Ochrana osobních údajů
Informace o zpracování osobních údajů
ve smyslu čl. 12, 13 a 14 nařízení Evropského parlamentu a rady (EU) č. 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).
Základní škola a Mateřská škola Chvatěruby, okres Mělník, jakožto správce osobních údajů, tímto informuje o způsobu a rozsahu zpracování osobních údajů, včetně rozsahu práv subjektu údajů souvisejících se zpracováním jejich osobních údajů.
Škola zpracovává osobní údaje v souladu s právem Evropské unie, zejména tedy v souladu se Nařízením Evropského parlamentu a rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (dále jen GDPR) a dále v souladu s platnou národní legislativou.
Kontaktní údaje školy: Základní škola a Mateřská škola Chvatěruby, okres Mělník, sídlem č.p. 46, 278 01 Chvatěruby, IČO: 71003771, ID datové schránky: ewmgmcct.
Kontaktní údaje na pověřence pro ochranu osobních údajů: Ing. Zdeňka Böhmová, tel: 601177068,
e-mail: zdebohmova@gmail.com.
K jakým účelům a na základě jakých právních titulů škola osobní údaje zpracovává?
Škola zpracovává osobní údaje na základě těchto právních titulů: plnění právní povinnosti správce, plnění smlouvy, plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, oprávněný zájem školy či třetí strany a souhlas subjektu údajů se zpracováním osobních údajů.
Škola využívá následující právní tituly zpracování osobních údajů pro následující účely zpracování osobních údajů:
- Zpracování je nezbytné pro splnění právní povinnosti správce
- účely zpracování přímo související s osobními údaji žáků a zákonných zástupců žáka:
- zpracování osobních údajů ve školní matrice ZŠ, MŠ
- zpracování osobních údajů při zápisu k povinné školní docházce
- zpracování osobních údajů při zápisu k předškolnímu vzdělávání
- zpracování osobních údajů při odkladu povinné školní docházky
- zpracování osobních údajů při přestupu žáka na jinou základní školu
- zpracování osobních údajů v třídní knize ZŠ, MŠ
- zpracování osobních údajů při vedení evidence omluvenek a žádostí o uvolnění žáka
- zpracování osobních údajů při vedení evidence úrazů žáků / dětí
- zpracování osobních údajů v rámci individuálního vzdělávání žáků / dětí
- zpracování osobních údajů v rámci sociálně právní ochrany dětí
- zpracování osobních údajů ve školní družině
- zpracování osobních údajů při pořádání škol v přírodě, lyžařských kurzů, výletů a dalších mimoškolních akcí
- zpracování osobních údajů v rámci poskytování podpůrných opatření žákům
- zpracování osobních údajů při uvolňování žáka z hodin TV nebo jiného předmětu
- zpracování osobních údajů v režimu školní jídelny
- zpracování osobních údajů v rámci činnosti zájmových útvarů - kroužků
- zpracování osobních údajů v rámci činnosti pedagogické rady ZŠ / MŠ
- zpracování osobních údajů v rámci evidence úplaty za předškolní vzdělávání
- účely zpracování související s osobními údaji ostatních fyzických osob:
- zpracování osobních údajů při vydávání opisů a stejnopisů vysvědčení
- zpracování osobních údajů při vyřizování žádostí o informaci dle zákona č. 106/1999 Sb.
- zpracování osobních údajů o členech školské rady
- zpracování osobních údajů při vyřizování podnětů, stížností, petic
- účely zpracování přímo související s osobními údaji zaměstnanců školy a jiných fyzických osob:
- zpracování osobních údajů v rámci vedení základní právní dokumentace školy
- zpracování osobních údajů při vedení osobního spisu zaměstnance
- zpracování osobních údajů v rámci předpracovních vztahů
- zpracování osobních údajů v rámci vedení evidence úrazů a nemocí z povolání
- zpracování osobních údajů při vedení mzdového účetnictví
- zpracování osobních údajů při vedení evidence školení vč. BOZP a PO
- zpracování osobních údajů při vedení evidence pracovní doby
- Zpracování je nezbytné pro splnění smlouvy:
- zpracování smluv vč. doplňkové činnosti školy, účetnictví
- zpracování osobních údajů v režimu školní jídelny
- zpracování osobních údajů v rámci poskytování zájmového vzdělávání – školních kroužků
- Zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu:
- zpracování osobních údajů v rámci prezentace školy (webové stránky, výroční zprávy, prezentace výtvarných děl,…)
- Zpracování je nezbytné pro účely oprávněných zájmů správce či třetí strany:
- zpracování osobních údajů osob oprávněných vyzvedávat žáka ze školní družiny a mateřské školy – oprávněný zájem na ochraně a bezpečí žáka školy / dítěte
- Zpracování na základě souhlasu subjektu údajů:
- XXX
Podrobné informace ke zpracování osobních údajů v rámci jednotlivých účelů zpracování naleznete zde.
