Osobní pověřenec MŠ pro ochranu osobních údajů.

  1. mateřská škola Plzeň, Manětínská 37, příspěvková organizace, IČ 70940908, dále jen „škola“ jako správce osobních údajů zpracovává údaje v níže uvedených případech.

Na školu je možné se k uplatnění práv v oblasti osobních údajů obracet prostřednictvím datové schránky, ID DS bdamwj7, emailem na adrese HvozdovskaNa@ms60.plzen-edu.cz nebo poštou na adresu 60. mateřská škola Plzeň, Manětínská 37, příspěvková organizace, se sídlem v Plzni, Manětínská 1617/37, 323 00 Plzeň. Výše uvedenými způsoby je možné se v relevantních případech na školu obracet za účelem uplatnění práva na přístup k osobním údajům, jejich opravu nebo výmaz, popřípadě omezení zpracování, vznést námitku proti zpracování, jakož i při uplatnění práva na přenositelnost údajů a dalších práv podle obecného nařízení o ochraně osobních údajů. Výše uvedenými způsoby se mohou subjekty údajů na školu obracet v případě údajů zpracovávaných na základě souhlasu rovněž za účelem odvolání souhlasu se zpracováním osobních údajů.

Jmenovaným pověřencem pro školu je Libuše Kulhová, tel. č. 37 803 5161, email: gdpr-sitmp@plzen.eu.

Pro zajištění vedení dokumentace školy, v souladu s ustanovením § 28 zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon), ve znění pozdějších předpisů, zpracovává škola o žácích následující typy údajů:

jméno a příjmení; rodné číslo (popřípadě datum narození, nebylo-li rodné číslo dítěti, žákovi nebo studentovi přiděleno); státní občanství; místo narození; místo trvalého pobytu, popřípadě místo pobytu na území České republiky podle druhu pobytu cizince nebo místo pobytu v zahraničí, nepobývá-li dítě, žák nebo student na území České republiky; údaje o předchozím vzdělávání, včetně dosaženého stupně vzdělání; datum zahájení vzdělávání ve škole; údaje o průběhu a výsledcích vzdělávání ve škole; vyučovací jazyk; údaje o znevýhodnění žáka; údaje o mimořádném nadání žáka; údaje o podpůrných opatřeních poskytovaných žákovi školou, a o závěrech vyšetření uvedených v doporučení školského poradenského zařízení; údaje o zdravotní způsobilosti ke vzdělávání a o zdravotních obtížích, které by mohly mít vliv na průběh vzdělávání; datum ukončení vzdělávání ve škole.

Osobní údaje jsou rovněž zpracovávány při vedení následujících agend:

  • Přijetí ke vzdělávání, odklady školní docházky, sdělení o vzdělávání v cizině (školský zákon)
  • Evidence úrazů v knize úrazů (školský zákon, vyhláška č. 64/2005 Sb.)
  • Vedení záznamů v třídní knize (školský zákon)
  • Žádosti o přestup (školský zákon)                                            
  • Posudky zdravotní způsobilosti (škola v přírodě, výuka plavání... – školský zákon)
  • Uvolnění žáka z vyučování (školský zákon)
  • Stravování žáka (školský zákon, vyhláška č. 107/2005 Sb.)
  • Orientační testování nezletilého žáka na přítomnost OPL (školský zákon)
  • Prezentace školy (oprávněný zájem školy, souhlasy se zpracováním osobních údajů)
  • Seznámení se školním řádem a školním vzdělávacím programem (školský zákon)
  • Žádost o zahájení a rozhodnutí o ukončení individuálního vzdělávání (školský zákon)
  • Kamerové systémy (oprávněný zájem školy – zajištění bezpečnosti osob a majetku)
  • Smluvní agenda školy, provozní agenda školy (plnění smluv)
  • pedagogická agenda a korespondence (školský zákon)
  • Vedení personální a mzdové agendy zaměstnanců školy (zákoník práce, …)
  • Ekonomická agenda (plnění právní povinnosti - např. zákon o účetnictví…)
  • Další činnosti, které lze považovat za operace s osobními údaji.                                                                                                                                                                                                                                                                                                                                                

Výše vymezené údaje se dále v souladu s příslušnými právními předpisy mohou v některých případech předávat školskému poradenskému zařízení (např. Pedagogicko-psychologická poradna), jinak pouze osobám, které svůj nárok prokáží oprávněním stanoveným školským zákonem nebo zvláštním zákonem (např. Policie ČR, soudy, OSPOD).

