VYSOKÁ ŠKOLA ZDRAVOTNICKÁ, o. p. s.
se sídlem v Praze 5, Duškova 7, PSČ: 150 00
S M Ě R N I C E č. 2/2018
Vysoké školy zdravotnické, o.p.s. pro ochranu osobních údajů
Vydáno dne: 21. 5. 2018
Účinnost dne: 21. 5. 2018
S M Ě R N I C E
Vysoké školy zdravotnické, o.p.s. pro ochranu osobních údajů
___________________________________________________________________________
Ředitel Vysoké školy zdravotnické, o.p.s. (dále jen „VŠZ“) vydává, v souladu s nařízením
Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických
osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení
směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen jako „GDPR“), tuto
Směrnici pro ochranu osobních údajů (dále jen „Směrnice“).
Čl. I.
Úvodní ustanovení
1. Tato Směrnice upravuje postupy VŠZ, jejich zaměstnanců, studentů a osob
spolupracujících s VŠZ při nakládání s osobními údaji, pravidla pro jejich získávání,
shromažďování, ukládání, použití, šíření a uchovávání. Směrnice rovněž upravuje
povinnosti VŠZ, jejich zaměstnanců a studentů, případně dalších osob při nakládání s
osobními údaji.
2. Tato směrnice je závazná pro všechny zaměstnance a studenty VŠZ. Směrnice je
závazná i pro další osoby, které mají s VŠZ jiný právní vztah, a které se zavázaly
postupovat podle této Směrnice.
Čl. II.
Zásady nakládání s osobními údaji
Při nakládání s osobními údaji se VŠZ, její zaměstnanci a další osoby řídí zejména těmito
zásadami:
o postupovat při nakládání s osobními údaji v souladu s právními předpisy,
o s osobními údaji nakládat uvážlivě, souhlas se zpracováním osobních údajů
nenadužívat,
o zpracovávat osobní údaje ke stanovenému účelu a ve stanoveném rozsahu a dbát na to,
aby tyto byly pravdivé a přesné,
o zpracovávat osobní údaje v souladu se zásadou zákonnosti – na základě právních
předpisů při plnění ze smlouvy, při plnění právní povinnosti správce, při ochraně
životně důležitých zájmů subjektu údajů nebo jiné fyzické soby, při ochraně
oprávněných zájmů VŠZ, při ochraně veřejného zájmu a zpracování osobních údajů na
základě souhlasu,
o respektovat práva člověka, který je subjektem údajů, zejména práva dát a odvolat
souhlas se zpracováním, práva na výmaz, namítat rozsah zpracování apod.,
o při uzavírání smluv a právním jednání postupovat se zřetelem na povinnost chránit
osobní údaje před zneužitím,
o spolupracovat s pověřencem pro ochranu osobních údajů.
Čl. III.
Povinnosti VŠZ
Postupy VŠZ, jejich zaměstnanců, případně dalších osob při nakládání s osobními údaji:
1. VŠZ všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a
dostupnými prostředky před zneužitím. Přitom VŠZ především uchovává osobní údaje
v prostorách na místech, v prostředí nebo v systému, do kterého má přístup omezený,
předem stanovený a v každý okamžik alespoň řediteli VŠZ známý okruh osob; jiné
osoby mohou získat přístup k osobním údajům pouze se svolením ředitele školy nebo
jím pověřené osoby.
2. VŠZ zavede taková opatření, aby o nakládání a zpracování osobních údajů měl
přehled alespoň ředitel školy nebo jím pověřená osoba a pověřenec pro ochranu
osobních údajů. Mezi tato opatření patří např. ústní nebo písemná informace, písemná
komunikace, stanovení povinností v pracovní smlouvě, v dohodě o provedení práce, v
dohodě o pracovní činnosti, ve smlouvě, kterou VŠZ uzavírá se třetí osobou (nájemní
smlouva, smlouva o dílo, smlouva o poskytování služeb).
3. VŠZ alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování
osobních údajů. Zhodnocení projedná ředitel VŠZ na poradě vedení a o projednání
pořídí zápis. Zjistí-li se, že některé postupy VŠZ jsou zastaralé, zbytečné nebo se
neosvědčily, učiní VŠZ bezodkladně nápravu.
