Dokumenty

 

Zápis do MŠ - Žádost ke stažení

Školní řád MŠ Valdice

______________________________________________________________________________________________________ 

GDPR

Mateřská škola, Valdice jako správce údajů oznamuje zákonným zástupcům,

 že osobou pověřenou ochranou osobních údajů je :

Mgr. Pavla Marková, MBA

e-mail: pmarkova@toppriority.cz

______________________________________________________________________________________________________

Mateřská škola, Valdice, Školní 144, 507 11  Valdice      č.j. MSVa 41  /2018

 

VNITŘNÍ PŘEDPIS

SMĚRNICE PRO OCHRANU OSOBNÍCH ÚDAJŮ

 

VYMEZENÍ POJMŮ

Správce: Mateřská škola, Valdice

Pověřenec: pověřenec pro ochranu osobních údajů, se kterým škola spolupracuje na základě nařízení GDPR.

Pojmy vztahující se k problematice osobních údajů jsou definovány identicky s nařízením GDPR.

 

  1. PŮSOBNOST

 

1.1          Tato směrnice upravuje postupy správce, jeho zaměstnanců, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice rovněž upravuje některé povinnosti správce, jeho zaměstnanců, případně dalších osob při nakládání s osobními údaji.

 

1.2          Tato směrnice je závazná pro všechny zaměstnance správce. Směrnice je závazná i pro další osoby, které mají se školou jiný právní vztah a které se zavázaly postupovat podle této směrnice.

 

 

  1. ZÁSADY NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI

 

Při nakládání s osobními údaji se správce, jeho zaměstnanci a další osoby řídí těmito zásadami:

 

  1. Postupovat při nakládání s osobními údaji v souladu s právními předpisy,
  2. s osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů nenadužívat,
  3. zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to, aby tyto byly pravdivé a přesné,
  4. zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních předpisů, při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby, při ochraně oprávněných zájmů správce, při ochraně veřejného zájmu, a zpracování osobních údajů na základě souhlasu,
  5. respektovat práva člověka, který je subjektem údajů, zejména práva udělit a odvolat souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.,
  6. poskytovat při zpracování osobních údajů zvláštní ochranu citlivým údajům,
  7. poskytovat informace o zpracování osobních údajů,
  8. při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit osobní údaje před zneužitím,
  9. spolupracovat s pověřencem pro ochranu osobních údajů.

 

 

  1. POSTUPY SPRÁVCE, JEHO ZAMĚSTNANCŮ, PŘÍPADNĚ DALŠÍCH OSOB PŘI NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI

 

3.1          Správce všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím. Přitom správce především uchovává osobní údaje v prostorách, na místech, v prostředí nebo v systému, do kterého má přístup omezený, předem stanovený a v každý okamžik alespoň statutárnímu zástupci správce známý okruh osob; jiné osoby mohou získat přístup k osobním údajům pouze se svolením statutárního zástupce správce.

3.2          Správce zavede taková opatření, aby o nakládání a zpracování osobních údajů měl přehled alespoň pověřenec správce nebo jím pověřená osoba. Mezi tato opatření patří např. ústní nebo písemná informace, písemná komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v dohodě o pracovní činnosti, ve smlouvě, kterou správce uzavírá se třetí osobou (nájemní smlouva, smlouva o dílo, smlouva o poskytování služeb).

 

3.3          Správce alespoň jednou za půl roku provede zhodnocení postupů při nakládání a zpracování osobních údajů, a to formou průběžného auditu. Zjistí-li se, že některé postupy správce jsou zastaralé, zbytečné nebo se neosvědčily, učiní správce bezodkladně nápravu.

 

3.4          Každý zaměstnanec správce při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje subjekt údajů o jeho právech na ochranu osobních údajů; případně odkáže na ředitele správce nebo na pověřence.

 

3.5          Správce při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem pro ochranu osobních údajů. Povinnosti pověřence vyplývají z nařízení GDPR a dále pak ze smlouvy uzavřené s pověřencem.

 

3.6          Správce ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to v součinnosti s pověřencem. V případě, že je pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody fyzických osob, správce tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O každém incidentu se sepíše záznam. Statutární zástupce správce a pověřenec posuzují závažnost bezpečnostního incidentu z pohledu jeho hlášení Úřadu pro ochranu osobních údajů. O každém závažném incidentu informuje správce prostřednictvím pověřence Úřad pro ochranu osobních údajů. 

 

 

  1. ORGANIZAČNÍ OPATŘENÍ K OCHRANĚ OSOBNÍCH ÚDAJŮ VE ŠKOLE

 

4.1          Veškeré listiny, které obsahují osobní údaje, jsou trvale uloženy v uzamykatelných skříních či prostorách v kanceláři oprávněných osob (specifikováno ve vstupní bezpečnostní analýze vyhotovené správcem). Ostatním zaměstnancům jsou zapůjčeny na nezbytně dlouhou dobu k provedení činností pro stanovený účel. Tyto listiny nelze vynášet z prostor správce, předávat cizím osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.

