Vojnův Městec
česky english deutsche
Úvodní stránka » Úřad městysu » GDPR » Směrnice č. 1/2018 Směrnice o ochraně osobních údajů

Směrnice č. 1/2018 Směrnice o ochraně osobních údajů

25.5.2018, Hana Marková

Směrnice č. 1/2018
Směrnice o ochraně osobních úda

Organizace:

 

Městys Vojnův Městec 
Adresa: Vojnův Městec 27, 591 01 Žďár nad Sázavou
IČ: 00295761

 

 

 

Směrnici zpracoval(a):               Hana Marková
Směrnici schválil(a):                   Karel Malivánek
Směrnice nabývá platnosti:      dnem podpisu

 

 

ÚČEL SMĚRNICE

 

Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů v organizaci.
Tato směrnice je jedním z organizačních opatření ochrany osobních údajů ve smyslu článku 32 GDPR.
Tato směrnice dále upravuje procesy realizace práva subjektu údajů na přístup k osobním údajům ve smyslu článku 15 GDPR a ohlašování případů porušení zabezpečení osobních údajů ve smyslu článku 33 a 34 GDPR.
Účelem této Směrnice je zároveň stanovit základní pravidla zpracování osobních údajů k ochraně osobních údajů a jejich zabezpečení a řešení porušení zabezpečení.

 

 

 

Článek 1

Úvodní ustanovení

 

Tato organizační směrnice, v souladu s nařízením Evropského parlamentu a Rady 2016/679/EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), upravuje způsoby nakládání s osobními údaji při jejich zpracování a používání v případech, kdy správcem osobních údajů je městys Vojnův Městec.

 

 

Článek 2

Působnost směrnice

 

Tato směrnice je závazná pro všechny osoby v zaměstnaneckém či obdobném poměru k městysu Vojnův Městec a řeší nakládání s osobními údaji.

 

 

Článek 3

Vymezení základních pojmů

 
Osobní údaj - veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
 

Zvláštní kategorie osobních údajů - genetické údaje, což jsou osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.
 

Biometrické údaje, což jsou údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.

 

Údaje o zdravotním stavu, jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.

 

Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, o sexuálním životě nebo sexuální orientaci fyzické osoby.

 

Zpracování osobních údajů - zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů jako je shromáždění[1]), zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
 

Správce - správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
 

Zpracovatel, pověřená osoba – zpracovatelem, pověřenu osobou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
 

Souhlas - souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

 
 

Článek 4

Zpracování osobních údajů

 

Městys zpracovává osobní údaje subjektů údajů. Seznamy agend obsahující osobní údaje je zpracován v samostatné evidenci s názvem Záznam o činnostech zpracování, obsahující popis činností včetně odkazu na příslušný právní předpis, při nichž dochází ke zpracování osobních údajů.
 

Osobní údaje lze zpracovávat a uchovávat za předpokladu, že
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
subjekt údajů udělil souhlas se zpracováním.
 

Shromažďování osobních údajů může být vykonáváno pouze za účelem, pro který jsou zpracovávána.
Každý zaměstnanec, který pracuje s osobními údaji, je povinen zpracovávat pouze přesné osobní údaje, které získal v souladu s obecným nařízením o ochraně osobních údajů. Pokud zjistí, že zpracovávané osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaj opraví nebo doplní anebo zlikviduje v souladu se spisovým a skartačním řádem.
 

Při použití osobních údajů v rámci plnění pracovních úkolů jsou zaměstnanci povinni se chovat tak, aby nedošlo k porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů (způsob zabezpečení osobních údajů obsahuje Čl. 32 obecného nařízení o ochraně osobních údajů).
 

Za ochranu dat a osobních údajů odpovídá každý zaměstnanec, který data a osobní údaje zpracovává. Za jejich ochranu odpovídá též přímý nadřízený těchto zaměstnanců. Ten je povinen provádět kontrolní činnost a při ní ověřovat, zda s osobními údaji je nakládáno podle obecného nařízení o ochraně osobních údajů a této směrnice.
 

 

Článek 5

Doba zpracování osobních údajů

 

Zpracování osobních údajů může být vykonáváno jen po nezbytně nutnou dobu. Pomine-li účel, pro který byly osobní údaje zpracovávány, zpracování musí být ukončeno. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely archivace, vědeckého či historického výzkumu a statistické.

 

 

Článek 6

Získávání osobních údajů, informování a práva subjektu údajů

 

Nestanoví-li Obecné nařízení o ochraně osobních údajů nebo zvláštní zákon jinak, mohou být osobní údaje zpracovávány pouze s výslovným souhlasem subjektu údajů. V tomto případě musí být subjekt údajů srozuměn s tím, jaké osobní údaje, za jakým účelem a na jak dlouhou dobu jsou poskytovány. Souhlas subjektu údajů musí být správce schopen prokázat po celou dobu zpracování.
 