4. Každý zaměstnanec VŠZ při nakládání s osobními údaji respektuje jejich povahu, tedy
že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím
spojené. Zaměstnanec zejména osobní údaje nezveřejňuje bez ověření, že takový
postup je možný, nezpřístupňuje osobní údaje osobám, které neprokáží právo s nimi
nakládat. Zaměstnanec, vyplývá-li taková povinnost z jiných dokumentů, informuje
subjekt údajů o jeho právech na ochranu osobních údajů; jinak odkáže na ředitele
školy nebo jím určenou osobu nebo na pověřence pro ochranu osobních údajů.
5. VŠZ při nakládání a zpracovávání osobních údajů aktivně spolupracuje s pověřencem
pro ochranu osobních údajů.
6. VŠZ ihned řeší každý bezpečnostní incident týkající se osobních údajů, a to v
součinnosti s pověřencem pro ochranu osobních údajů. V případě, že je
pravděpodobné, že incident bude mít za následek vysoké riziko pro práva a svobody
fyzických osob, především konkrétního studenta, zaměstnance, zákonného zástupce
atd., škola tuto osobu vždy informuje a sdělí, jaká opatření k nápravě přijala. O
každém incidentu se sepíše záznam. O každém závažném incidentu VŠZ informuje
Úřad pro ochranu osobních údajů.
Organizační opatření k ochraně osobních údajů ve VŠZ:
1. Materiály ze školní matriky, které obsahují osobní údaje studentů, jsou trvale uloženy
v uzamykatelných skříních v kanceláři školy, a to v kanceláři studijního oddělení.
Materiály ze školní matriky či jejich části nelze vynášet z VŠZ, předávat cizím
osobám nebo kopírovat a kopie poskytovat neoprávněným osobám.
2. Elektronická školní matrika je vedena v zabezpečeném informačním systému. Do
tohoto systému mají přístup jednotliví pedagogové VŠZ a další osoby výslovně a
písemně pověřené ředitelem VŠZ, a to jen na základě jedinečného přihlašovacího
jména a hesla a pouze v rámci oprávnění daného funkčním zařazením. Při práci s
elektronickou evidencí oprávnění nesmí oprávněné osoby opouštět počítač bez
odhlášení se, nemohou nechat nahlížet žádnou jinou osobu a musí chránit utajení
přihlašovacího hesla; a v případě nebezpečí jeho vyzrazení jej ihned (ve spolupráci se
správcem sítě) změnit. Přístupy nastavuje pověřený zaměstnanec školy – správce
počítačové sítě, který nastavuje potřebné zabezpečení dat a školní počítačové sítě (dle
pokynů ředitele).
3. Osobní spisy zaměstnanců jsou uloženy v uzamykatelných skříních v kanceláři
ekonomky VŠZ, přístup k nim má ředitel VŠZ a ekonomka VŠZ.
4. Zaměstnanci VŠZ mají právo seznámit se s obsahem svého osobního spisu. O tomto
právu jsou zaměstnanci poučeni, zpravidla na poradě ředitele VŠZ.
5. Zaměstnanci VŠZ neposkytují bez právního důvodu žádnou formou osobní údaje
zaměstnanců a studentů VŠZ cizím osobám a institucím, tedy ani telefonicky ani
mailem ani při osobním jednání.
6. Písemná hodnocení a posudky, která se odesílají mimo VŠZ, např. pro potřeby
soudního řízení, přijímacího řízení, zpracovávají zaměstnanci určení ředitelem školy.
Nejsou však oprávněni samostatně tato hodnocení podepisovat, poskytovat a odesílat
jménem VŠZ a mají povinnost zachovávat mlčenlivost o dané věci.
7. Seznamy studentů se nezveřejňují, neposkytují bez vědomého souhlasu studentů jiným
fyzickým či právnickým osobám nebo orgánům, které neplní funkci orgánu
nadřízeného VŠZ nebo nevyplývá-li to ze zákona.
