+420 296 333 337
+420 296 333 337

Zásady zpracování osobních údajů

Domů > Zásady zpracování osobních údajů

PŘIMĚŘENÉ POLITIKY SPÁVCE

všeobecná pravidla pro ochranu osobních údajů fyzických osob v souvislosti s jejich zpracováním


1. zásady zpracování osobních údajů

Zásada zákonnosti

Osobní údaje mohou být zpracovávány zákonným způsobem a tak, aby nedocházelo k porušování základních práv dotčené osoby.

Zásada omezení účelu

Osobní údaje lze získat pouze pro konkrétně určený, výslovný a legitimní účel a nesmějí být dále zpracovávány způsobem neslučitelným s tímto účelem; další zpracování osobních údajů pro účely archivace, pro vědecké účely, pro účely historického výzkumu nebo pro statistické účely, pokud jsou v souladu se zvláštním zákonem a pokud jsou dodržována přiměřená ochranná opatření
k ochraně práv dotčené osoby se nepovažují za neslučitelná s původním účelem.

Zásada minimalizace osobních údajů

Zpracovávané osobní údaje musí být přiměřené, relevantní a omezené v nezbytném rozsahu dané účelem, pro který jsou zpracovávány.

Zásada správnosti

Zpracovávané osobní údaje musí být správné a podle potřeby aktualizované; musí být přijata přiměřená a účinná opatření k zajištění toho, aby osobní údaje, které jsou nesprávné s ohledem na účely, pro které se zpracovávají, byly bez zbytečného prodlení vymazány nebo opraveny.

Zásada minimalizace uchovávání

Osobní údaje musí být uchovávány ve formě, která umožňuje, aby dotčená osoba byla identifikována nejpozději, pokud je to nezbytné pro účel, pro který jsou osobní údaje zpracovávány; osobní údaje mohou být uchovávány déle, pokud mají být zpracovány výhradně pro účely archivace, pro vědecké účely, pro účely historického výzkumu nebo pro statistické účely podle zvláštního zákona a v případě dodržení přiměřených záruk na ochranu práv dotčené osoby.

Zásada integrity a důvěrnosti

Osobní údaje musí být zpracovány způsobem, který prostřednictvím přiměřených technických a organizačních opatření, zajistí přiměřenou bezpečnost osobních údajů, včetně ochrany před neoprávněným zpracováním osobních údajů, nezákonným zpracováním osobních údajů, náhodnou ztrátou osobních údajů, vymazáním osobních údajů nebo poškození osobních údajů.

Zásada odpovědnosti

Správce odpovídá za dodržování základních zásad zpracování osobních údajů, za soulad zpracování osobních údajů se zásadami zpracování osobních údajů a je povinen tento soulad se zásadami zpracování osobních údajů na požádání úřadu prokázat.

Zákonnost zpracování

Zpracování osobních údajů je zákonné, pokud je prováděno na základě alespoň jednoho z těchto právních důvodů:

  1. dotčená osoba udělila souhlas se zpracováním svých osobních údajů pro alespoň jeden konkrétní účel,
  2. zpracování osobních údajů je nezbytné pro plnění smlouvy, jíž je dotčená osoba smluvní stranou, nebo pro provedení opatření před uzavřením smlouvy na žádost dotčené osoby,
  3. zpracování osobních údajů je nezbytné podle zvláštního zákona nebo mezinárodní smlouvy, jíž je Česká republika vázána,
  4. zpracování osobních údajů je nezbytné pro ochranu života, zdraví nebo majetku dotčené osoby nebo jiné fyzické osoby,
  5. zpracování osobních údajů je nezbytné pro splnění úkolu vykonaného ve veřejném zájmu nebo při výkonu veřejné moci svěřeného správci nebo,
  6. zpracování osobních údajů je nezbytné pro účely oprávněných zájmů správce nebo třetí osoby, s výjimkou případů, kdy tyto zájmy převažují nad zájmy nebo právy dotčené osoby vyžadujícího ochranu osobních údajů, zejména pokud je dotčenou osobou dítě; tento právní důvod se nevztahuje na zpracování osobních údajů orgány veřejné moci při plnění jejich úkolů.

Právní důvod pro zpracování osobních údajů podle písm. c) a e) musí být stanoven v zákoně na ochranu osobních údajů, zvláštním zákoně nebo v mezinárodní smlouvě, kterou je Česká republika vázána; zvláštní zákon musí stanovit účel zpracování osobních údajů, kategorii dotčené osoby
a seznam zpracovávaných osobních údajů nebo rozsah zpracovávaných osobních údajů. Osobní údaje zpracovávané podle zvláštního zákona mohou být poskytnuty, převedeny nebo zveřejněny z informačního systému pouze tehdy, pokud zvláštní zákon stanoví účel poskytnutí nebo účel zveřejnění, seznam zpracovávaných osobních údajů nebo rozsah osobních údajů, které mohou být poskytnuty nebo zveřejněny, nebo příjemci, kterým jsou osobní údaje poskytovány.