Osobní údaje jsou uloženy po dobu stanovenou Spisovým a skartačním plánem školy.

Osobní údaje nebudou předávány do třetích zemí.

Při zpracování osobních údajů nedochází k automatizovanému rozhodování.

Dozor v oblasti ochrany osobních údajů vykonává Úřad pro ochranu osobních údajů (www.uoou.cz).

 

Vnitřní směrnice

k ochraně osobních údajů

Č.j. : 60. MŠ/278/2018

Účinnost od 25.5.2018

Spisový znak: A 5

Aktualizace 2.5.2018

Přílohy: Vzory žádostí a formulářů k naplnění práv subjektů, vzory souhlasů s poskytnutím OsÚ, prohlášení o ochraně OsÚ, Srozumění poskytovatele služeb;

V zájmu zajištění ochrany osobních údajů zaměstnanců, dětí, zákonných zástupců a dalších fyzických osob vydávám v souladu se zákonem č. 101/2000 Sb., o ochraně osobních údajů a dále též na základě Nařízení Evropského parlamentu a Rady 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů (obecné nařízení o ochraně osobních údajů) tuto směrnici:

1.      Působnost směrnice

Směrnice upravuje pravidla pro ochranu osobních dat zaměstnanců, dětí v MŠ, zákonných zástupců a také dalších osob, které jsou ke škole v pracovním či jiném právním vztahu případně které poskytují své osobní údaje škole k využití.

Tato pravidla zacházení s osobními údaji se vztahují na všechny zaměstnance 60. MŠ Plzeň (dále jen „škola“), kteří jsou k organizaci v pracovněprávním vztahu a, jde-li o management školy, též ve vztahu smluvním.

2.      Základní pojmy

GDPR - General Data Protection Regulation - Obecné nařízení o ochraně osobních údajů

DPO - Data Protection Officer – Pověřenec pro ochranu osobních údajů

Osobní údaj (OsÚ) - osobním údajem je každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Zvláštní kategorie osobních údajů (citlivé údaje) - některé osobní údaje jsou takového charakteru, že mohou subjekt údajů samy o sobě poškodit ve společnosti či mohou zapříčinit jeho diskriminaci. Jedná se o tyto údaje:

  • rasový či etnický původ,
  • politické názory,
  • náboženské vyznání
  • filozofické přesvědčení,
  • členství v odborech,
  • informace o zdravotním stavu,
  • informace o sexuálním životě nebo sexuální orientaci
  • genetické a biometrické údaje

Anonymní údaj - údaj, který buď v původním tvaru, nebo po provedeném zpracování nelze vztáhnout k určenému nebo určitelnému subjektu údajů, jedná se převážně o statistická data

Pseudonymizovaný údaj - údaj, který je zašifrován a místo konkrétního vodítka na fyzickou osobu je používán anonymní identifikátor (tzv. hash), pro účely přiřazení data k fyzické osobě však existuje seznam dekódující hash kódy.

Subjekt údajů - žijící fyzická osoba, jíž se osobní údaje týkají. Subjekt údajů není právnická osoba

Zpracování osobních údajů - zpracováním je jakákoli operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoli jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.

Shromažďování osobních údajů - systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování.

Uchovávání osobních údajů - udržování údajů v takové podobě, která je umožňuje dále zpracovávat.

Správce osobních údajů - subjekt, který určuje účel a prostředky zpracování osobních údajů.

Zpracovatel osobních údajů - subjekt, který na základě pověření správcem zpracovává osobní údaje.