Zpracovává škola zvláštní (citlivé) kategorie osobních údajů?
Škola zpracovává zvláštní kategorie osobních údajů žáků / dětí a zaměstnanců školy v následujícím rozsahu.
- Zpracování zvláštních kategorií osobních údajů žáků:
Škola zpracovává zvláštní kategorie osobních údajů žáků / dětí, zejm. údaje o zdravotním stavu žáků / dětí, údaje o znevýhodnění dítěte (mentální, tělesné, zrakové nebo sluchové postižení, závažné vady řeči, závažné vývojové poruchy učení, závažné vývojové poruchy chování, souběžné postižením více vadami nebo autismem), údaje uvedené v doporučení školských poradenských zařízení, posudky poskytovatelů zdravotních služeb.
Škola zpracovává tyto údaje pouze na základě zákonného zmocnění (zejm. § 28 odst. 2 písm. f), g) zákona č. 561/2004 Sb., o předškolním, základním, středním, vyšším odborném a jiném vzdělávání (dále jen školský zákon); § 9 zákona č. 258/2000 Sb., o ochraně veřejného zdraví; § 2 odst. 4 vyhlášky MŠMT č. 107/2005 Sb., o školním stravování; vyhláška MŠMT č. 64/2005 Sb., o evidenci úrazů dětí, žáků a studentů).
Škola tyto údaje zpracovává na základě právního titulu uvedeného v čl. 9 odst. 2 písm. b) GDPR - zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů.
- Zpracování zvláštních kategorií osobních údajů zaměstnanců:
Škola zpracovává zvláštní kategorie osobních údajů zaměstnanců, zejm. údaje o zdravotní způsobilosti a zdravotním stavu, údaje o odsouzeních a trestech dostupné z rejstříku trestů.
Škola zpracovává tyto údaje pouze na základě zákonného zmocnění (zejm. zákon č. 262/2006 Sb., zákoník práce; zákon č. 563/2004 Sb., o pedagogických pracovnících; zákon č. 373/2011, o specifických zdravotních službách; vyhláška MZCR č. 79/2013 Sb., o provedení některých ustanovení zákona č. 373/2011 Sb., o specifických zdravotních službách).
Škola tyto údaje zpracovává na základě právního titulu uvedeného v čl. 9 odst. 2 písm. b) GDPR - zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany, pokud je povoleno právem Unie nebo členského státu nebo kolektivní dohodou podle práva členského státu, v němž se stanoví vhodné záruky týkající se základních práv a zájmů subjektu údajů.
Z jakých zdrojů škola osobní údaje získává?
Škola získává osobní údaje zejména od subjektu údajů.
Škola může získávat osobní údaje od jiného subjektu než subjektu údajů, ovšem pouze na základě oprávnění stanoveného zvláštními právními předpisy, např. v případě přestupu žáka (původní škola poskytuje nové škole kopii dokumentace ze školní matriky), nebo v případě spolupráce se školskými poradenskými pracovišti.
Komu škola osobní údaje poskytuje?
- Zpracovatelem osobních údajů je právnická osoba dm Software s.r.o., IČO: 25010981, sídlem Krátká 1132/8, Jižní Předměstí, 301 00 Plzeň, a to na základě smlouvy o poskytování služeb hostování softwarové aplikace dm Software a o zpracování osobních údajů, pro účely vedení školního informačního systému dm Software a poskytování cloudových služeb.
- Zpracovatelem osobních údajů je právnická osoba Veřejná informační služba, spol. s r.o., Plzeň, sídlem Farského 14, 326 00 Plzeň, IČO: 45330344, a to na základě licenční smlouvy a smlouvy o ochraně osobních údajů, pro účely vedení informačního systému VIS (školní stravování).