Pokud zpracování osobních údajů pro jiný účel, než pro který byly osobní údaje získány, není založeno na souhlasu dotčené osoby, nebo na zvláštním zákonu, správce ke zjištění toho zda je zpracování osobních údajů pro jiný účel slučitelné s účelem, ke kterému byly osobní údaje byly původně získány, mimo jiné, musí brát v úvahu jakoukoli souvislost mezi účelem, pro který byly osobní údaje původně získány a účelem zamýšleného dalšího zpracování osobních údajů, okolnosti, za kterých byly osobní údaje získány, zejména okolnosti týkající se vztahu mezi dotčenou osobou a správcem, povaha osobních údajů, zejména zda se zpracovávají konkrétní kategorie osobních údajů nebo osobních údajů týkajících se uznání viny za spáchání trestného činu nebo protiprávního jednání, možné následky zamýšleného dalšího zpracování osobních údajů pro dotčenou osobu a existenci přiměřených záruk, které mohou zahrnovat šifrování nebo pseudoanonymizaci.

Podmínky pro udělení souhlasu se zpracováním osobních údajů:

Je-li zpracování osobních údajů založeno na souhlasu dotčené osoby, je správce povinen kdykoli prokázat, že dotčená osoba dala souhlas se zpracováním svých osobních údajů.

Požaduje-li správce souhlas se zpracováním osobních údajů dotčenou osobou, musí být tento souhlas odlišen od ostatních skutečností a musí být vyjádřen v jasné a srozumitelné a snadno přístupné formě.

Dotčená osoba má právo kdykoli odvolat svůj souhlas se zpracováním osobních údajů, které se jí týkají. Odvolání souhlasu nemá vliv na zákonnost zpracování osobních údajů založeného na souhlasu před jeho odvoláním; před udělením souhlasu musí být dotčená osoba o této skutečnosti informována. Dotčená osoba může souhlas odvolat stejným způsobem, jakým souhlas udělila.

Při posuzování, zda byl souhlas udělen svobodně, se zejména přihlédne ke skutečnosti, zda se plnění smlouvy včetně poskytnutí služby podmiňuje souhlasem se zpracováním osobních údajů, který není pro plnění z této smlouvy nezbytný.

Podmínky pro udělení souhlasu týkající se služeb informační společnosti:

Správce v souvislosti s poskytováním služeb informační společnosti zpracovává osobní údaje na základě souhlasu dotčené osoby podle zákona, pokud dotčená osoba dovršila 16 let. Je-li dotčená osoba mladší než 16 let, je takové zpracování osobních údajů zákonné pouze za podmínky
a v rozsahu, v jakém byl tento souhlas poskytnut nebo schválen jeho zákonným zástupcem. Správce je povinen vynaložit přiměřené úsilí, aby ověřil, zda zákonný zástupce dotčené osoby poskytl nebo schválil souhlas se zpracováním osobních údajů, s přihlédnutím k dostupné technologii.

Zpracování zvláštních kategorií osobních údajů:

Zpracování zvláštních kategorií osobních údajů je zakázáno. Zvláštní kategorie osobních údajů jsou údaje, které odhalují rasový původ nebo etnický původ, politické názory, náboženskou víru, filozofické přesvědčení, členství v odborech, genetické údaje, biometrické údaje, údaje týkající se zdraví nebo údaje týkající se sexuálního života nebo sexuální orientace fyzické osoby.