 

4.2          Veškeré elektronické dokumenty, které obsahují osobní údaje, jsou vedeny/uloženy vždy v zabezpečeném informačním systému (specifikováno ve vstupní bezpečnostní analýze vyhotovené správcem). Do všech informačních systémů mají přístup jednotliví zaměstnanci správce jen na základě jedinečného přihlašovacího jména a hesla a pouze v rámci oprávnění daného funkčním zařazením (dále jen „oprávněné osoby“). Při práci s informačním systémem nesmí oprávněné osoby opouštět počítač bez odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned (ve spolupráci se správcem sítě) změnit. Přístupy nastavuje pověřený zaměstnanec správce, který nastavuje potřebné zabezpečení dat a počítačové sítě (dle pokynů statutárního zástupce správce).

 

4.3          Elektronický přístup k osobním údajům se řídí aktuální verzí dokumentu “Doporučené standardy a úroveň zabezpečení v oblasti IT”, který vyhotovil pověřenec, a bude v pravidelných intervalech aktualizován.

 

4.4          Zaměstnanci správce neposkytují bez právního důvodu žádnou formou osobní údaje zaměstnanců správce a/nebo jiných osob cizím osobám a institucím, tedy ani telefonicky ani mailem ani při osobním jednání. O zpřístupnění osobních údajů třetím osobám a institucím na základě jejich písemné žádosti sepíší záznam o zpřístupnění osobních údajů (např. soud, exekutor, policie).

4.5          Listiny, které se odesílají mimo prostory správce, např. pro potřeby daňového řízení, soudního řízení, správního řízení, zpracovávají zaměstnanci určení statutárním zástupcem správce nebo v rámci svých pracovních povinností. Tyto listiny musí být vždy přepravovány obezřetně tak, aby se při jejich manipulaci předešlo neoprávněnému zpřístupnění osobních údajů (např. v případě jejich odesílání v rámci poštovní přepravy se odesílají v neprůhledných obalech a řádně uzavřené).

 

4.6          V propagačních materiálech správce, ve výroční zprávě, na webu či na jiných veřejně přístupných místech lze po dohodě s dotčenými osobami uveřejňovat jejich osobní údaje ve sjednaném rozsahu.

 

4.7          Uzavírá-li správce jakoukoli smlouvu, k jejímuž plnění je zapotřebí druhé smluvní straně poskytnout osobní údaje, které správce zpracovává, bude správce vždy a bezpodmínečně trvat na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:

 

  1. Přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů, opatření musí být na minimálně stejné či vyšší úrovni zabezpečení osobních údajů jako má nastaven primární správce údajů,
  2. nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu správce,
  3. zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité povinnosti uloženy přímo právním předpisem,
  4. zajistit, aby osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
  5. zajistit, že dodavatel bude správci bez zbytečného odkladu nápomocen při plnění povinností správce, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů, povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu, povinnosti oznamovat případy porušení zabezpečení osobních údajů subjektu údajů, povinnosti posoudit vliv na ochranu osobních údajů a povinnosti provádět předchozí konzultace, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační opatření, o kterých ihned informuje správce,
  6. po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že všechny osobní údaje vymaže, nebo je vrátí správci a vymaže existující kopie apod.,
  7. poskytnout správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené správci právními předpisy,
  8. umožnit kontrolu, audit či inspekci prováděné správcem nebo příslušným orgánem dle právních předpisů,
  9. poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví správce, součinnost potřebnou pro plnění zákonných povinností správce spojených s ochranou osobních údajů, jejich zpracováním,
  10. poskytnuté osobní údaje chránit v souladu s právními předpisy,
  11. přiměřeně postupovat podle této směrnice, která je přílohou smlouvy.

 

 

  1. 5. SOUHLAS SE ZPRACOVÁNÍM OSOBNÍCH ÚDAJŮ

 

5.1          Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (případně dalších důvodů stanovených legislativou) je nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro konkrétní údaje (určené např. druhově), na konkrétní dobu a pro konkrétní účel.

 

5.2          Souhlas se poskytuje vždy na předem definovanou dobu a účel. Udělený souhlas může být v souladu s právními předpisy odvolán.

 

 

  1. 6. NĚKTERÉ POVINNOSTI SPRÁVCE, JEHO ZAMĚSTNANCŮ, PŘÍPADNĚ DALŠÍCH OSOB PŘI NAKLÁDÁNÍ S OSOBNÍMI ÚDAJI

 

6.1          Každý zaměstnanec správce je povinen počínat si tak, aby neohrozil ochranu osobních údajů zpracovávaných správcem.