8. V propagačních materiálech VŠZ, ve výroční zprávě či ročence VŠZ, na školním
webu či na nástěnkách ve VŠZ apod. lze s obecným souhlasem studentů uveřejňovat
výhradně textové či obrazové informace o jejich úspěších s uvedením pouze jména
(případně ročníku či třídy). Při publikování v tisku se autor dotazuje na souhlas
příslušného studenta. Student má právo požadovat bezodkladné zablokování či
odstranění informace či fotografie či záznamu týkající se jeho osoby, který
zveřejňovat nechce. Platí to i o fotografiích či záznamech studenta bez uvedení jména
v rámci obecné dokumentace školních akcí a úspěchů.
9. Psychologické, lékařské a jiné průzkumy a testování mezi studenty, jejichž součástí by
bylo uvedení osobních údajů studenta, lze provádět jen se souhlasem studenta. To se
netýká anonymních průzkumů, které však musí souviset se vzděláváním na VŠZ a
musí s nim předem písemně souhlasit ředitel; to platí zvláště v případě, že výsledky
jsou poskytovány mimo VŠZ.
10. Pokud jsou pro vedení dokumentace využívány formuláře a software, je nutné provést
kontrolu, zda nepožadují či nenabízejí evidenci nadbytečných údajů a tyto údaje
nezpracovávat.
11. Uzavírá-li VŠZ jakoukoli smlouvu (nájemní smlouvu, smlouvu o dílo, smlouvu o
poskytnutí služeb, nepojmenovanou smlouvu apod.), k jejímuž plnění je zapotřebí
druhé smluvní straně poskytnout osobní údaje, VŠZ vždy a bezpodmínečně bude trvat
na tom, aby ve smlouvě byla druhé smluvní straně uložena povinnost:
o přijmout všechna bezpečnostní, technická, organizační a jiná opatření s přihlédnutím
ke stavu techniky, povaze zpracování, rozsahu zpracování, kontextu zpracování a
účelům zpracování k zabránění jakéhokoli narušení poskytnutých osobních údajů,
o nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu VŠZ,
o zpracovávat osobní údaje pouze pro plnění smlouvy (vč. předání údajů do třetích zemí
a mezinárodním organizacím); výjimkou jsou pouze případy, kdy jsou určité
povinnosti uloženy přímo právním předpisem,
o zajistit, aby se osoby oprávněné zpracovávat osobní údaje u dodavatele byly zavázány
k mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
o zajistit, že dodavatel bude VŠZ bez zbytečného odkladu nápomocen při plnění
povinností VŠZ, zejména povinnosti reagovat na žádosti o výkon práv subjektů údajů,
povinnosti ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu
dle čl. 33 nařízení, povinnosti oznamovat případy porušení zabezpečení osobních
údajů subjektu údajů dle čl. 34 nařízení, povinnosti posoudit vliv na ochranu osobních
údajů dle čl. 35 nařízení a povinnosti provádět předchozí konzultace dle čl. 36
nařízení, a že za tímto účelem zajistí nebo přijme vhodná technická a organizační
opatření, o kterých ihned informuje VŠZ,
o po ukončení smlouvy řádně naložit se zpracovávanými osobními údaji, např. že
všechny osobní údaje vymaže, nebo je vrátí VŠZ a vymaže existující kopie apod.,
o poskytnout VŠZ veškeré informace potřebné k doložení toho, že byly splněny
povinnosti stanovené VŠZ právními předpisy,
o umožnit kontrolu, audit či inspekci prováděné VŠZ nebo příslušným orgánem dle
právních předpisů,
o poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví VŠZ, součinnost
potřebnou pro plnění zákonných povinností školy spojených s ochranou osobních
údajů, jejich zpracováním,
o poskytnuté osobní údaje chránit v souladu s právními předpisy,
o přiměřeně postupovat podle této směrnice, která je přílohou smlouvy.
Čl. IV.
Pravidla pro získávání, shromažďování, ukládání, použití, šíření
a uchovávání osobních údajů
1. VŠZ nakládá a zpracovává pouze osobní údaje, které
o souvisejí s pracovním a mzdovým zařazením zaměstnanců či smluvních pracovníků,
se sociálním, a zdravotním pojištěním (např. dosažené vzdělání, délka praxe, funkční
zařazení apod.),
o související s identifikací studenta ze zákona (datum narození, místo narození, rodné
číslo, státní příslušnost, bydliště, nutný zdravotní údaj apod.),
o jsou nezbytné pro plnění právní povinnosti, ochranu oprávněných zájmů VŠZ nebo ve
veřejném zájmu,
o k jejichž zpracování získala souhlas subjektu údajů.