Zákaz zpracování zvláštních kategorií osobních údajů neplatí, když

  1. dotčená osoba vyjádřila výslovný souhlas se zpracováním těchto osobních údajů pro alespoň jeden konkrétní účel; souhlas je neplatný, pokud je jeho poskytnutí vyloučeno zvláštním zákonem,
  2. zpracování je nezbytné pro účely plnění povinností a výkonu zvláštních práv správce nebo dotčené osoby v oblasti pracovního práva, sociálního zabezpečení, sociální ochrany nebo veřejného zdravotního pojištění podle zvláštního zákona, mezinárodní smlouvy, kterou je Česká republika vázána nebo na základě kolektivní smlouvy, pokud poskytuje přiměřené záruky ochrany základních práv a zájmů dotčené osoby,
  3. zpracování je nezbytné k ochraně života, zdraví nebo majetku dotčené osoby nebo jiné fyzické osoby, pokud dotčená osoba není fyzicky způsobilá nebo právně schopná vyjádřit svůj souhlas,
  4. zpracování provádí v rámci oprávněné činnosti občanské sdružení, nadace nebo nezisková organizace poskytující obecně prospěšné služby, politická strana nebo politické hnutí, odborová organizace, státem uznaná církev nebo náboženská společnost, a toto zpracování se týká pouze jejich členů nebo fyzických osob, které jsou s nimi, s ohledem na jejich cíle, v pravidelném styku, osobní údaje slouží výhradně k jejich vnitřnímu použití
    a nesmějí být poskytnuty příjemci bez písemného nebo jinak věrohodného souhlasu dotčené osoby,
  5. zpracování se týká osobních údajů, které dotčená osoba prokazatelně zveřejnila,
  6. zpracování je nezbytné pro uplatnění právního nároku nebo při výkonu soudní pravomoci,
  7. zpracování je nezbytné z důvodů veřejného zájmu podle tohoto zákona, zvláštního zákona nebo mezinárodní smlouvy, kterou je vázána Česká republika, která jsou přiměřené sledovanému cíli, respektují podstatu práva na ochranu osobních a stanoví vhodná
    a konkrétní opatření k zajištění základních práv a zájmů dotčené osoby,
  8. zpracování je nezbytné pro účely preventivního pracovního lékařství, poskytování zdravotní péče a služeb souvisejících s poskytováním zdravotní péče, nebo pro účely provádění veřejného zdravotního pojištění, pokud tyto údaje zpracovává poskytovatel zdravotní péče, zdravotní pojišťovna, osoba vykonávající služby souvisící s poskytováním zdravotní péče, nebo osoba vykonávající dohled nad zdravotní péčí a jejím jménem odborně způsobilá oprávněná osoba , která je vázána povinností zachovávat mlčenlivost
    o skutečnostech, které se dozvěděla při výkonu své činnosti, a povinností dodržovat zásady profesní etiky,
  9. zpracování je nezbytné pro účely sociálního pojištění, sociálního zabezpečení policistů
    a vojáků, poskytování státních sociálních dávek, podpory sociálního začleňování fyzické osoby s těžkým postižením do společnosti, poskytování sociálních služeb, vykonáváním opatření sociálněprávní ochrany dětí a sociálního opatrovnictví, nebo za účelem poskytování pomoci v hmotné nouzi nebo je zpracování nezbytné pro účely plnění povinností, nebo výkonu práv správce odpovědného za zpracování v oblasti pracovního práva a v oblasti služeb zaměstnanosti, pokud správci vyplývá povinnost ze zvláštního zákona nebo mezinárodní smlouvy, která je Česká republika vázána,
  10. zpracování je nezbytné z důvodů veřejného zájmu v oblasti veřejného zdraví, jako je ochrana před vážnými přeshraničními zdravotními hrozbami nebo zajištění vysoké úrovně kvality a bezpečnosti zdravotní péče, léků, dietetických potravin nebo zdravotnických prostředků podle tohoto zákona, zvláštního zákona nebo mezinárodní smlouvy, kterou je Česká republika vázána, kterými se stanoví vhodná a konkrétní opatření na ochranu práv dotčené osoby, zejména povinnost mlčenlivosti,
  11. zpracování je nezbytné pro účely archivace, vědeckého účelu, pro účely historického výzkumu nebo pro statistické účely podle tohoto zákona, zvláštního zákona nebo mezinárodní smlouvy, kterou je Česká republika vázána a která je přiměřená vzhledem ke sledovanému cíli, respektující podstatu práva na ochranu osobních údajů a stanovená vhodná a konkrétní opatření k zajištění základních práv a zájmů dotčené osoby.

Zpracování osobních údajů bez nutnosti identifikace:

Pokud účel, pro který správce zpracovává osobní údaje, vyžaduje nebo vyžadoval správce, aby identifikoval dotčenou osobu, správce není povinen uchovávat, získávat nebo zpracovávat doplňující informace ke zjištění totožnosti dotčené osoby výlučně k tomu, aby dosáhnul souladu se zákonem o ochraně osobních údajů.

Pokud v případech uvedených výše může správce prokázat, že dotčenou osobu není schopen identifikovat, je povinen ji vhodným způsobem informovat, je-li to možné.

Pro účely vykonávání svých práv může dotčená osoba poskytnout doplňující informace, aby mohla být identifikována.

2. Práva dotčené osoby


Informace a přístup k osobním údajům

Poskytované informace, pokud jsou osobní údaje získány od dotčené osoby:

Pokud se od dotčené osoby získávají osobní údaje, které se jí týkají, je správce povinen poskytnout dotčené osobě při jejich získávání

  1. identifikační údaje a kontaktní údaje správce a zástupce správce, pokud byl pověřený,
  2. kontaktní údaje odpovědné osoby, pokud existuje,
  3. účel zpracování osobních údajů, pro které jsou osobní údaje určeny, jakož i právní důvod pro zpracování osobních údajů,
  4. jakékoli oprávněné zájmy správce nebo třetí osoby,
  5. identifikace příjemce nebo kategorie příjemce, pokud byla určena,
  6. informace, že správce zamýšlí předávat osobní údaje do třetí země nebo mezinárodní organizaci, určení třetí země nebo mezinárodní organizace, informace o existenci nebo neexistenci rozhodnutí Evropské komise o přiměřenosti nebo odkaz na příměřené záruky nebo vhodné záruky a prostředky na získání jejich kopie nebo informaci o tom, kde byly zpřístupněny.

Kromě výše uvedených informací je správce povinen poskytnout dotčené osobě informace
o osobních údajích

  1. době uchovávání osobních údajů; a pokud to není možné, informace o kritériích pro její určení,
  2. přímo od správce požadovat přístup k osobním údajům týkajícím se dotčené osoby,
    o právu na opravu osobních údajů, o právu na vymazání osobních údajů nebo o právu omezit zpracování osobních údajů, o právo na námitku proti zpracování osobních údajů, jakož
    i o právu na přenositelnost osobních údajů,
  3. o právu kdykoli odvolat svůj souhlas,
  4. o právu podat návrh na zahájení řízení o ochraně osobních údajů,
  5. o tom, zda je poskytnutí osobních údajů právním nárokem nebo smluvní povinností nebo podmínkou, která je nezbytná pro uzavření smlouvy a zda je dotčená osoba povinna poskytnout osobní údaje, jakož i možné následky neposkytnutí osobních údajů,
  6. existenci automatizovaného individuálního rozhodovacího procesu, včetně profilování;
    v takových případech poskytne správce dotčené osobě informace o použitém postupu, jakož i o významu a předpokládaných důsledcích takového zpracování osobních údajů pro dotčenou osobu.