3.      Shromažďování osobních údajů

Škola, jako orgán veřejné správy, je správcem, který provádí zpracování, shromažďování, uchovávání, zveřejňování a likvidaci osobních údajů. Ve vybraných agendách pověřuje škola zpracovatele zpracováním osobních údajů. 60. MŠ Plzeň (dále jen „škola“), shromažďuje a zpracovává tyto kategorie osobních údajů:

  1. OsÚ související s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků, jsou nezbytné pro výpočet mzdy, daní a odvodů na sociální a zdravotní pojištění; dále též osobní údaje zaměstnance, které jsou nezbytné pro řízení chodu školy,
  2. OsÚ související s identifikací dítěte ze zákona (údaje školní matriky) či jsou nezbytné pro realizaci vzdělávací a výchovné činnosti ve veřejném zájmu,
  3. OsÚ související s jednoznačnou identifikací zákonných zástupců dětí v souladu se zákonem či se jedná o kontaktní údaje nezbytné pro plnění povinností školy ve veřejném zájmu, případně jsou potřebné pro naplnění práv zákonného zástupce ve vztahu k dítěti,
  4. OsÚ související s identifikací fyzických osob jako smluvních stran.

Účely zpracování a právní důvody pro zpracování pro jednotlivé osobní údaje jsou uvedeny v GDPR auditu, který si škola nechala vypracovat. Převažujícím právním důvodem pro zpracování je plnění právní povinnosti či splnění úkolu ve veřejném zájmu vyplývající ze školské legislativy:

  • Zákon 561/2004 Sb. o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (školský zákon)
  • Zákon 563/2004 Sb. o pedagogických pracovnících
  • Vyhláška č. 364/2005 Sb., o vedení dokumentace škol a školských zařízení a školní matriky a o předávání údajů z dokumentace škol a školských zařízení a ze školní matriky (vyhláška o dokumentaci škol a školských zařízení)
  • Vyhláška č. 48/2005 Sb., o základním vzdělávání a některých náležitostech plnění povinné školní docházky
  • Vyhláška č. 107/2005 Sb., o školním stravování
  • Vyhláška č. 74/2005 Sb., o zájmovém vzdělávání
  • Vyhláška č. 72/2005 Sb., o poskytování poradenských služeb ve školách a školských poradenských zařízeních
  • Vyhláška č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů
  • Vyhláška č. 27/2016 Sb., o vzdělávání žáků se speciálními vzdělávacími potřebami a žáků nadaných
  • Vyhláška č. 17/2005 Sb., o podrobnějších podmínkách organizace České školní inspekce a výkonu inspekční činnosti
  • Vyhláška č. 16/2005 Sb., o organizaci školního roku
  • Vyhláška č. 15/2005 Sb., kterou se stanoví náležitosti dlouhodobých záměrů, výročních zpráv a vlastního hodnocení školy
  • Vyhláška č. 282/2016 Sb., o požadavcích na potraviny, pro které je přípustná reklama a které lze nabízet k prodeji a prodávat ve školách a školských zařízeních
  • Vyhláška č. 3/2015 Sb., o některých dokladech o vzdělání
  • Vyhláška č. 108/2005 Sb., o školských výchovných a ubytovacích zařízeních a školských účelových zařízeních
  • Vyhláška č. 55/2005 Sb., o podmínkách organizace a financování soutěží a přehlídek v zájmovém vzdělávání
  • Vyhláška č. 54/2005 Sb., o náležitostech konkursního řízení a konkursních komisích
  • Zákon č. 258/2000 Sb., o ochraně veřejného zdraví a o změně některých souvisejících zákonů

Pro prezentaci školy (web, výroční zprávy, školní kronika, nástěnky) jsou využívána osobní data subjektů údajů jen s jejich souhlasem.

4.      Uchovávání osobních údajů

Osobní údaje se zpracovávají a uchovávají pouze po dobu, která je nezbytná k účelu jejich zpracování a po dobu nezbytné archivace. Pro statistické účely jsou osobní údaje anonymizovány. Škola vyvíjí maximální úsilí pro zajištění bezpečnosti a integrity OsÚ. Formou zmapovaného a řízeného procesu sběru a zpracování osobních dat zamezuje neoprávněnému přístupu ke shromážděným OsÚ.

OsÚ jsou uchovávány o:

  1. zaměstnanci či smluvním pracovníkovi v jeho osobním spisu, umístěném v kanceláři ředitele školy, dále též ve školském informačním systému a systému pro zpracování mezd
  2. dítěti a jeho zákonných zástupcích v elektronické matrice školy, spisu vedeném v rámci přijímacího řízení a dalších dokumentech vedených v souladu s ustanovením školského zákona

Způsob ukládání a manipulace s osobními údaji určují příslušní vedoucí zaměstnanci, v jejichž  působnosti k manipulaci dochází (vzdělávací činnost, provozní činnost, školní jídelna atd.).