Subjekt údajů musí být seznámen s tím, že má právo na:
přístup k osobním údajům
výmaz
opravu, resp. doplnění
právo na omezení zpracování
právo na přenositelnost údajů
právo vznést námitku
právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky tj. právo nebýt předmětem rozhodnutí s uvedenými účinky bez účasti lidského faktoru, které zahrnuje i profilování
 

Pokud jsou osobní údaje získávány prostřednictvím formulářů, musí každý formulář obsahovat doložku. V textu doložky musí být informace o účelu, za jakým jsou osobní údaje získávány, jakým způsobem budou využívány a prohlášení o tom, že získané osobní údaje nebudou využívány k jiným účelům. Další součástí doložky bude souhlas se zpracováním osobních údajů a seznámení s právy subjektu údajů. Souhlas musí být podepsán subjektem údajů.
 

Článek 7

Zpracování pomocí zpracovatele

 

Pokud není možné, aby zpracování osobních údajů bylo prováděno přímo městysem Vojnův Městec, může být prováděno prostřednictvím zpracovatele (například příspěvkovou organizací, organizací s majetkovou účastí apod.) V takovém případě městys Vojnův Městec uzavře se zpracovatelem písemnou smlouvu o zpracování osobních údajů obsahující ustanovení, za jakým účelem a na jakou dobu je uzavírána, popis technického a organizačního zabezpečení ochrany osobních údajů vč. dodržení povinností dle Čl. 32 obecného nařízení o ochraně osobních údajů.

 
Smlouvu po schválení podepisuje starosta městyse.
 

 

Článek 8

Přístup subjektu údajů k informacím

 

Městys Vojnův Městec vydává na žádost subjektu údajů informace, zda osobní údaje, které se ho týkají, jsou nebo nejsou zpracovávány. Pokud zpracovávány jsou, má subjekt údajů přístup k následujícím informacím:
účely zpracování
kategorie dotčených osobních údajů
příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích
plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby.
 

Lhůta k vyřízení žádosti subjektu údajů je jeden měsíc od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
 

Informace se subjektům údajů poskytují písemně a bezplatně.
 

Právo na výmaz, opravu a doplnění evidovaných osobních údajů
Pověřené osoby jsou povinny dbát na správnost zpracovávaných osobních údajů.
Subjekt údajů má právo žádat výmaz, opravu a doplnění osobních údajů, které se ho týkají. Případy, kdy je požadavek na výmaz oprávněný, stanoví čl. 17 odst. 1 a 3 Obecného nařízení. Žádost vyřídí odpovědný zaměstnanec po ověření totožnosti a po prověření oprávněnosti požadavku ihned, jakmile je to možné, nejdéle do 30 dnů. Směrnice se použije obdobně. Pokud má ověření oprávněnosti požadavku trvat delší dobu, zejména by se osobní údaje dotčené žádostí měly zpracovávat ke stanovenému účelu zpracování (např. zaslat pravidelné vyúčtování s chybným údajem), zajistí jejich vyřazení ze zpracování  a informuje o tom žadatele. Ve složitých případech si vyžádá posouzení pověřencem.
Oznámí-li subjekt údajů (např. telefonicky nebo emailem), že osobní údaje, které se ho týkají, se změnily, a nelze dostatečně ověřit jeho totožnost s ohledem na závažnost požadované změny (např. na základě osobní znalosti hlasu, znalosti e-mailové adresy), vyzve ho odpovědný zaměstnanec k postupu, umožňujícímu totožnost ověřit.
Zjistí-li pověřená osoba při své činnosti, že při zpracování osobních údajů došlo ke zjevné chybě v psaní (např. překlepu), informuje odpovědného zaměstnance a údaj opraví.
Článek 9
Doklady o souladu s Obecným nařízením

 

Každá pověřená osoba, pokud to plyne z náplně její práce, dbá na uchování dokladů,

 opravňujících určité zpracování osobních údajů, jako jsou
smlouvy, pro jejichž plnění se zpracovávají osobní údaje,
doklady o informování subjektů údajů v případech, kdy nepostačuje zveřejnění na webu,
doklady o vyřízení žádostí subjektů údajů,
souhlasy se zpracováním osobních údajů,
balanční testy v případě zpracování na základě právního titulu oprávněného zájmu správce nebo třetí osoby,
evidence klíčů, je-li potřebná
evidence přístupů do počítačů a přístupových práv v informačním systému, je-li potřebná
údaje o zpřístupnění záznamu kamerového systému či dalších specifických záznamů osobních údajů,
další obdobné doklady.
 

Tyto doklady vede odpovědný zaměstnanec v kontrolním seznamu, pokud to jejich povaha umožňuje, jinak se v kontrolním seznamu pouze uvede, kde jsou uloženy.
 

Článek 10

Osobní údaje v listinné podobě

 

Dokumenty s osobními údaji v listinné podobě podléhají režimu spisového a skartačního řádu. Při práci s nimi musí zaměstnanci městyse dbát zvýšené opatrnosti. K dokumentům mají přístup jen ti zaměstnanci, kteří přístup k těmto dokumentům nezbytně potřebují k výkonu svých pracovních činností. Dokumenty musí být zabezpečeny proti odcizení a prohlížení nepovolanými osobami.