Správce je povinen poskytnout dotčené osobě před dalším zpracováním osobních údajů informace o jiném účelu a jiných výše uvedených informacích, pokud správce hodlá dále zpracovávat osobní údaje pro jiný účel, než pro který byly získány.

Výše uvedené se nepoužije v rozsahu, v jakém byly informace poskytnuty dotčené osobě před zpracováním osobních údajů.

Informace poskytnuté v případě, že osobní údaje nejsou od dotčené osoby získány:

Pokud osobní údaje nebyly získány od dotčené osoby, je správce povinen dotčené osobě poskytnout

  1. identifikační údaje a kontaktní údaje správce a zástupce správce, pokud byl pověřený,
  2. kontaktní údaje odpovědné osoby, pokud byla určena,
  3. účel zpracování osobních údajů, pro který jsou osobní údaje určeny, jakož i právní důvod pro zpracování osobních údajů,
  4. kategorie zpracovávaných osobních údajů,
  5. identifikace příjemce nebo kategorie příjemce, pokud existuje,
  6. informace, že správce zamýšlí předávat osobní údaje do třetí země nebo mezinárodní organizaci, určení třetí země nebo mezinárodní organizace, informace o existenci nebo neexistenci rozhodnutí Evropské komise o přiměřenosti nebo odkaz na přiměřené záruky nebo vhodné záruky a prostředky pro získání jejich kopií nebo informaci o tom, komu byly poskytnuty, pokud správce hodlá předat.

Kromě těchto informací je správce povinen poskytnout dotčené osobě informace o

  1. době uchovávání osobních údajů; pokud to není možné, informace o kritériích pro její určení,
  2. případných oprávněných zájmech správce nebo třetí strany,
  3. přímo od správce požadovat přístup k osobním údajům týkajícím se dotčené osoby,
    o právu na opravu osobních údajů, o právu na vymazání osobních údajů nebo o právu omezit zpracování osobních údajů, o právo na námitku proti zpracování osobních údajů, jakož
    i o právu na přenositelnost osobních údajů,
  4. právu kdykoli odvolat svůj souhlas,
  5. právu podat návrh na zahájení řízení o ochraně osobních údajů,
  6. zdroji, ze kterého pocházejí osobní údaje, nebo informace o tom, zda pocházejí z veřejně dostupných zdrojů,
  7. existenci automatizovaného individuálního rozhodovacího procesu, včetně profilování;
    v takových případech poskytne správce dotčené osobě informace o použitém postupu, jakož i o významu a předpokládaných důsledcích takového zpracování osobních údajů pro dotčenou osobu.

Správce je povinen poskytnout informace

Správce je povinen poskytnout dotčené osobě před dalším zpracováním osobních údajů informace o jiném účelu a další relevantní informace, pokud správce hodlá dále zpracovávat osobní údaje pro jiný účel, než pro které byly získány.

Výše uvedené se nepoužije:

  1. v rozsahu, v jakém dotčená osoba již informace obdržela,
  2. v rozsahu, v jakém se poskytování těchto informací ukáže jako nemožné nebo by vyžadovalo nepřiměřené úsilí, zejména pokud jsou osobní údaje zpracovávány za účelem archivace pro vědecké účely pro účely historického výzkumu nebo pro statistický účel, ke kterému se vztahují podmínky a záruky, nebo pokud tato informační povinnost pravděpodobně naruší nebo vážně stíží dosažení cílů takového zpracování osobních údajů; správce je v takovém případěpovinen přijmout vhodná opatření na ochranu práv
    a oprávněných zájmů dotčené soby, včetně zveřejnění informací veřejnosti,
  3. v rozsahu, v jakém tyto informace nebo poskytování těchto informací stanoví zvláštní zákon, který se vztahuje na správce a v němž jsou stanovena vhodná opatření na ochranu práv a oprávněných zájmů dotčené osoby, nebo
  4. pokud musí osobní údaje zůstat důvěrné na základě povinnosti mlčenlivosti podle zvláštního zákona.

Právo na přístup k osobním údajům:

Dotčená osoba má právo získat od správce potvrzení o tom, zda jsou zpracovávány osobní údaje, které se jí týkají. Pokud správce zpracovává takové osobní údaje, má dotčená osoba právo získat přístup k těmto osobním údajům a informace o

  1. účelu zpracování osobních údajů,
  2. kategorii zpracovávaných osobních údajů,
  3. identifikaci příjemce nebo kategorie příjemce, jemuž byly nebo mají být osobní údaje poskytnuty, zejména o příjemci ve třetí zemi nebo mezinárodní organizaci, pokud je to možné,
  4. dobu uchovávání osobních údajů; pokud to není možné, informace o kritériích pro její určení,
  5. přímo požádat správce o opravu osobních údajů týkajících se dotčené osoby, o jejich odstranění nebo omezení jejich zpracování nebo o právu namítat zpracování osobních údajů,
  6. právu podat návrh na zahájení řízení o ochraně osobních údajů,
  7. zdroji osobních údajů, pokud nebyly osobní údaje získány od dotčené osoby
  8. existenci automatizovaného individuálního rozhodovacího procesu, včetně profilování;
    v takových případech poskytne správce dotčené osobě informace o použitém postupu, jakož i o významu a předpokládaných důsledcích takového zpracování osobních údajů pro dotčenou osobu.