5.      Přístup k osobním údajům

K osobním údajům mají přístup pouze oprávněné osoby definované školskou legislativou či vnitřními směrnicemi školy.

Do dokumentace mohou nahlížet:

  • Do osobního spisu zaměstnance - vedoucí zaměstnanci, kteří jsou zaměstnanci nadřízeni. Právo nahlížet do osobního spisu má také ČŠI, orgán inspekce práce, úřad práce, soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní úřad a zpravodajské služby. Zaměstnanec má právo nahlížet do svého osobního spisu, činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele (§ 312 zákoníku práce);
  • Do údajů dítěte či zákonného zástupce ve školní matrice - pedagogičtí pracovníci školy;
  • Do údajů o zdravotním stavu dítěte, zpráv o vyšetření ve školním poradenském zařízení, lékařských zpráv - výchovný poradce, vedoucí pedagogičtí pracovníci, třídní učitel;
  • Do spisu, vedeném ve správním řízení - osoba, která je zmocněna s úředním spisem pracovat po dobu řízení, statutární zástupce školy, účastníci správního řízení, vedoucí pedagogičtí pracovníci,
  • Do elektronických dokumentů, které jsou uloženy ve školní počítačové síti a obsahují data dětí – ředitel, učitelka pověřena zastupováním ředitele školy po dobu jeho nepřítomnosti, třídní učitel, vedoucí školní jídelny;

6.      Externí zpracovatelé

Pokud jsou osobní údaje spravované školou zpracovávány externím subjektem (jiná fyzická osoba či firma), děje se tak na základě písemné zpracovatelské smlouvy. Externí zpracovatelé mohou s osobními údaji nakládat jen v rozsahu daném zpracovatelskou smlouvou.

Za uzavření a dodržování zpracovatelské smlouvy zodpovídá ředitel.

V případě, že jakýkoliv zaměstnanec zjistí, že externí zpracovatel nepostupuje při provádění operací s osobními daty v souladu se zpracovatelskou smlouvou, neprodleně to oznámí vedení školy.

O zpracování OsÚ ve smyslu Nařízení GDPR se nejedná, pokud je přístup k datům pouhým nepravidelným a nahodilým důsledkem jiné činnosti (servis či oprava technických prostředků pro zpracování dat), které z podstaty věci sice může zahrnovat nárazový přístup k datům, nicméně povaha konkrétní činnosti nemá charakter zpracování. Platí zde však podmínky pro vydáván osobních údajů dle odstavce 7 (Srozumění poskytovatele služby s ochranou osobních údajů).

7.      Vydávání dat třetím stranám

Škola nevydává osobní údaje třetím stranám. Výjimkou je:

  1. Plnění právní povinnosti – např. realizaci inspekčních elektronických zjišťování, zasílání záznamů o školních úrazech, ověřování výsledků dětí v předškolním vzdělávání apod.;
  2. Poskytování služeb třetími stranami, které napomáhají plnění činností školy ve veřejném zájmu – např. zajištění ubytování na školních akcích, objednávka dopravy apod.;

Poskytovatel služby dle bodu b) tohoto odstavce bude školou před každým případem možného přístupu k datům vyzván k podpisu „Srozumění poskytovatele služby s ochranou OsÚ“. Toto srozumění je možné zaslat písemně či elektronicky a osoba, která osobní data či přístup k nim vydala, je povinna jej získat a založit v dokumentaci Pověřence pro ochranu osobních údajů. Srozumění nahrazuje zpracovatelskou smlouvu a je využíváno jen pro nahodilá, neopakovaná zpracování.

8.      Právní důvody ke zpracování osobních údajů

Škola shromažďuje a zpracovává osobní údaje, jen pokud k tomu má právní důvod. Nakládání s osobními údaji bez právního důvodu je nepřípustné a bude posuzováno jako porušení pracovní kázně.