 

 

Článek 11

Zabezpečení informačního systému

 

Problematiku zabezpečení informačního systému řeší podrobně Směrnice č. 4/2018 Provozní řád výpočetní techniky
Základním předpokladem ochrany osobních údajů je zásada, že k osobním údajům mají přístup jen zaměstnanci disponující příslušným oprávněním.
Nastavení přístupových práv včetně jejich úrovně provádí servisní pracovník společnosti TRIADA.
Stolní počítače i notebooky jsou zabezpečeny kvalitními hesly. Za bezpečnost při práci a používání notebooku mimo úřad městyse zodpovídá příslušný pracovník – starosta, účetní.
Pokud aplikace umožňuje pořizování elektronických záznamů o přístupech k osobním
údajům (kdo, kdy, za jakým účelem), musí být taková funkce v běžném provozu aktivní.

Bude-li plánovat městys Vojnův Městec pořízení software, který bude zpracovávat osobní údaje, musí být v akvizičních podmínkách požadavek na funkci umožňující pořizování elektronických záznamů o přístupech k osobním údajům – auditní záznam. Auditní záznam obsahuje informaci o uskutečněném vyhledání informací obsahující osobní údaje a identifikaci uživatele.
Uchovávání datových nosičů obsahujících osobní údaje definuje Provozní řád výpočetní techniky. Výjimkou jsou datové nosiče, které jsou součástí spisového archivu. Tyto pak podléhají režimu spisového a skartačního řádu.

Uchovávání datových nosičů obsahujících osobní údaje, které již nebudou využívány, není dovoleno. Takové nosiče budou předávány starostovi, který zajistí jejich likvidaci. Vytvářet kopie datových nosičů s osobními údaji je oprávněn např. zpracovatel nebo fyzická osoba, která požaduje přenést osobní údaje k jinému subjektu.
Novému zaměstnanci je vytvořen přístup do IS na základě žádosti dle Provozního řádu výpočetní techniky. Poté společnost TRIADA provede nastavení přístupových práv k aplikacím obsahujícím osobní údaje.
Při ukončení pracovního poměru zaměstnance je pak na základě sdělení starosty, zrušen přístup uživatele k informačnímu systému a deaktivovány všechny jeho uživatelské účty (viz.  Provozní řád výpočetní techniky).
 

 

Článek 12

Přístup do Registru obyvatel

 

Zaměstnanci městyse, kteří disponují právem přístupu do Registru obyvatel, mohou do Registru obyvatel nahlížet jen v odůvodněných případech při plnění svých pracovních povinností např. zjištění adresy nebo ověření místa trvalého pobytu. Vkládání a opravy údajů v Registrech obyvatel mohou provádět pouze pověření pracovníci. Zaměstnanec v žádném případě nesmí pořizovat opisy osobních údajů ani vytvářet seznamy obyvatel, které by osobní údaje obsahovaly. Zaměstnanci jsou rovněž povinni zachovávat mlčenlivost o osobních údajích, k nimž mají tímto způsobem přístup.

 

Článek 13

Předávání osobních údajů

 

Předávání osobních údajů dalším stranám (mimo úřad) je možné jen tehdy, je-li umožněno účinným právním předpisem. Výjimku tvoří předání v rámci přenesené působnosti, kde je předání provedeno průvodním dopisem a doručenkou. V ostatních případech předání osobních údajů platí následující ustanovení.
O každém takovém předání musí být vyhotoven předávací protokol, který je podepsán osobou předávající, tak osobou přejímající. Obsahem protokolu jsou všechny důležité okolnosti předání – účel, právní titul, popis předávaných dat (rozsah, formát, nosič) a způsob předání. Vzor protokolu o předání osobních údajů je přílohou č. 2 této směrnice.
Za předávání osobních údajů je zodpovědný starosta. S předávacími protokoly je nakládáno dle spisového a skartačního řádu.
Předávání spisů s osobními údaji v případě déletrvající nepřítomnosti zaměstnance je v rámci běžného zastupování. Při předávání agendy je třeba brát na vědomí ustanovení článku 9 této směrnice.
 

 

Článek 14

Nahlížení a zveřejňování zápisů a usnesení z jednání zastupitelstva městyse a rady městyse

 

Nahlížení a pořizování výpisů ze zápisů ze zasedání zastupitelstva městyse a usnesení
zastupitelstva městyse probíhá tak, že nahlížet do plného textu a pořizovat si z něj výpisy mohou:

občané městyse od 18 let věku s trvalým pobytem na území městyse
vlastníci nemovitostí na území městyse
cizí státní příslušníci, kteří mají trvalý pobyt na území městyse.
Nahlížení a pořizování výpisů ze zápisů a usnesení ze zasedání rady městyse je umožněno pouze členům zastupitelstva městyse.
Ostatním fyzickým a právnickým osobám je umožněno získat informace na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Osobní údaje se při poskytnutí informace redukují nebo anonymizují.
Zveřejňování zápisů a usnesení ze zasedání zastupitelstva městyse a usnesení ze schůzí rady městyse na úřední desce a na webových stránkách podléhá ochraně osobních údajů, tzn. osobní údaje se minimalizují nebo anonymizují, avšak tak, aby konkrétní sdělení ještě plnilo svůj účel. Zveřejnění musí obsahovat informaci, že se jedná o upravenou verzi dokumentů z důvodu ochrany osobních údajů.
 