Dotčená osoba má právo být informována o přiměřených zárukách týkajících se přenosu, jsou-li osobní údaje předávány do třetí země nebo mezinárodní organizací.

Správce je povinen poskytnout dotčené osobě její osobní údaje, které zpracovává. Za opakované poskytnutí osobních údajů, o které dotčená osoba požádá, může správce účtovat přiměřený poplatek odpovídající správním nákladům. Správce je povinen poskytnout osobní údaje dotčené osobě způsobem podle jeho požadavků.

Právo na získání osobních údajů nesmí mít omezit práva jiných fyzických osob.

Oprava a vymazaní a omezení zpracování osobních údajů

Právo na opravu osobních údajů:

Dotčená osoba má právo na to, aby správce bez zbytečného odkladu opravil nesprávné osobní údaje, které se jí týkají. S ohledem na účel zpracování osobních údajů má dotčená osoba právo na doplnění neúplných osobních údajů.

Právo na vymazání osobních údajů:

Dotčená osoba má právo na to, aby správce bez zbytečného odkladu vymazal osobní údaje, které se jí týkají.

Správce je povinen bez zbytečného odkladu vymazat osobní údaje, pokud dotčená osoba uplatnila právo na jejich vymazání, pokud

  1. osobní údaje již nejsou potřebné pro účely, pro které byly získány nebo jinak zpracovány,
  2. dotčená osoba odvolá souhlas, podle kterého se zpracovávání osobních údajů provádí, a neexistuje žádný jiný právní důvod pro zpracování osobních údajů,
  3. dotčená osoba namítá zpracování osobních údajů a nepřeváží žádné oprávněné důvody pro zpracování osobních údajů nebo dotčená osoba namítá zpracování osobních údajů při převládajících oprávněných zájmech správce,
  4. osobní údaje jsou zpracovávány nezákonně,
  5. je důvodem pro vymazaní splnění povinnosti podle tohoto zákona, zvláštního zákona nebo mezinárodní smlouvy, kterou je Česká republika vázána,
  6. osobní údaje jsou získávány v souvislosti s poskytováním služeb informační společnosti.

Pokud správce zveřejnil osobní údaje a je povinen je vymazat, je rovněž povinen přijmout přiměřená bezpečnostní opatření, včetně technických opatření, s ohledem na dostupnou technologii a náklady na jejich provádění, aby mohl informovat ostatní správce, kteří zpracovávají osobní údaje dotčené osoby o jeho žádosti, aby tito správci vymazali její osobní údaje a jejich kopie nebo opisy.

Výše uvedené neplatí, je-li zpracování osobních údajů nezbytné

  1. pro uplatnění práva na svobodu projevu nebo práva na informace,
  2. pro splnění povinnost podle tohoto zákona, zvláštního zákona nebo mezinárodní dohody, jíž je Česká republika vázána nebo pro splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci svěřené správci,
  3. z důvodů veřejného zájmu v oblasti veřejného zdraví,
  4. pro účely archivace pro vědecké účely pro účely historického výzkumu nebo pro statistické účely, pokud právo uvedené v odstavci 1 pravděpodobně naruší nebo vážně brání dosažení cílů tohoto zpracování, nebo
  5. pro uplatnění právního nároku.

Právo na omezení zpracování osobních údajů:

Dotčená osoba má právo na to, aby správce omezil zpracování osobních údajů pokud

  1. dotčená osoba popírá správnost osobních údajů v době, která umožňuje správci ověřovat správnost osobních údajů,
  2. zpracování osobních údajů je nezákonné a dotčená osoba namítá vymazání osobních údajů a žádá místo toho, aby správce omezil jejich použití,
  3. správce již nepotřebuje osobní údaje pro účely zpracování osobních údajů, ale potřebuje je dotčená osoba pro uplatnění právního nároku,
  4. dotčená osoba namítá zpracování osobních údajů při převažujících oprávněných zájmech správce, a to až do ověření, zda oprávněné důvody ze strany správce převažují nad oprávněnými důvody dotčené osoby.

Pokud bylo zpracování osobních údajů omezeno, s výjimkou uchovávání, může správce zpracovávat osobní údaje pouze se souhlasem dotčené osoby nebo za účelem výkonu právního nároku, ochrany osob nebo z důvodů veřejného zájmu.

Dotčenou osoba, jejíž zpracování osobních údajů je omezeno, je správce povinen informovat před tím, než bude zrušené omezení zpracování osobních údajů.

Oznamovací povinnost v souvislosti s opravou, vymazáním nebo omezením zpracování osobních údajů:

Správce je povinen oznámit příjemci opravu osobních údajů, vymazání osobních údajů nebo omezení zpracování osobních údajů, pokud se není nemožné nebo to nevyžaduje nepřiměřené úsilí.

Příjemce informuje dotčenou osobu, pokud to dotčená osoba požaduje.

Právo na přenositelnost, právo na námitky a automatizované individuální rozhodování

Právo na přenositelnost osobních údajů:

Dotčená osoba má právo získat osobní údaje, které se jí týkají a které poskytla správci ve strukturovaném, běžně používaném a strojově čitelném formátu a má právo převést tyto osobní údaje na jiného správce, je-li to technicky proveditelné a dotčená osoba udělila souhlas se zpracováním svých osobních údajů pro nejméně jeden konkrétní účel, výslovný souhlas se zpracováním určité kategorie osobních údajů pro alespoň jeden konkrétní účel nebo je to nezbytné pro účely plnění smlouvy a zpracování osobních údajů se provádí automatizovanými prostředky.