Právní důvody pro zpracování OsÚ na 60. MŠ Plzeň (dále jen „škola“):

  1. Plnění právní povinnosti – plnění povinnosti definované právním předpisem, který zároveň určuje, jaké osobní údaje mají být zpracovávány (např. školní matrika)
  2. Splnění úkolu prováděného ve veřejném zájmu - plnění povinnosti definované právním předpisem, který však jednoznačně neurčuje kategorie a rozsah shromažďovaných osobních údajů (např. kontaktní údaje rodičů)
  3. Plnění smlouvy – v případě že subjekt údajů sám poskytne svoje data pro účely plnění smlouvy či objednávky, je přípustné je v nezbytném rozsahu zpracovávat (např. obědy ve školní jídelně, pronájem majetku školy fyzickým osobám)
  4. Oprávněný zájem správce či třetí strany – pro účely realizace činností, které přímo nevyplývají ze školské legislativy, ale jsou nezbytné pro zajištění právních zájmů školy (např. ochrana majetku kamerovým systémem či pomocí EZS)
  5. Ochrana životně důležitých zájmů – pro účely ochrany života a zdraví subjektů údajů je možné zpracovávat OsÚ v nezbytně nutném rozsahu (např. informace o alergii dítěte, epilepsie, pravidelně užívané léky apod.)
  6. Souhlas subjektu údajů pro jeden či více konkrétních účelů - ke zpracování osobních údajů, pro něž škola nemá jiný právní důvod, je nezbytný souhlas osoby, jejíž osobní údaje jsou zpracovávány.

Náležitosti souhlasu:

Souhlas s poskytnutím osobních údajů ke zpracování musí být svobodný, konkrétní a informovaný. Jde o jednoznačný projev vůle fyzické osoby poskytnout svá data k určitému účelu zpracování. Souhlas musí být odlišen od jiných skutečností, ke kterým se subjekt údajů vyjadřuje (nelze jej tedy například dát jako součást přihlášky). Subjekt údajů má právo svůj souhlas kdykoli odvolat. Škola před zahájením zpracování osobních dat prokazatelně zajistí plnou informovanost subjektů údajů o jeho právech v rozsahu daném legislativou.

9.      Práva subjektů údajů

Práva subjektu údajů upravuje GDPR v kapitole III Práva subjektu údajů. Výkon práv je bezplatný tzn., 60. MŠ Plzeň (dále jen „škola“) nebude za úkony spojené s naplněním práv subjektu údajů účtovat fyzickým osobám žádné poplatky. (s výjimkou zjevně nedůvodných či nepřiměřených žádostí). Výkon práva musí být uskutečněn bez zbytečného odkladu maximálně do 30ti dní.

9.1.  Právo na informace a právo na přístup k osobním údajům

Každý subjekt údajů, jehož data škola zpracovává, má právo získat informaci o zpracování. Toto je realizováno vyvěšením dokumentu Prohlášení o ochraně osobních údajů na veřejně přístupném místě ve škole, případně uveřejněním dokumentu na webových stránkách školy. Rovněž každý formulář, prostřednictvím něhož škola OsÚ získává, v přiměřené míře subjekt údajů informuje o důvodu získání a rozsahu zpracování OsÚ. Text tohoto seznámení bude například:

„Ve formuláři uvedené údaje poskytuje subjekt údajů škole pro účely plnění právní povinnosti dle zákona 561/2004 Sb. školský zákon a souvisejících právních předpisů a pro plnění úkolů ve veřejném zájmu ve smyslu článku 6 odstavce 1. písmene e) nařízení EP a Rady EU 2016/679 Obecné nařízení o ochraně osobních údajů. Poskytnuté údaje může škola použít pouze pro vedení školní dokumentace, organizaci školních či mimoškolních akcí a pro jiné účely související s běžným provozem školy.“

Každý subjekt údajů, jehož data škola zpracovává, má rovněž právo získat potvrzení, zda jsou či nejsou jeho osobní údaje zpracovávány a v jakém rozsahu. Žádost podává subjekt údajů prostřednictvím písemné žádosti adresované Pověřenci pro ochranu osobních údajů.

Pokud škola osobní údaje zpracovává, má subjekt údajů právo získat následující informace:

  • výčet shromážděných osobních údajů
  • účely zpracování,
  • právní důvod zpracování OsÚ,
  • kategorie dotčených osobních údajů,
  • příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny,
  • plánovaná doba, po kterou budou osobní údaje uloženy,
  • informace o zdroji osobních údajů, pokud nejsou získány přímo od subjektu údajů,
  • informace, zda dochází k automatizovanému rozhodování, včetně profilování.