2. Osobní údaje se uchovávají pouze po dobu, která je nezbytná k dosažení účelu jejich
zpracování, včetně archivace.
3. K osobním údajům mají přístup osoby k tomu oprávněné zákonem nebo na základě
zákona.
4. Do jednotlivých dokumentů VŠZ, které obsahují osobní údaje, mohou nahlížet:
o do osobního spisu zaměstnance vedoucí zaměstnanci, kteří jsou zaměstnanci
nadřízeni. Právo nahlížet do osobního spisu má orgán inspekce práce, úřad práce,
soud, státní zástupce, příslušný orgán Policie České republiky, Národní bezpečnostní
úřad a zpravodajské služby. Zaměstnanec má právo nahlížet do svého osobního spisu,
činit si z něho výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na
náklady zaměstnavatele (§ 312 zákoníku práce),
o do údajů studenta ve školní matrice akademičtí pracovníci školy (v rozsahu daném
pedagogickou funkcí), pracovníci studijního oddělení,
o do spisu, vedeném ve správním řízení účastníci správního řízení, tajemnice VŠZ,
pracovníci studijního oddělení, ředitel VŠZ a osoba, která je zmocněna s úředním
spisem pracovat po dobu řízení.
Souhlas k zpracováním osobních údajů:
1. Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů (ze zákona vyplývá i
oprávněný zájem, plnění právní povinnosti, plnění smlouvy, veřejný zájem) je
nezbytný souhlas osoby, o jejíž osobní údaje se jedná. Souhlas musí být poučený,
informovaný a konkrétní, nejlépe v písemné podobě. Souhlas se získává pouze pro
konkrétní údaje (určené např. druhově), na konkrétní dobu a pro konkrétní účel.
2. Souhlas se získává pro zpracování osobních údajů jen tehdy, pokud je jejich
zpracování nezbytně nutné a právní předpisy jiný důvod pro toto zpracování
nestanoví.
3. Souhlas se poskytuje podle účelu např. na celé období docházky na VŠZ, apod.
Udělený souhlas může být v souladu s právními předpisy odvolán.
Některé povinnosti VŠZ, jejích zaměstnanců, případně dalších osob při nakládání s osobními
údaji:
1. Každý zaměstnanec VŠZ je povinen počínat si tak, aby neohrozil ochranu osobních
údajů zpracovávaných VŠZ.
2. Dále je každý zaměstnanec VŠZ povinen:
o zamezit nahodilému a neoprávněnému přístupu k osobním údajům zaměstnanců,
studentů a dalších osob, které VŠZ zpracovává,
o pokud zjistí porušení ochrany osobních údajů, neoprávněné použití osobních údajů,
zneužití osobních nebo jiné neoprávněné jednání související s ochranou osobních
údajů, bezodkladně zabránit dalšímu neoprávněnému nakládání, zejména zajistit
znepřístupnění, a ohlásit tuto skutečnost řediteli VŠZ či jinému pověřenému
zaměstnanci.
3. Ředitel VŠZ je povinen:
o informovat zaměstnance o všech významných skutečnostech, postupech nebo
událostech souvisejících s nakládáním s osobními údaji ve VŠZ, a to bez zbytečného
odkladu,
o zajistit, aby zaměstnanci VŠZ byli řádně poučeni o právech a povinnostech při
ochraně osobních údajů,
o zajišťovat, aby zaměstnanci VŠZ byli podle možností a potřeb VŠZ vzděláváni nebo
proškolováni o ochraně osobních údajů,
o zajistit, aby VŠZ byla schopna řádně doložit plnění povinností VŠZ při ochraně
osobních údajů, které vyplývají z právních předpisů.
V Praze dne 21. 5. 2018
Ing. František Kunc, PhD. v.r.
ředitel Vysoké školy zdravotnické, o. p. s.