Uplatněním tohoto práva není dotčené právo na vymazání osobních údajů. Právo na přenositelnost se nevztahuje na zpracování osobních údajů nezbytných pro výkon úkolu vykonávaného ve veřejném zájmu nebo při výkonu veřejné moci svěřeného správci.

Toto právo nesmí omezit práva jiných osob.

Právo namítat zpracování osobních údajů:

Dotčená osoba má právo namítat zpracování svých osobních údajů z důvodu týkajícího se její konkrétní situace, pokud dochází ke zpracování osobních údajů nezbytných pro výkon úkolu ve veřejném zájmu nebo při výkonu veřejné moci svěřené správci, anebo je zpracování osobních údajů je nezbytné pro účely oprávněných zájmů správce nebo třetí osoby, s výjimkou případů, kdy tyto zájmy převažují nad zájmy nebo právy správce vyžadující ochranu osobních údajů, zejména
v případě, že dotčená osoba je dítětem; tento právní důvod se nevztahuje na zpracování osobních údajů orgány veřejné moci při plnění jejich úkolů, a to včetně profilování postaveného na těchto ustanoveních. Správce nesmí dále zpracovávat osobní údaje, pokud neprokáže nezbytné oprávněné zájmy pro zpracování osobních údajů, které převažují nad právy nebo dotčené osoby nebo důvody pro uplatnění právního nároku.

Dotčená osoba má právo namítat zpracování osobních údajů, které se jí týkají, pro účely přímého marketingu, včetně profilování v rozsahu, v jakém souvisí s přímým marketingem. Pokud dotčená osoba namítá zpracování osobních důvodů za účelem přímého marketingu, správce nesmí dále zpracovávat osobní údaje pro účely přímého marketingu.

Správce je povinen výslovně upozornit dotčenou osobu na tyto práva při první komunikaci uvedena zřetelně a odděleně s ní, přičemž informace o tomto právu musí být a informace tohoto práva musí být uvedena zřetelně a odděleně od jakýchkoli jiných informací.

V souvislosti s používáním služeb informační společnosti může dotčená osoba své právo namítat vykonávat automatizovanými prostředky s použitím technických specifikací.

Dotčená osoba má právo namítat zpracování osobních údajů, které se jí týkají, z důvodů týkajících se její konkrétní situace, s výjimkou případů, kdy je zpracování osobních údajů nezbytné pro splnění úkolu z důvodů veřejného zájmu, pokud se osobní údaje zpracovávají pro vědecký účel, pro účely historického výzkumu nebo pro statistické účely.

Automatizované individuální rozhodování včetně profilování:

Dotčená osoba má právo na to, aby se na ní nevztahovalo rozhodnutí, které je založeno výlučně na automatizovaném zpracování osobních údajů, včetně profilování, a které má právní účinky, které se jich týkají, nebo které ji obdobně významně ovlivňují.

To neplatí, pokud je rozhodnutí

  1. nezbytné pro uzavření smlouvy nebo plnění smlouvy mezi dotčenou osobou a správcem,
  2. učiněno na základě zvláštního zákona nebo mezinárodní smlouvy, kterou je Česká republika vázána, a tam, kde jsou přijata vhodná opatření, aby byla zaručena ochrana práv a oprávněných zájmů dotčené osoby, nebo
  3. na základě výslovného souhlasu dotčené osoby.

V případech a) a c) je správce povinen přijmout vhodná opatření na ochranu práv a oprávněných zájmů dotčené osoby, zejména právo ověřit rozhodnutí neautomatizovanými prostředky ze strany správce, právo vyjádřit své stanovisko a právo napadnout rozhodnutí.

Rozhodnutí a), b) a c) se nesmí opírat o zvláštní kategorie osobních údajů, s výjimkou případů, kdy se uplatňuje výslovný souhlas dotčené osoby nebo je zpracování nezbytné z důvodů veřejného zájmu podle tohoto zákona, zvláštního zákona nebo mezinárodní smlouvy, kterou je Česká republika vázána a které je úměrné sledovanému cíli, respektuje podstatu práva na ochranu osobních údajů a stanoví vhodná a konkrétní opatření k zajištění základních práv a zájmů dotčené osoby a současně jsou zavedena vhodná opatření, aby byla zaručena práva a oprávněné zájmy dotčené osoby.

3. Přiměřená bezpečnostní opatření

Správce v rámci své činnosti při zpracování osobních údajů přijímá následující technická
a organizační bezpečnostní opatření:

Správce zajistí přijetí těchto technických opatření v konkrétních podmínkách:

Technická opatření realizovaná prostředky fyzické povahy:

Zajištění objektu mechanickými zábrannými prostředky – uzamykatelné bezpečnostní dveře, uzamykatelná okna.

Zabezpečení objektu pomocí elektronických zabezpečovacích systémů-alarm.

Zabezpečení chráněného prostoru oddělením od ostatních částí objektu-stěny, uzamykatelné bezpečnostní dveře, uzamykatelná okna.

Protipožární opatření - hasicí přístroje, požární hlásiče, protipožární dveře.