Článek 15
DPO – Pověřenec na ochranu osobních údajů

Organizace bude mít nepřetržitě jmenovaného DPO počínaje dnem 25.5.2018.

DPO je jmenován Organizací.
Starosta zajistí zveřejnění kontaktních údajů pověřence a Úřadu pro ochranu osobních údajů je sdělí včetně jeho identifikace.
V případě změny DPO pověří nový DPO vhodné pracovníky Organizace, aby dle požadavků GDPR informovali Subjekty údajů, jejichž Osobní údaje Organizace zpracovává, o nové osobě DPO a kontaktních údajích na sebe.
DPO vykonává alespoň tyto úkoly ve smyslu čl. 39 GDPR:
poskytování metodické pomoci, informací a poradenství pracovníkům Organizace, kteří provádějí zpracování osobních údajů, o jejich povinnostech podle GDPR a dalších předpisů Unie nebo členských států v oblasti ochrany osobních údajů; monitorování souladu Organizace prováděného zpracování s GDPR, dalšími předpisy Unie nebo členských států v oblasti ochrany osobních údajů a s koncepcemi Organizace v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35 GDPR;

spolupráce s dozorovým úřadem a působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů, včetně předchozí konzultace podle čl. 36 GDPR, a případně vedení konzultací v jakékoli jiné věci.

 

Článek 16

Kontrolní činnost

 
Správce i pověřenec pro ochranu osobních údajů provádí namátkovou kontrolu, zda zaměstnanci městyse mají v rámci IS přístup jen k takovým agendám s osobními údaji, ke kterým mají oprávnění. Pověřenec pro ochranu osobních údajů dále monitoruje soulad s obecným nařízením o ochraně osobních údajů, za tímto účelem sbírá informace o zpracování a identifikuje procesy zpracování, analyzuje je a ověřuje jejich soulad. Pověřenec pro ochranu osobních údajů je kontaktním místem pro styk s dozorovým úřadem.
O průběhu a výsledku kontroly je proveden zápis. Za odstranění zjištěných nedostatků zodpovídá správce. 
 

Článek 17

Mlčenlivost

 

Zaměstnanci, kteří zpracovávají osobní údaje nebo k nim mají přístup, jsou povinni zachovávat mlčenlivost jak o těchto osobních údajích, tak o všech technickoorganizačních opatřeních na jejich ochranu. Tato povinnost trvá i po skončení pracovního poměru zaměstnance.

 

 

 

 

 

 

Článek 18

Likvidace osobních údajů

 
Pomine-li účel, pro který byly osobní údaje zpracovávány, je nutné provést jejich likvidaci. Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském řízení soudním, trestním řízení a správním řízení.
 

Data uchovávaná na datových nosičích jsou po uplynutí archivační doby likvidována.
Data z přepisovatelných datových nosičů jsou vymazána, nosiče, u kterých tuto operaci nelze provést jsou zlikvidovány fyzicky tak, aby nebyla možná jejich rekonstrukce.
Likvidaci provádí starosta O každé likvidaci osobních údajů je proveden zápis, který je podepsán starostou nebo místostarostou.  Zápisy o provedené likvidaci jsou ukládány.

 
 

Článek 19

Závěrečné ustanovení

 

 

Tato směrnice je nedílnou součástí komplexní soustavy vnitřních předpisů městyse.
 

Tato směrnice byla schválena radou městyse dne 23. 5. 2018
 

 

 

 

 

 

 

                                                              Karel Malivánek

                                                 starosta městyse Vojnův Městec
 
 
 
 

 

 

 



[1]) Shromáždění osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování

 

 

Směrnice č. 1/2018
Směrnice o ochraně osobních údajů

 

 

 

Organizace:

 

Městys Vojnův Městec 
Adresa: Vojnův Městec 27, 591 01 Žďár nad Sázavou
IČ: 00295761

 

 

 

Směrnici zpracoval(a):               Hana Marková
Směrnici schválil(a):                   Karel Malivánek
Směrnice nabývá platnosti:      dnem podpisu

 

 

ÚČEL SMĚRNICE

 

Účelem této směrnice je stanovit základní pravidla zpracování osobních údajů v organizaci.
Tato směrnice je jedním z organizačních opatření ochrany osobních údajů ve smyslu článku 32 GDPR.
Tato směrnice dále upravuje procesy realizace práva subjektu údajů na přístup k osobním údajům ve smyslu článku 15 GDPR a ohlašování případů porušení zabezpečení osobních údajů ve smyslu článku 33 a 34 GDPR.
Účelem této Směrnice je zároveň stanovit základní pravidla zpracování osobních údajů k ochraně osobních údajů a jejich zabezpečení a řešení porušení zabezpečení.