Pokud škola o fyzické osobě žádné údaje nezpracovává, poskytne DPO informaci, že osobní údaje tazatele nejsou předmětem zpracování osobních údajů ze strany školy.

O žádostech subjektů údaj na informace vede DPO dokumentaci se skartační lhůtou 3 roky. Vzory formulářů pro podání žádosti o přístup k osobním údajům a formuláře pro informování subjektu údajů o zpracování jeho OsÚ jsou přílohou této směrnice.

9.2.  Právo na opravu

Pokud jsou osobní údaje fyzické osoby nepřesné, má tato právo na jejich opravu či doplnění. Aktualizace osobních údajů je činěna na vyžádání konkrétního subjektu údajů a pouze pro jeho osobní data (vč. dat svěřených osob u zákonných zástupců). Žádost je podávána prostřednictvím DPO a záznam o aktualizaci osobních údajů je uložen v dokumentaci činnosti DPO. O provedení opravy je proveden záznam na formuláři GDPR PSÚ Oprava OsÚ, jehož vzor je přílohou této směrnice.

9.3.  Právo na výmaz

Pokud je splněna alespoň jedna z níže uvedených podmínek, má subjekt údajů právo na vymazání jeho osobních dat ze všech evidencí 60. MŠ Plzeň (dále jen „škola“) .

  • osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány,
  • subjekt údajů odvolá souhlas a neexistuje žádný další právní důvod pro zpracování,
  • subjekt údajů vznese námitky proti zpracování a neexistují žádné převažující oprávněné důvody pro zpracování,
  • osobní údaje byly zpracovány protiprávně,
  • osobní údaje musí být vymazány ke splnění právní povinnosti,
  • osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti.

Žádost o výmaz (GDPR PSÚ Žádost o výmaz) je podávána prostřednictvím Pověřence pro ochranu osobních údajů. O procesu výmazu je veden záznam s využitím formuláře GDPR PSÚ Protokol o vymazání osobních údajů, jehož vzor je přílohou této směrnice.

Pokud jsou osobní údaje vymazány z rozhodnutí správce (např. v rámci skartace, po ukončení pracovního poměru zaměstnance, čištění záloh), protokol o vymazání osobních údajů se nevyplňuje.

9.4.  Právo na omezení zpracování

Pokud je splněna alespoň jedna z níže uvedených podmínek, má subjekt údajů právo na omezení zpracování jeho osobních dat ze všech evidencí 60. MŠ Plzeň (dále jen „škola“).

  • subjekt údajů popírá přesnost osobních údajů, omezení se provádí na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit
  • zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití
  • správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
  • subjekt údajů vznesl námitku proti zpracování, omezení se provádí do doby, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů

Zpracování OsÚ je omezeno tak, že s dotčeným osobním údajem není možné provádět žádné operace s výjimkou operací výslovně odsouhlasených subjektem údajů případně operací z důvodu důležitého veřejného zájmu, obhajoby právních nároků či ochrany práv jiné fyzické či právnické osoby. Žádost o omezení zpracování je podávána prostřednictvím Pověřence pro ochranu osobních údajů na standardizovaném formuláři GDPR PSÚ Žádost o omezení zpracování.

9.5.  Právo vznést námitku

Subjekt údajů má právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají a jsou zpracovávány na základě plnění úkolu ve veřejném zájmu či pro účely oprávněných zájmů správce. Provádí tak prostřednictvím Pověřence pro ochranu osobních údajů na standardizovaném formuláři GDPR PSÚ Námitka proti zpracování OsÚ. Správce po přijetí takovéto námitky neprodleně provede šetření právních důvodů zpracování. Osobní údaje může škola dále zpracovávat pouze tehdy, pokud prokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami subjektu údajů, nebo pro určení, výkon či obhajobu právních nároků školy.

O šetření o námitce se zpracovává protokol s využitím formuláře GDPR PSÚ Protokol o vypořádání námitky proti zpracování OsÚ.

Pokud subjekt údajů vznese námitku proti zpracování OsÚ pro účely přímého marketingu, nebudou již osobní údaje pro tyto účely zpracovávány. V tomto případě není potřeba vyplňovat protokol, informovat subjekt údajů a skutečnost se pouze zapíše do dokumentace DPO a učiní se příslušné smazání z marketingové databáze.