Umístění důležitých prostředků informačních technologií v chráněném prostoru a ochrana informační infrastruktury před fyzickým přístupem neoprávněných osob a nepříznivými vlivy okolí – jejich umístění v uzamykatelném objektu, uzamykatelné kanceláři.


Bezpečné ukládání fyzických datových nosičů, včetně bezpečného uložení listinných dokumentů-jejich umístění v uzamykatelném objektu, v uzamykatelných kancelářích do uzamykatelné skříňky.


Opatření k zabránění náhodnému čtení osobních údajů ze zobrazovacích jednotek-vhodné umístění zobrazovacích jednotek, spořič obrazovky s přístupovým heslem.


Správce musí alespoň jednou měsíčně nebo po nesprávném ukončení nebo výpadku napájení zajistit systémovou kontrolu pevného disku (scandisk).


Správce používá trvalý zdroj napájení.


Ochrana proti neoprávněnému přístupu


Ochrana uložených a přenášených dat šifrováním.

Anonymizace osobních údajů.

Pravidla pro přístup třetích stran do informačního systému, pokud k takovému přístupu dochází – nedochází.

Pravidla pro přístup zpracovatele do informačního systému, pokud k takovému přístupu dochází – na základě konkrétní smlouvy mezi správcem a zpracovatelem.

Řízení přístupu oprávněných osob

Řízení přístupů a opatření k zajištění platných politik řízení přístupu - na základě poučení oprávněných osob.

Řízení zranitelnosti

Opatření ke zjištění a odstranění škodlivého kódu a odstranění následků škodlivého kódu-instalace a pravidelné aktualizace antivirového systému.

Ochrana před nevyžádanou elektronickou poštou - antispamový systém, neotvírání podezřelých e-mailů a odkazů.

Použití legálního softwaru a software schváleného správcem.

Správce pravidelně aktualizuje operační systém a programové aplikační vybavení.

Bezpečné a kontrolované stahování souborů z veřejně přístupné počítačové sítě.

Shromažďování informací o technické zranitelnosti informačních systémů, vyhodnocování úrovní rizik a implementace opatření k potlačení těchto rizik.

Zabezpečení sítě

Kontrola propojení informačního systému, ve kterém jsou zpracovávány osobní údaje s veřejně přístupnou počítačovou sítí – antivirový program, antispamový program, neotvírání podezřelých e-mailů a odkazů.

Ochrana vnějšího a vnitřního prostředí prostřednictvím nástrojů zabezpečení sítě – firewall, switch.

Zabránění připojení k určitým rizikovým adresám, používání síťových protokolů.

Definování složitých přístupových práv a hesel do aplikací a do síťových adresářů.

Provádět pravidelnou aktualizaci firmwaru aktivních síťových prvků. Při změně aktivních síťových prvků, jinak s frekvencí každých 4-5 let, provádět penetrační testování síťové infrastruktury útokem na perimetr zvenčí. Přiměřeně renovovat síťovou infrastrukturu, aktivní prvky pravidelně vyměňovat každých 4-5 let.

Ochrana před jinými hrozbami přicházející z veřejně přístupné počítačové sítě (např. hackerský útok) - chránění WiFi silným heslem, změnit přednastavená tovární výchozí hesla, neznámé programy neinstalovat.

Aktualizace operačního systému a programového aplikačního vybavení - software.

Zálohování

Testování funkčnosti zálohovacích nosičů dat - externí server.

Vytváření záloh s předem zvolenou frekvencí (denně, týdně, měsíčně).

Určení doby uchovávání záloh a kontroly jejího dodržování - po dobu nezbytnou pro dosažení účelu zpracování kontrola, zda účel trvá.

Test obnovy informačního systému ze zálohy.

Bezpečné ukládání záloh - šifrování a ukládání zálohovacích médií – zabezpečení zamykáním.

Test obnovitelnosti informačního obsahu zničených aktiv živelnou pohromou ze zálohy.

Likvidace osobních údajů a nosičů dat

Technická opatření pro bezpečné vymazání osobních údajů z nosičů dat.

Správce všechny nepotřebné listiny s osobními údaji bezodkladně likviduje skartováním.

Nepotřebné dokumenty s osobními údaji správce nikdy nehází do koše.

Zařízení pro mechanické zničení datových nosičů osobních údajů - zařízení pro skartaci písemných dokumentů a rozbití datových médií.

Správce zajistí přijetí těchto organizačních opatření v konkrétních podmínkách:

Personální opatření

Pověření osoby správcem nebo zpracovatelem, která má přístup k osobním údajům – k osobním údajům má přístup jen správce a oprávněné osoby.

Pokyny správce pro zpracování osobních údajů zejména

stanovení osobních údajů, ke kterým má oprávněná osoba přístup za účelem plnění svých povinností nebo úkolů,

určení postupů, které je oprávněná osoba povinna uplatnit při zpracování osobních údajů,

určení základních postupů nebo operací s osobními údaji,

určení odpovědnosti za porušení tohoto zákona nebo zvláštního zákona,

povinnost zachovávat mlčenlivost o osobních údajích dotčené osoby a zákaz předkládat osobní údaje dotčených osob neoprávněným osobám,

poučení o informační povinnosti správce – oprávněná osoba informuje dotčenou osobu
o zpracování osobních údajů a o právech dotčené osoby, pokud jsou osobní údaje získávány přímo od dotčené osoby při prvním získání osobních údajů a pokud nejsou osobní údaje získány přímo od dotčené osoby nejpozději do 30 dnů od jejich získání,

poučení o postupech spojených s automatizovanými prostředky zpracování a s nimi souvisejícími právy a povinnostmi (v prostorách správce a mimo tyto prostory).