 

 

 

Článek 1

Úvodní ustanovení

 

Tato organizační směrnice, v souladu s nařízením Evropského parlamentu a Rady 2016/679/EU o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů (obecné nařízení o ochraně osobních údajů), upravuje způsoby nakládání s osobními údaji při jejich zpracování a používání v případech, kdy správcem osobních údajů je městys Vojnův Městec.

 

 

Článek 2

Působnost směrnice

 

Tato směrnice je závazná pro všechny osoby v zaměstnaneckém či obdobném poměru k městysu Vojnův Městec a řeší nakládání s osobními údaji.

 

 

Článek 3

Vymezení základních pojmů

 
Osobní údaj - veškeré informace o identifikované nebo identifikovatelné fyzické osobě (dále jen „subjekt údajů“); identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
 

Zvláštní kategorie osobních údajů - genetické údaje, což jsou osobní údaje týkající se zděděných nebo získaných genetických znaků fyzické osoby, které poskytují jedinečné informace o její fyziologii či zdraví a které vyplývají zejména z analýzy biologického vzorku dotčené fyzické osoby.
 

Biometrické údaje, což jsou údaje vyplývající z konkrétního technického zpracování týkající se fyzických či fyziologických znaků nebo znaků chování fyzické osoby, které umožňuje nebo potvrzuje jedinečnou identifikaci, například zobrazení obličeje nebo daktyloskopické údaje.

 

Údaje o zdravotním stavu, jsou osobní údaje týkající se tělesného nebo duševního zdraví fyzické osoby, včetně údajů o poskytnutí zdravotních služeb, které vypovídají o jejím zdravotním stavu.

 

Osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení, členství v odborech, o sexuálním životě nebo sexuální orientaci fyzické osoby.

 

Zpracování osobních údajů - zpracováním osobních údajů je jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů jako je shromáždění[1]), zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
 

Správce - správcem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování právem Unie či členského státu, může toto právo určit dotčeného správce nebo zvláštní kritéria pro jeho určení.
 

Zpracovatel, pověřená osoba – zpracovatelem, pověřenu osobou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
 

Souhlas - souhlasem subjektu údajů je jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.

 
 

Článek 4

Zpracování osobních údajů

 

Městys zpracovává osobní údaje subjektů údajů. Seznamy agend obsahující osobní údaje je zpracován v samostatné evidenci s názvem Záznam o činnostech zpracování, obsahující popis činností včetně odkazu na příslušný právní předpis, při nichž dochází ke zpracování osobních údajů.
 

Osobní údaje lze zpracovávat a uchovávat za předpokladu, že
zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje
zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost tohoto subjektu údajů
zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby
zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce
subjekt údajů udělil souhlas se zpracováním.
 

Shromažďování osobních údajů může být vykonáváno pouze za účelem, pro který jsou zpracovávána.
Každý zaměstnanec, který pracuje s osobními údaji, je povinen zpracovávat pouze přesné osobní údaje, které získal v souladu s obecným nařízením o ochraně osobních údajů. Pokud zjistí, že zpracovávané osobní údaje nejsou s ohledem na stanovený účel přesné, provede bez zbytečného odkladu přiměřená opatření, zejména zpracování blokuje a osobní údaj opraví nebo doplní anebo zlikviduje v souladu se spisovým a skartačním řádem.
 

Při použití osobních údajů v rámci plnění pracovních úkolů jsou zaměstnanci povinni se chovat tak, aby nedošlo k porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů (způsob zabezpečení osobních údajů obsahuje Čl. 32 obecného nařízení o ochraně osobních údajů).
 

Za ochranu dat a osobních údajů odpovídá každý zaměstnanec, který data a osobní údaje zpracovává. Za jejich ochranu odpovídá též přímý nadřízený těchto zaměstnanců. Ten je povinen provádět kontrolní činnost a při ní ověřovat, zda s osobními údaji je nakládáno podle obecného nařízení o ochraně osobních údajů a této směrnice.
 

 

Článek 5

Doba zpracování osobních údajů

 

Zpracování osobních údajů může být vykonáváno jen po nezbytně nutnou dobu. Pomine-li účel, pro který byly osobní údaje zpracovávány, zpracování musí být ukončeno. Po uplynutí této doby mohou být osobní údaje uchovávány pouze pro účely archivace, vědeckého či historického výzkumu a statistické.

 

 

Článek 6

Získávání osobních údajů, informování a práva subjektu údajů

 

Nestanoví-li Obecné nařízení o ochraně osobních údajů nebo zvláštní zákon jinak, mohou být osobní údaje zpracovávány pouze s výslovným souhlasem subjektu údajů. V tomto případě musí být subjekt údajů srozuměn s tím, jaké osobní údaje, za jakým účelem a na jak dlouhou dobu jsou poskytovány. Souhlas subjektu údajů musí být správce schopen prokázat po celou dobu zpracování.
 