10.  Organizační opatření k ochraně osobních údajů na škole

  1. Třídní výkazy, katalogové listy a další materiály ze školní matriky jsou vedeny v elektronické podobě ve školském informačním systému. Přístupy jsou nastaveny informatikem dle pokynů vedení školy. Přístup do systému je chráněn heslem.
  2. Dokumentace k výuce obsahující osobní údaje je vedena třídními učiteli a je uchovávána v řádně uzamčených kabinetech. Za ochranu dat v těchto dokumentech nese odpovědnost třídní učitel.
  3. Osobní spisy zaměstnanců jsou uloženy v uzamykatelných skříních v kanceláři ředitele školy.
  4. Nejméně jednou ročně jsou zaměstnanci upozorněni na možnost seznámit se s obsahem svého osobního spisu. Na tuto možnost jsou zaměstnanci upozorněni na provozní poradě, prokazatelnost seznámení je doložena zápisem z porady.
  5. Nejméně jednou ročně je na pořad školních porad zařazena problematika ochrany osobních údajů, zejména z hlediska kompetencí pracovníků-které údaje o škole, žácích a zaměstnancích mohou získávat, zpracovávat a dále poskytovat.
  6. Zaměstnanci školy neposkytují osobní údaje subjektů údajů cizím osobám a institucím, ani telefonicky, ani při osobním jednání, pouze na pokyn nadřízeného pracovníka.
  7. Písemná hodnocení a posudky, která se odesílají mimo školu, např. pro potřeby soudního řízení, přijímacího řízení, zpracovávají pracovníci určení ředitelem školy (např. třídní učitelé, koordinátor volby povolání), nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat jménem školy.
  8. Každé hodnocení podepisuje statutární orgán školy. U hodnocení lze uvést, kdo je vypracoval. Pokud je však předpoklad, že s hodnocením může být hodnocený seznámen a může mít pro něj nepříznivý dopad, pak se z důvodu ochrany a osobního bezpečí pisatele neuvádí, kdo hodnocení zpracoval, podepisuje je pouze statutární zástupce školy.
  9. Hodnocení je zpracováváno tak, aby nemohlo být napadnutelné z hlediska věcné správnosti, neuvádí subjektivní pocity, ale jen skutečnosti, které lze doložit. Použité formulace jsou stručné, věcné, vyjadřují se pouze k tématům, které obsahuje žádost o poskytnutí informace.
  10. Seznamy dětí se nezveřejňují a neposkytují bez souhlasu subjektů údajů či jejich zákonných zástupců dětí fyzickým či právnickým osobám, které neplní funkci orgánu nadřízeného škole. Seznamy dětí potřebné na akce školy (zejména pro bezpečnost dětí a pro potřeby ubytování, dopravu) vyplývají z výkonu činností ve veřejném zájmu správce údajů a to na základě RVP PV.
  11. Psychologické, lékařské a jiné průzkumy a testování, jejichž součástí by bylo uvedení osobních údajů dítěte, lze provádět jen se souhlasem zákonných zástupců.
  12. Všichni zaměstnanci školy jsou povinni zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců a dětí.

11.  Bezpečnostní incidenty

Pokud dojde k porušení zabezpečení osobních údajů, musí škola toto porušení bez zbytného odkladu (maximálně do 72 hodin od okamžiku, kdy se o něm dozvěděla), ohlásit dozorovému úřadu kterým je Úřad pro ochranu osobních údajů. Toto ohlášení není potřeba činit v případě, že je nepravděpodobné, že by porušení mělo za následek riziko pro práva a svobody fyzických osob (například dojde ke ztrátě či smazání pseudonymizovaných dat).

Porušení zabezpečení je akt, který vede k náhodnému nebo protiprávnímu:

  • zničení,
  • ztrátě,
  • změně,
  • neoprávněnému poskytnutí,
  • zpřístupnění,

přenášených, uložených nebo jinak zpracovávaných osobních údajů.

Bezpečnostní incidenty řeší ředitel školy a pověřenec pro ochranu osobních údajů.

V ohlášení bezpečnostního incidentu škola popíše povahu porušení zabezpečení, přijatá opatření a pravděpodobné důsledky pro subjekt údajů i správce. Součástí ohlášení jsou vždy kontaktní údaje na pověřence pro ochranu osobních údajů.