- Zpracovatelem osobních údajů je podnikající fyzická osoba Jaroslava Šebestová, sídlem Krauzovna 210, 277 41 Kly, IČO: 41470460, a to na základě smlouvy o vedení mezd, pro účely vedení mzdového účetnictví.
- Zpracovatelem osobních údajů je ALL ACCOUNT CZ s.r.o., sídlem Spojovací 1353/9, 276 01 Mělník, IČO: 26171473, a to na základě smlouvy o vedení účetnictví.
Osobní údaje mohou být dále předány pouze na základě oprávnění uvedeného ve zvláštním právním předpisu nebo s prokazatelným souhlasem subjektu údajů.
Jakým způsobem škola zajišťuje ochranu osobních údajů?
Osobní údaje jsou pod stálou fyzickou, organizační i technickou kontrolou. Škola disponuje technickými, bezpečnostními a organizačními opatřeními, jimiž je zajištěna ochrana zpracovávaných údajů před neoprávněným přístupem nebo přenosem, před jejich ztrátou nebo zničením, jakož i před jiným možným zneužitím.
Po jakou dobu jsou osobní údaje zpracovávány / uloženy?
Dokumenty obsahující osobní údaje jsou uchovávány dle skartačních lhůt nastavených spisovým a skartačním řádem školy. Po uplynutí skartačních lhůt jsou osobní údaje buď skartovány, nebo předány k archivaci. Podrobnější stanovení lhůt k likvidaci naleznete v odkazech na jednotlivé agendy.
Jaká práva má subjekt údajů v souvislosti se zpracováním osobních údajů?
Uplatnit svá práva může subjekt údajů písemně na adrese školy, elektronicky do datové schránky školy, nebo osobně u ředitele školy na výše uvedené adrese školy.
- Právo na přístup k osobním údajům
Subjekt údajů má právo požadovat po škole, aby mu sdělila informaci o tom, zda zpracovává osobní údaje, které se ho týkají. Pokud škola osobní údaje zpracovává, má subjekt údajů právo tyto osobní údaje a informace o zpracování obdržet.
Informaci ve stanoveném rozsahu (čl. 15 GDPR), případně kopii zpracovávaných osobních údajů, vyhotoví škola bez zbytečného odkladu, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, například prostřednictvím opakovaných žádostí uplatňovaných krátce po sobě, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady.
Formulář ke stažení zde (žádost o potvrzení a přístup)
- Právo na opravu osobních údajů
Subjekt údajů může požádat o opravu osobních údajů, které se ho týkají, v případě, že jsou nepřesné nebo neúplné. Po obdržení žádosti škola bezodkladně omezí zpracování osobních údajů do doby ověření jejich správnosti a provedení případné opravy.
Po ověření, případně opravení osobních údajů, škola bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti, informuje subjekt údajů o tom, že byla ověřena správnost osobních údajů, případně provedena oprava, omezení zpracování bude zrušeno a ve zpracování osobních údajů bude škola dále pokračovat. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady.
Formulář ke stažení zde (žádost o opravu)
- Právo na výmaz osobních údajů
Subjekt údajů může požadovat po škole, aby zlikvidovala jeho osobní údaje a dále je neuchovávala. Škola vymaže osobní údaje za následujících podmínek:
- pokud je již nepotřebuje pro účel, za kterým je shromáždila
- pokud jsou osobní údaje zpracovávány na základě souhlasu se zpracováním osobních údajů a subjekt údajů souhlas odvolá
- pokud subjekt vznese námitku proti zpracování osobních údajů a při posouzení vyjde najevo, že v konkrétní situaci převažuje zájem subjektu údajů nad zájmem správce na zpracování osobních údajů
- pokud škola zpracovává osobní údaje protiprávně.
Škola nevymaže osobní údaje, pokud je zpracování nezbytné pro splnění právní povinnosti nebo pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci, kterým je škola pověřena, případně jsou-li splněny další podmínky z výjimky práva na výmaz dle čl. 17 odst. 3 GDPR.
O provedení (neprovedení) výmazu informuje škola subjekt údajů bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady.