Subjekt údajů musí být seznámen s tím, že má právo na:
přístup k osobním údajům
výmaz
opravu, resp. doplnění
právo na omezení zpracování
právo na přenositelnost údajů
právo vznést námitku
právo nebýt předmětem automatizovaného individuálního rozhodování s právními či obdobnými účinky tj. právo nebýt předmětem rozhodnutí s uvedenými účinky bez účasti lidského faktoru, které zahrnuje i profilování
 

Pokud jsou osobní údaje získávány prostřednictvím formulářů, musí každý formulář obsahovat doložku. V textu doložky musí být informace o účelu, za jakým jsou osobní údaje získávány, jakým způsobem budou využívány a prohlášení o tom, že získané osobní údaje nebudou využívány k jiným účelům. Další součástí doložky bude souhlas se zpracováním osobních údajů a seznámení s právy subjektu údajů. Souhlas musí být podepsán subjektem údajů.
 

Článek 7

Zpracování pomocí zpracovatele

 

Pokud není možné, aby zpracování osobních údajů bylo prováděno přímo městysem Vojnův Městec, může být prováděno prostřednictvím zpracovatele (například příspěvkovou organizací, organizací s majetkovou účastí apod.) V takovém případě městys Vojnův Městec uzavře se zpracovatelem písemnou smlouvu o zpracování osobních údajů obsahující ustanovení, za jakým účelem a na jakou dobu je uzavírána, popis technického a organizačního zabezpečení ochrany osobních údajů vč. dodržení povinností dle Čl. 32 obecného nařízení o ochraně osobních údajů.

 
Smlouvu po schválení podepisuje starosta městyse.
 

 

Článek 8

Přístup subjektu údajů k informacím

 

Městys Vojnův Městec vydává na žádost subjektu údajů informace, zda osobní údaje, které se ho týkají, jsou nebo nejsou zpracovávány. Pokud zpracovávány jsou, má subjekt údajů přístup k následujícím informacím:
účely zpracování
kategorie dotčených osobních údajů
příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích
plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby.
 

Lhůta k vyřízení žádosti subjektu údajů je jeden měsíc od obdržení žádosti. Lhůtu lze ve výjimečných případech prodloužit o dva měsíce, o čemž musí být subjekt údajů ze strany správce informován, včetně důvodů prodloužení.
 

Informace se subjektům údajů poskytují písemně a bezplatně.
 

Právo na výmaz, opravu a doplnění evidovaných osobních údajů
Pověřené osoby jsou povinny dbát na správnost zpracovávaných osobních údajů.
Subjekt údajů má právo žádat výmaz, opravu a doplnění osobních údajů, které se ho týkají. Případy, kdy je požadavek na výmaz oprávněný, stanoví čl. 17 odst. 1 a 3 Obecného nařízení. Žádost vyřídí odpovědný zaměstnanec po ověření totožnosti a po prověření oprávněnosti požadavku ihned, jakmile je to možné, nejdéle do 30 dnů. Směrnice se použije obdobně. Pokud má ověření oprávněnosti požadavku trvat delší dobu, zejména by se osobní údaje dotčené žádostí měly zpracovávat ke stanovenému účelu zpracování (např. zaslat pravidelné vyúčtování s chybným údajem), zajistí jejich vyřazení ze zpracování  a informuje o tom žadatele. Ve složitých případech si vyžádá posouzení pověřencem.
Oznámí-li subjekt údajů (např. telefonicky nebo emailem), že osobní údaje, které se ho týkají, se změnily, a nelze dostatečně ověřit jeho totožnost s ohledem na závažnost požadované změny (např. na základě osobní znalosti hlasu, znalosti e-mailové adresy), vyzve ho odpovědný zaměstnanec k postupu, umožňujícímu totožnost ověřit.
Zjistí-li pověřená osoba při své činnosti, že při zpracování osobních údajů došlo ke zjevné chybě v psaní (např. překlepu), informuje odpovědného zaměstnance a údaj opraví.
Článek 9
Doklady o souladu s Obecným nařízením

 

Každá pověřená osoba, pokud to plyne z náplně její práce, dbá na uchování dokladů,

 opravňujících určité zpracování osobních údajů, jako jsou
smlouvy, pro jejichž plnění se zpracovávají osobní údaje,
doklady o informování subjektů údajů v případech, kdy nepostačuje zveřejnění na webu,
doklady o vyřízení žádostí subjektů údajů,
souhlasy se zpracováním osobních údajů,
balanční testy v případě zpracování na základě právního titulu oprávněného zájmu správce nebo třetí osoby,
evidence klíčů, je-li potřebná
evidence přístupů do počítačů a přístupových práv v informačním systému, je-li potřebná
údaje o zpřístupnění záznamu kamerového systému či dalších specifických záznamů osobních údajů,
další obdobné doklady.
 

Tyto doklady vede odpovědný zaměstnanec v kontrolním seznamu, pokud to jejich povaha umožňuje, jinak se v kontrolním seznamu pouze uvede, kde jsou uloženy.
 

Článek 10

Osobní údaje v listinné podobě

 

Dokumenty s osobními údaji v listinné podobě podléhají režimu spisového a skartačního řádu. Při práci s nimi musí zaměstnanci městyse dbát zvýšené opatrnosti. K dokumentům mají přístup jen ti zaměstnanci, kteří přístup k těmto dokumentům nezbytně potřebují k výkonu svých pracovních činností. Dokumenty musí být zabezpečeny proti odcizení a prohlížení nepovolanými osobami.

