnostních opatřeních, jejichž zveřejnění by ohrozilo zabezpečení osobních údajů.

3.4. Účetní údaje ÚMV likviduje vždy k 31. 1. roku následujícího po uplynutí 5 let od provedení peněžité transakce. Tato časová lhůta neplatí v případě, že poskytovatel finančních prostředků požaduje ve smlouvě delší časovou lhůtu nebo musí být doba archivace prodloužena z důvodu ochrany oprávněných zájmů ÚMV.

4. Zásady zpracování osobních údajů

Základní zásady pro nakládání s osobními údaji nařízení upravuje v čl. 5. V souladu s těmito zásadami musí ÚMV dbát na to, aby osobní údaje byly:

  • zpracovávány pouze na základě konkrétních právních důvodů;
  • zpracovávány korektně a transparentně;
  • shromažďovány pouze pro určité, výslovně vyjádřené a legitimní účely;
  • přiměřené, relevantní a omezené na nezbytný rozsah ve vztahu k účelu, pro který jsou zpracovávány;
  • přesné a v případě potřeby aktualizované;
  • uloženy pouze po dobu nezbytnou pro účely, pro které jsou zpracovávány;
  • zpracovávány způsobem, který zajistí náležité zabezpečení osobních údajů.

5. Způsob zpracování  

5.1. Osobní údaje jsou ÚMV zpracovávány nejčastěji pro účely plnění smlouvy a právní povinnosti uložené ÚMV. Ke zpracování osobních údajů dochází též na základě souhlasu subjektu údajů a též pro účely oprávněných zájmů ÚMV.

5.2. Osobní údaje subjektů údajů, které dle své povahy vyžadují souhlas se zpracováním, má ÚMV povinnosti uchovávat pouze v aktuální podobě a nepotřebné údaje skartovat a nadále neuchovávat. Pokud je takto vyslovený souhlas odvolán, je nutno osobní údaje vázané k tomuto souhlasu skartovat a v souladu s předpisy případně archivovat na nezbytně nutnou délku.

5.3. V informačním systému ÚMV jsou evidovány získané osobní údaje a další potřebné informace pro jejich další zpracování, které jsou získané buď na základě souhlasu, nebo na základě nařízení vyplývajícího ze zákona. Tyto údaje jsou zpracovávány s ohledem na zajištění jejich bezpečnosti. Zaznamenané údaje či jejich kopie pověřený zaměstnanec uchovává a archivuje v místnostech nebo prostorách uzamykatelných či jiným způsobem znesnadňujícím přístup ke zpracovaným údajům (např. použitím přístupových hesel při zpracování osobních údajů prostředky výpočetní techniky) tak, aby bylo vyloučeno, resp. v nejvyšší možné míře  sníženo riziko jejich zničení, ztráty, odcizení nebo jiné škody.

5.4. Přístup do databáze kontaktů, do informačních databází, do databáze Eventivalu, která zpracovává data uživatelů služeb ÚMV a do databáze knihovny a e-shopu mají pouze pověření zaměstnanci a osoby, které tyto systémy zabezpečují pro zpracování osobních údajů a osoby, které k tomu mají pověření na základě smlouvy s ÚMV. Zvýšená bezpečnostní opatření se týkají i vstupu do budovy ÚMV a jednotlivé údaje jsou chráněny v uzamčených kancelářích, do kterých mají přístup pouze odpovědní zaměstnanci. Externí disky, na kterých se přenášejí osobní údaje, jsou vždy zajištěny heslem.

5.5. Audio, video či fotografické záznamy z akcí či zaměstnanců ÚMV jsou vždy zajištěny s jejich souhlasem např. na prezenční listině, kterou návštěvníci podepíšou při registraci na akci.

6. Povinnosti zaměstnanců ÚMV při zpracování osobních údajů

  • Shromažďovat osobní údaje pouze otevřeně; je vyloučeno shromažďovat údaje k jinému účelu, než umožňuje nařízení.
  • Nehromadit osobní údaje, které byly získány k rozdílným účelům, či nadbytečné údaje.
  • V případě, že dochází ke zpracování osobních údajů na základě souhlasu subjektu údajů, souhlas musí být udělen písemně, opatřený podpisem subjektu údajů a musí z něj být zřejmé, k jakým údajům je udělován, jakému správci údajů, k jakému účelu, na jaké období a kdo jej poskytuje.
  • Souhlas může subjekt údajů kdykoli odvolat. Tento souhlas musí ÚMV uschovat po dobu zpracování osobních údajů, k jejichž zpracování byl souhlas dán.
  • Osobní údaje zachycené v počítačových databázích jsou zlikvidovány vymazáním identifikačních údajů (anonymizace). Takto anonymizované údaje jsou dále používány pouze pro statistické účely.

7. Práva zaměstnanců, klientů a uživatelů služeb ÚMV

7.1 Práva zaměstnanců, uživatelů služeb i klientů jako subjektu údajů jsou zaručena. Subjekt údajů má právo na přístup ke svým osobním údajům a právo na opravu svých osobních údajů.

7.2. Subjekty údajů mají právo se obrátit se na Úřad pro ochranu osobních údajů s žádostí o zajištění opatření k nápravě, pokud zjistí, že došlo k porušení povinnosti ÚMV chránit jejich údaje. Subjekt údajů, který zjistí nebo se domnívá, že ÚMV zpracovává jeho osobní údaje v rozporu s ochranou soukromého a osobního života, může požádat ÚMV o vysvětlení a odstranění takto vzniklého stavu (zejm. opravou, doplněním, omezením zpracování nebo likvidací osobních údajů). Je-li žádost subjektu údajů shledána oprávněnou, ÚMV odstraní neprodleně závadný stav způsobem podle povahy případu. Žádost je třeba podat písemně.

7.3. Subjekty údajů mají právo požadovat doplnění či opravu svých osobních údajů tak, aby byly pravdivé a přesné, a též právo získat od ÚMV jejich osobní údaje ve strukturovaném, běžně používaném a strojově čitelném formátu.

7.4. Subjekty údajů mají právo vznést námitku proti zpracování osobních údajů a mohou též žádat ÚMV o omezení zpracování osobních údajů, jsou-li pro to dány podmínky stanovené nařízením.

7. 5. Na základě písemně podané žádosti mají subjekty údajů právo na výmaz (tj. být zapomenuti), což znamená, že v takovém případě budou vymazány veškeré osobní údaje subjektu údajů z informačních systémů ÚMV. ÚMV má k výmazu lhůtu 30 dní, s možností prodloužení na 60 dní v odůvodněných případech. Výmaz bude proveden i v případě, že bude dán některý z důvodů k výmazu osobních údajů stanovený nařízením. V případě povinnosti zachovávat osobní údaje po určitou dobu (např. statistiky knihovny), jsou osobní údaje anonymizovány a teprve poté smazány.

8. Kontrola dodržování ustanovení směrnice

8.1. Vedoucí zaměstnanci ÚMV zajistí kontrolu plnění povinností vyplývajících z ustanovení této směrnice pro nakládání s osobními údaji v mezích své působnosti.

9. Účinnost směrnice

Tato směrnice pro nakládání s osobními údaji nabývá účinnosti a platnosti dnem jejího vydání.

 

 

V Praze dne 25. 5. 2018

PhDr. Ondřej Ditrych, MPhil. Ph.D.

Ředitel ÚMV

 

 

 





Nahoru