Formulář ke stažení zde (žádost o výmaz)
- Právo na omezení zpracování
Subjekt údajů může požádat školu, aby omezila zpracování osobních údajů, které se ho týkají, a to v následujících případech:
- subjekt údajů popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby škola mohla přesnost osobních údajů ověřit
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití
- škola již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků
- subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody školy převažují nad oprávněnými důvody subjektu údajů.
O omezení zpracování osobních údajů škola bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od obdržení žádosti, informuje subjekt údajů. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by žádosti byly zjevně nedůvodné nebo nepřiměřené, je možné žádostem nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady.
Pokud pominou důvody pro omezení zpracování, škola omezení neprodleně zruší. O zrušení omezení bude škola subjekt údajů dopředu bezodkladně informovat.
Formulář ke stažení zde (žádost o omezení zpracování)
- Právo na přenositelnost údajů
Subjekt údajů může toto právo uplatnit pouze v případě, že je zpracování osobních údajů prováděno automatizovaně a zároveň je založeno na souhlasu subjektu údajů nebo na plnění smlouvy. Subjekt údajů má právo získat osobní údaje, které se ho týkají, jež poskytl škole, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil.
Na základě podmínek stanovených GDPR nelze v současné době toto právo subjektů údajů realizovat, neboť ve škole neprobíhá takové zpracování osobních údajů, na které by se toto právo vztahovalo.
- Právo vznést námitku
Subjekt údajů má právo vznést námitku proti zpracování osobních údajů na základě právního titulu oprávněného zájmu a plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. Jakmile škola námitku proti zpracování obdrží, bez zbytečného odkladu omezí zpracování osobních údajů subjektu údajů, jež námitku podal a námitku posoudí. V rámci posouzení námitky musí škola prokázat, že má pro zpracování závažné oprávněné důvody, které převažují na zájmy a svobodami subjektu údajů – tzv. balanční test. V případě, že škola prokáže oprávněné důvody zpracování, je oprávněna osobní údaje dále zpracovávat; pokud škola oprávněné důvody neprokáže, musí zpracování osobních údajů ukončit.
O výsledku řízení informuje škola subjekt údajů bezodkladně, maximálně do 30 dnů, ve zvlášť složitých případech až do 90 dnů od doručení žádosti. Pokud škola prokáže oprávněné důvody pro zpracování osobních údajů, informuje zároveň subjekt údajů o ukončení omezení zpracování osobních údajů. Informace bude předána subjektu údajů v písemné podobě osobně, případně doručena do datové schránky nebo prostřednictvím provozovatele poštovních služeb, nebude-li výslovně dohodnut jiný způsob doručení. Poskytnutí informace je bezplatné, ovšem pokud by ze strany subjektu údajů docházelo ke zneužívání tohoto práva, zejm. pokud by námitky byly zjevně nedůvodné nebo nepřiměřené, je možné jim nevyhovět, případně za ně požadovat přiměřený poplatek za vynaložené administrativní náklady.
Formulář ke stažení zde (námitka proti zpracování)
- Právo na odvolání souhlasu se zpracováním osobních údajů
Subjekt údajů může kdykoli odvolat svůj souhlas se zpracováním osobních údajů. Odvoláním souhlasu ztrácí škola právní titul pro zpracování osobních údajů a subjektu údajů vzniká právo na výmaz osobních údajů. Škola na základě uplatnění tohoto práva vyhledá a zlikviduje všechny osobní údaje zpracovávané na základě odvolaného souhlasu.
Formulář ke stažení zde (odvolání souhlasu)
- Právo podat stížnost u dozorového úřadu
Subjekt údajů se může obrátit na dozorový úřad se stížností, pokud se domnívá, tedy má důvodné podezření, že při zpracování osobních údajů dochází k porušení GDPR.
Formulář ke stažení zde (stížnost dozorovému orgánu)
Jaké jsou definice základních pojmů užívaných v oblasti ochrany osobních údajů?
- osobní údaj – veškeré informace o identifikované nebo identifikovatelné fyzické osobě; identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby
- subjekt údajů – subjektem údajů je fyzická osoba, k níž se osobní údaje vztahují;
- správce – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů
- zpracovatel – fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce
- příjemce - fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty
- zpracování osobních údajů - jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení
- zvláštní kategorie osobních údajů – údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.