 

 

Článek 11

Zabezpečení informačního systému

 

Problematiku zabezpečení informačního systému řeší podrobně Směrnice č. 4/2018 Provozní řád výpočetní techniky
Základním předpokladem ochrany osobních údajů je zásada, že k osobním údajům mají přístup jen zaměstnanci disponující příslušným oprávněním.
Nastavení přístupových práv včetně jejich úrovně provádí servisní pracovník společnosti TRIADA.
Stolní počítače i notebooky jsou zabezpečeny kvalitními hesly. Za bezpečnost při práci a používání notebooku mimo úřad městyse zodpovídá příslušný pracovník – starosta, účetní.
Pokud aplikace umožňuje pořizování elektronických záznamů o přístupech k osobním
údajům (kdo, kdy, za jakým účelem), musí být taková funkce v běžném provozu aktivní.

Bude-li plánovat městys Vojnův Městec pořízení software, který bude zpracovávat osobní údaje, musí být v akvizičních podmínkách požadavek na funkci umožňující pořizování elektronických záznamů o přístupech k osobním údajům – auditní záznam. Auditní záznam obsahuje informaci o uskutečněném vyhledání informací obsahující osobní údaje a identifikaci uživatele.
Uchovávání datových nosičů obsahujících osobní údaje definuje Provozní řád výpočetní techniky. Výjimkou jsou datové nosiče, které jsou součástí spisového archivu. Tyto pak podléhají režimu spisového a skartačního řádu.

Uchovávání datových nosičů obsahujících osobní údaje, které již nebudou využívány, není dovoleno. Takové nosiče budou předávány starostovi, který zajistí jejich likvidaci. Vytvářet kopie datových nosičů s osobními údaji je oprávněn např. zpracovatel nebo fyzická osoba, která požaduje přenést osobní údaje k jinému subjektu.
Novému zaměstnanci je vytvořen přístup do IS na základě žádosti dle Provozního řádu výpočetní techniky. Poté společnost TRIADA provede nastavení přístupových práv k aplikacím obsahujícím osobní údaje.
Při ukončení pracovního poměru zaměstnance je pak na základě sdělení starosty, zrušen přístup uživatele k informačnímu systému a deaktivovány všechny jeho uživatelské účty (viz.  Provozní řád výpočetní techniky).
 

 

Článek 12

Přístup do Registru obyvatel

 

Zaměstnanci městyse, kteří disponují právem přístupu do Registru obyvatel, mohou do Registru obyvatel nahlížet jen v odůvodněných případech při plnění svých pracovních povinností např. zjištění adresy nebo ověření místa trvalého pobytu. Vkládání a opravy údajů v Registrech obyvatel mohou provádět pouze pověření pracovníci. Zaměstnanec v žádném případě nesmí pořizovat opisy osobních údajů ani vytvářet seznamy obyvatel, které by osobní údaje obsahovaly. Zaměstnanci jsou rovněž povinni zachovávat mlčenlivost o osobních údajích, k nimž mají tímto způsobem přístup.

 

Článek 13

Předávání osobních údajů

 

Předávání osobních údajů dalším stranám (mimo úřad) je možné jen tehdy, je-li umožněno účinným právním předpisem. Výjimku tvoří předání v rámci přenesené působnosti, kde je předání provedeno průvodním dopisem a doručenkou. V ostatních případech předání osobních údajů platí následující ustanovení.
O každém takovém předání musí být vyhotoven předávací protokol, který je podepsán osobou předávající, tak osobou přejímající. Obsahem protokolu jsou všechny důležité okolnosti předání – účel, právní titul, popis předávaných dat (rozsah, formát, nosič) a způsob předání. Vzor protokolu o předání osobních údajů je přílohou č. 2 této směrnice.
Za předávání osobních údajů je zodpovědný starosta. S předávacími protokoly je nakládáno dle spisového a skartačního řádu.
Předávání spisů s osobními údaji v případě déletrvající nepřítomnosti zaměstnance je v rámci běžného zastupování. Při předávání agendy je třeba brát na vědomí ustanovení článku 9 této směrnice.
 

 

Článek 14

Nahlížení a zveřejňování zápisů a usnesení z jednání zastupitelstva městyse a rady městyse

 

Nahlížení a pořizování výpisů ze zápisů ze zasedání zastupitelstva městyse a usnesení
zastupitelstva městyse probíhá tak, že nahlížet do plného textu a pořizovat si z něj výpisy mohou:

občané městyse od 18 let věku s trvalým pobytem na území městyse
vlastníci nemovitostí na území městyse
cizí státní příslušníci, kteří mají trvalý pobyt na území městyse.
Nahlížení a pořizování výpisů ze zápisů a usnesení ze zasedání rady městyse je umožněno pouze členům zastupitelstva městyse.
Ostatním fyzickým a právnickým osobám je umožněno získat informace na základě zákona č. 106/1999 Sb., o svobodném přístupu k informacím. Osobní údaje se při poskytnutí informace redukují nebo anonymizují.
Zveřejňování zápisů a usnesení ze zasedání zastupitelstva městyse a usnesení ze schůzí rady městyse na úřední desce a na webových stránkách podléhá ochraně osobních údajů, tzn. osobní údaje se minimalizují nebo anonymizují, avšak tak, aby konkrétní sdělení ještě plnilo svůj účel. Zveřejnění musí obsahovat informaci, že se jedná o upravenou verzi dokumentů z důvodu ochrany osobních údajů.
 