V případě, že porušení zabezpečení představuje vysoké riziko pro práva a svobody subjektu údajů, škola musí zpravit o této události i subjekt údajů. Toto neplatí v případě, že data jsou šifrovaná či pseudonymizovaná nebo byla realizována následná opatření, která zajistí, že vysoké riziko se již pravděpodobně neprojeví.

O nutnosti informovat subjekt údajů rozhoduje ředitel školy po konzultaci s pověřencem pro ochranu osobních údajů. Ředitel rovněž rozhodne, jakou formou bude subjekt údajů informován (osobně nebo formou veřejného oznámení).

12.  Povinnosti zaměstnanců školy

Každý zaměstnanec školy je povinen zachovávat mlčenlivost o skutečnostech, o kterých se v rámci výkonu své profese dozvěděl, a to i po skončení zaměstnání nebo příslušných prací.

Zaměstnanci musí plně respektovat ochranu osobních dat dětí, zákonných zástupců a dalších fyzických osob vystupujících v rámci výchovně vzdělávacího procesu či jiných činností školy.

Zaměstnanci jsou důkladně seznámeni s touto směrnicí, jakožto i s ostatními právními předpisy upravujícími ochranu osobních údajů.

V případě nejasnosti ohledně zpracování osobních dat se zaměstnanci mohou obrátit na Pověřence pro ochranu osobních údajů nebo na ředitele školy.

Zaměstnanci jsou povinni hlásit vedení školy všechny případy skutečného či domnělého porušení zabezpečení osobních údajů.

13.  Likvidace údajů po ukončení doby jejich zpracování

Škola při likvidaci OsÚ postupuje dle zákona č. 499/2004 Sb., o archivnictví a spisové službě a dle ustanovení § 28 zákona č. 561/2004 a vyhlášky 364/2005. Doba uložení personální a mzdové dokumentace se dále řídí speciálními předpisy v oblasti daní a zaměstnanosti. Lhůty pro archivaci a skartaci jsou uvedeny ve směrnici Spisový a skartační řád, respektive jeho příloze Skartační plán.

14.  Závěrečné ustanovení

Kontrolou provádění ustanovení této směrnice je statutárním orgánem školy pověřen Pověřenec pro ochranu osobních údajů.

Tato směrnice nabývá účinnosti dnem 25.5.2018.

V  Plzni dne 2.5.2018

                                                                                    ………………………………………………………..

                                                                                                      Ředitelka školy

Přílohy:

Vzory žádostí a formulářů k naplnění práv subjektů

GDPR PSÚ Žádost o přístup.doc

Žádost o přístup k osobním údajům

GDPR PSÚ Informace o přístupu k OsÚ.doc

Informace o přístupu k osobním údajům

GDPR PSÚ Evidence žádostí o přístup k OsÚ.doc

Evidence žádostí o přístup k osobním údajům

GDPR PSÚ Žádost o opravu OsÚ.doc

Žádost o opravu

GDPR PSÚ Žádost o výmaz.doc

Žádost o výmaz

GDPR PSÚ Protokol o výmazu OsÚ.doc

Protokol o vymazání osobních údajů

GDPR PSÚ Žádost o omezení zpracování.doc

Žádost o omezení zpracování

GDPR PSÚ Námitka proti zpracování OsÚ.doc

Námitka proti zpracování

GDPR PSÚ Protokol o vypořádání námitky.doc

Protokol o vypořádání námitky proti zpracování

Vzory souhlasů s poskytnutím OsÚ

 

GDPR SOU Zák. zástupce.doc

Souhlas se zpracováním osobních údajů – zákonný zástupce

GDPR SOU Zaměstnanec.doc

Souhlas se zpracováním osobních údajů – zaměstnanec

GDPR SOU Uchazeč o zam.doc

Souhlas se zpracováním osobních údajů – uchazeč o zaměstnání

GDPR SOU ZZ ŠVP

Souhlas se zpracováním osobních údajů – zákonný zástupce – škola v přírodě

GDPR SOU ZZ - plnění pojištění

Souhlas se zpracováním osobních údajů – zákonný zástupce – plnění pojištění odpovědnosti

Prohlášení o ochraně OsÚ

Srozumění poskytovatele služby

 

 
2024 © 60. mateřská škola Plzeň
Prohlášení o přístupnosti
SITMP