- Příloha 3 Poučení oprávněné osoby

Správce prokazatelně informuje dotčenou osobu o zpracování osobních údajů a o právech dotčené osoby, pokud jsou osobní údaje získávány přímo od dotčené osoby při prvním získání osobních údajů a pokud osobní údaje nejsou získány přímo od dotčené osoby do 30 dnů od jejich nabytí.

- Příloha 4 informační povinnosti správce a práva dotčené osoby

Vedení a pravidelná aktualizace záznamů o zpracovatelských činnostech správce v informačních systémech.

Příloha č. 5 záznam o postupech zpracování

Řízení aktiv


Vedení inventárního seznamu majetku a jeho pravidelná aktualizace.


Evidence všech míst propojení sítí včetně propojení s veřejně přístupnou počítačovou sítí – v rámci provozu, chráněného prostoru správce a zpracovatelů - správce aplikace webu www.24doctor.cz a společnost sdružující lékaře.


Řízení přístupu osob k osobním údajům


Pravidla týkající se fyzického vstupu do objektu a chráněných prostor správce - pouze v doprovodu správce nebo oprávněné osoby.


Správa klíčů – klíči od chráněného prostoru disponuje je správce a oprávněné osoby

Zápis o přidělení klíčů konkrétní oprávněné osobě.


Bezpečné uložení rezervních klíčů do uzamykatelné skříňky nebo trezoru, od kterého má klíče jen správce.


Politika hesel a pravidla pro použití autorizačních a autentizačních prostředků – do počítačového systému a informačních systémů se správce a oprávněné osoby přihlašují prostřednictvím přístupových hesel, občasná změna hesel správcem.


Organizace zpracování osobních údajů


Za účelem prokázání souladu s Nařízením GDPR přijme správce pravidla pro zpracování osobních údajů v chráněném prostoru ve formě dokumentace o přiměřených zárukách ochrany osobních údajů správce, jejichž obsahem jsou technické a organizační opatření přijatá správcem
v konkrétních podmínkách provozu a ve formě přiměřených bezpečnostních politik správce (kodex chování).


Příloha č. 9 přiměřené politiky správce (kodex chování)


Nepřetržitá přítomnosti správce nebo oprávněné osoby v chráněném prostoru, jsou-li v něm přítomny i jiné osoby.

Režim údržby a úklidu chráněných prostor se zajišťuje oprávněnou osobou.

Pravidla pro zpracování osobních údajů mimo chráněný prostor, pokud se takové zpracování předpokládá, se nevyskytují.


Likvidace osobních údajů


Bezpečné vymazání osobních údajů z nosičů dat, likvidace datových nosičů a fyzických nosičů osobních údajů skartováním, rozbitím datových médií.

Správce a oprávněné osoby neprodleně zlikvidují veškeré nepotřebné dokumenty s osobními údaji skartováním.

Nepotřebné dokumenty s osobními údaji správce a oprávněné osoby nebudou nikdy vhozeny do koše.


Porušení ochrany osobních údajů

V případě jakéhokoli porušení ochrany osobních údajů je oprávněná osoba povinna neprodleně nahlásit správci incident.

Oznámení o narušení ochrany osobních údajů úřadu a dotčené osobě za účelem včasného přijetí preventivních nebo nápravných opatření - úřadu do 72 hodin, od zjištění bezpečnostního incidentu, neprodleně dotčené osobě.

Periodická kontrola záznamů událostí, záznamů aktivit uživatelů, záznamů výjimek.

Evidence o porušování ochrany osobních údajů a o přijatých opatřeních.

Identifikace a individuální řešení jednotlivých typů porušení ochrany osobních údajů.

Odstraňování následků porušení ochrany osobních údajů.

Zajistit kontinuitu při haváriích, poruchách a dalších nouzových situacích. Při poruše, údržbě nebo opravě automatizovaných prostředků zpracování.

- Příloha č. 6 ZÁZNAM O BEZPEČNOSTNÍM INCIDENTU

Kontrolní činnost


Kontrolní činnost zaměřená na dodržování bezpečnostních opatření přijatých správcem nejméně jednou za 3 měsíce nebo náhodně.

- Příloha č. 7 ZÁZNAM Z KONTROLNÍ ČINNOSTI SPRÁVCE

Dodavatelské vztahy

Ověření dostatečných záruk – zpracovatelem přijaté a zdokumentované přiměřené záruky politiky ochrany osobních údajů, resp. kodex chování nebo certifikát.

Začlenění požadavků na ochranu údajů do požadavků na nové systémy a do pravidel pro vývoj
a nákup systémů.

Zahrnutí požadavků na ochranu údajů do smluvních vztahů s dodavateli a třetími stranami.

Testování bezpečnostních funkcí při vývoji systému.

Sledování a pravidelný přezkum úrovně bezpečnosti služeb poskytovaných dodavateli.

Příloha č. 8 SMLOUVA MEZI SPRÁVCEM A ZPRACOVATELEM