Článek 15
DPO – Pověřenec na ochranu osobních údajů

Organizace bude mít nepřetržitě jmenovaného DPO počínaje dnem 25.5.2018.

DPO je jmenován Organizací.
Starosta zajistí zveřejnění kontaktních údajů pověřence a Úřadu pro ochranu osobních údajů je sdělí včetně jeho identifikace.
V případě změny DPO pověří nový DPO vhodné pracovníky Organizace, aby dle požadavků GDPR informovali Subjekty údajů, jejichž Osobní údaje Organizace zpracovává, o nové osobě DPO a kontaktních údajích na sebe.
DPO vykonává alespoň tyto úkoly ve smyslu čl. 39 GDPR:
poskytování metodické pomoci, informací a poradenství pracovníkům Organizace, kteří provádějí zpracování osobních údajů, o jejich povinnostech podle GDPR a dalších předpisů Unie nebo členských států v oblasti ochrany osobních údajů; monitorování souladu Organizace prováděného zpracování s GDPR, dalšími předpisy Unie nebo členských států v oblasti ochrany osobních údajů a s koncepcemi Organizace v oblasti ochrany osobních údajů, včetně rozdělení odpovědnosti, zvyšování povědomí a odborné přípravy pracovníků zapojených do operací zpracování a souvisejících auditů;

poskytování poradenství na požádání, pokud jde o posouzení vlivu na ochranu osobních údajů, a monitorování jeho uplatňování podle článku 35 GDPR;

spolupráce s dozorovým úřadem a působení jako kontaktní místo pro dozorový úřad v záležitostech týkajících se zpracování osobních údajů, včetně předchozí konzultace podle čl. 36 GDPR, a případně vedení konzultací v jakékoli jiné věci.

 

Článek 16

Kontrolní činnost

 
Správce i pověřenec pro ochranu osobních údajů provádí namátkovou kontrolu, zda zaměstnanci městyse mají v rámci IS přístup jen k takovým agendám s osobními údaji, ke kterým mají oprávnění. Pověřenec pro ochranu osobních údajů dále monitoruje soulad s obecným nařízením o ochraně osobních údajů, za tímto účelem sbírá informace o zpracování a identifikuje procesy zpracování, analyzuje je a ověřuje jejich soulad. Pověřenec pro ochranu osobních údajů je kontaktním místem pro styk s dozorovým úřadem.
O průběhu a výsledku kontroly je proveden zápis. Za odstranění zjištěných nedostatků zodpovídá správce. 
 

Článek 17

Mlčenlivost

 

Zaměstnanci, kteří zpracovávají osobní údaje nebo k nim mají přístup, jsou povinni zachovávat mlčenlivost jak o těchto osobních údajích, tak o všech technickoorganizačních opatřeních na jejich ochranu. Tato povinnost trvá i po skončení pracovního poměru zaměstnance.

 

 

 

 

 

 

Článek 18

Likvidace osobních údajů

 
Pomine-li účel, pro který byly osobní údaje zpracovávány, je nutné provést jejich likvidaci. Zvláštní zákon stanoví výjimky týkající se uchovávání osobních údajů pro účely archivnictví a uplatňování práv v občanském řízení soudním, trestním řízení a správním řízení.
 

Data uchovávaná na datových nosičích jsou po uplynutí archivační doby likvidována.
Data z přepisovatelných datových nosičů jsou vymazána, nosiče, u kterých tuto operaci nelze provést jsou zlikvidovány fyzicky tak, aby nebyla možná jejich rekonstrukce.
Likvidaci provádí starosta O každé likvidaci osobních údajů je proveden zápis, který je podepsán starostou nebo místostarostou.  Zápisy o provedené likvidaci jsou ukládány.

 
 

Článek 19

Závěrečné ustanovení

 

 

Tato směrnice je nedílnou součástí komplexní soustavy vnitřních předpisů městyse.
 

Tato směrnice byla schválena radou městyse dne 23. 5. 2018
 

 

 

 

 

 

 

                                                              Karel Malivánek

                                                 starosta městyse Vojnův Městec
 
 
 
 

 

 

 



[1]) Shromáždění osobních údajů je systematický postup nebo soubor postupů, jehož cílem je získání osobních údajů za účelem jejich dalšího uložení na nosič informací pro jejich okamžité nebo pozdější zpracování

 

 
 

Webkamera

webkamera Vojnův Městec

Počasí

aktuální teplota
8.0°C - 17:30:03 - 24.3.2019

Novinky e-mailem

Publicita

Elektronický digitální povodňový plán
podpořil Karaj Vysočina
Sdružení obcí Vysočiny