 

6.2          Dále je každý zaměstnanec správce povinen

 

  1. Zamezit nahodilému a neoprávněnému přístupu k osobním údajům, které správce zpracovává,
  2. pokud zjistí porušení ochrany osobních údajů, neoprávněné použití nebo zneužití osobních údajů nebo jiné neoprávněné jednání související s ochranou osobních údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit znepřístupnění a ohlásit tuto skutečnost statutárnímu zástupci správce a pověřenci.

 

6.3          Statutární zástupce správce je povinen

 

  1. Vyhotovit a pravidelně aktualizovat bezpečností analýzu zpracovaní osobních údajů u správce, zejména z pohledu shromažďovaných osobních údajů, oprávněných osob a zabezpečení osobních údajů,
  2. informovat zaměstnance o všech významných skutečnostech, postupech nebo událostech souvisejících s nakládáním s osobními údaji u správce, a to bez zbytečného odkladu,
  3. zajistit, aby zaměstnanci správce byli řádně poučeni o právech a povinnostech při ochraně osobních údajů,
  4. zajišťovat, aby zaměstnanci správce byli podle možností a potřeb správce vzděláváni nebo proškolováni o ochraně osobních údajů
  5. zajistit, aby správce byl schopen řádně doložit plnění povinností správce při ochraně osobních údajů, které vyplývají z právních předpisů.

 

KONTAKT na pověřence školy:

Mgr. Pavla Marková, MBA                                                                   Za Mateřskou školu. Valdice:

pmarkova@toppriority.cz                                                                      Věra Skrbková, ředitelka

 

Účinnost od 25. 5. 2018

______________________________________________________________________________________________________ 

Poučení o právech zákonných zástupců žáků školy při zpracování osobních údajů

 

Mateřská škola, Valdice (dále jen “správce”) zpracovává osobní údaje žáků a jejich zákonných zástupců (dále jen “subjekt údajů”), těmito osobními údaji jsou například jméno a příjmení, adresa trvalého bydliště, kontaktní údaje, údaje o prospěchu žáka a další. Tyto osobní údaje správce zpracovává na základě zákonných povinností, na základě oprávněného zájmu správce či jiné osoby a na základě souhlasu subjektu údajů. Podrobný výčet všech zpracovávaných osobních údajů je uveden v dokumentech “záznamy o zpracování osobních údajů”, který vypracoval správce v souladu s nařízením EU o ochraně osobních údajů.

 

V souladu s nařízením EU o ochraně osobních údajů má subjekt údajů tato práva

  • požadovat od Správce přístup ke svým osobním údajům,
  • požadovat opravu nebo výmaz svých osobních údajů, popřípadě omezení zpracování, a vznést námitku proti zpracování, jakož i právo na přenositelnost údajů,
  • podat stížnost u dozorového úřadu,
  • získat od Správce potvrzení, zda jeho osobní údaje jsou či nejsou zpracovávány,
  • znát následující informace: účely zpracování; kategorie dotčených osobních údajů; příjemci nebo kategorie příjemců, kterým jeho osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích; plánovaná doba, po kterou budou jeho osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
  • poskytnutí kopie jeho osobních údajů zpracovávaných Správcem (Správce může účtovat přiměřený poplatek na základě administrativních nákladů)
  • právo na to, aby Správce bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají;
  • s přihlédnutím k účelům zpracování má právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení;
  • právo na to, aby Správce bez zbytečného odkladu vymazal jeho osobní údaje, pokud je dán jeden z těchto důvodů: a) jeho osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány; b) odvolal/a souhlas se zpracováním jeho osobních údajů, a neexistuje žádný další právní důvod pro zpracování; c) vznesl/a námitky proti zpracování podle čl. 21 odst. 1 GDPR a neexistují žádné převažující oprávněné důvody pro zpracování nebo vznesl/a námitky proti zpracování podle čl. 21 odst. 2 GDPR; d) osobní údaje byly zpracovány protiprávně; e) osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Evropské unie nebo jejího členského státu, které se na Správce vztahuje.
  • právo na výmaz se neuplatní, pokud je zpracování jeho osobních údajů nezbytné: a) pro výkon práva na svobodu projevu a informace; b) pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Evropské unie nebo jejího členského státu, které se na Správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, pokud by jím byl Správce pověřen; c) z důvodů veřejného zájmu v oblasti veřejného zdraví; d) pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1 GDPR; e) pro určení, výkon nebo obhajobu právních nároků.

 

 

V případě jakýchkoliv dotazů má subjekt právo s obrátit na pověřence pro ochranu osobních údajů, který je jmenovaný správcem (kontaktní údaje jsou na webových stránkách správce).