Organizační směrnice ČSTS OB06, dle nařízení Evropského parlamentu a Rady č. 2016/679 ze dne 27. 4. 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, privacy policy
(dále jen „obecné nařízení o ochraně osobních údajů nebo GDPR“)
1.1. Tato směrnice upravuje postupy správce, jeho členů, případně dalších osob při nakládání s osobními údaji, pravidla pro získávání, shromažďování, ukládání, použití, šíření a uchovávání osobních údajů. Směrnice rovněž upravuje některé povinnosti správce, jeho členů, případně dalších osob při nakládání s osobními údaji.
1.2. Tato směrnice je závazná pro všechny členy správce. Směrnice je závazná i pro další osoby, které mají se správcem jiný právní vztah a které se zavázaly postupovat podle této směrnice.
2.1. Osobní údaj (Čl. 4 odst. (1) GDPR): veškeré informace o identifikované nebo identifikovatelné fyzické osobě, identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor, nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.
2.2. Zpracování (Čl. 4 odst. (2) GDPR): jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů, jako je shromážďění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení nebo pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz nebo zničení.
2.3. Správce osobních údajů (Čl. 4 odst. (7) GDPR: fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů; jsou-li účely a prostředky tohoto zpracování určeny platnou legislativou a právem Unie.
2.4. Zpracovatel osobních údajů (Čl. 4 odst. (8) GDPR): fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
3.1. Při nakládání s osobními údaji se správce, jeho členové a další osoby řídí těmito zásadami:
4.1. Správce všechny osobní údaje, se kterými nakládá a které zpracovává, chrání vhodnými a dostupnými prostředky před zneužitím.
4.2. Správce zavede a zavádí taková opatření, aby o nakládání a zpracování osobních údajů měl dále přehled alespoň pověřenec správce nebo jím pověřená osoba.
4.3. Správce alespoň jednou za rok provede zhodnocení postupů při nakládání a zpracování osobních údajů a to formou průběžného auditu. Zhodnocení může být provedeno v rámci běžného pracovního režimu správce včetně písemného záznamu, např. v zápisu z porady výkonné rady. Zjistí-li se, že některé postupy správce jsou zastaralé, zbytečné nebo se neosvědčily, učiní správce bezodkladně nápravu.
4.4. Každý člen správce při nakládání s osobními údaji respektuje jejich povahu, tedy že jde o součást soukromí člověka jako subjektu údajů, a tomu přizpůsobí úkony s tím spojené. Každý člen správce zachová mlčenlivost o osobních údajích členů správce, stejně jako způsobu zabezpečení, zpracování, povaze, rozsahu, kontextu a účelu těchto osobních údajů, o nichž se dozví. Člen správce nesmí tyto informace zpřístupnit a nezneužít je ve svůj prospěch či prospěch třetích osob, dále pak nevystavit je přístupu neoprávněných osob ani nebezpečí ztráty, to i po skončení pracovního poměru.
4.5. Správce při nakládání a zpracovávání osobních údajů spolupracuje s pověřencem pro ochranu osobních údajů.
5.1. Správce osobních údajů provádí pravidelnou kontrolu ukládání osobních údajů na určená zabezpečená datová úložiště.
5.2. Veškeré listiny, které obsahují osobní údaje, jsou trvale uloženy v uzamykatelných skříních či prostorách v kanceláři oprávněných osob.
5.3. Správce vede záznamy o všech zpracováních, za které nese zodpovědnost.
5.4. Správce je povinný zavést vhodná technická a organizační opatření, aby zpracování údajů splňovalo požadavky GDPR a zaručovalo ochranu práv subjektů údajů.
5.5. Správce je povinen nejpozději do 72 hodin od doby, kdy se dozvěděl o narušení bezpečnosti, oznámit narušení pověřenci pro ochranu osobních údajů a starostu města a sepsat o tomto záznam. Statutární zástupce správce a pověřenec posuzují závažnost bezpečnostního incidentu z pohledu jeho hlášení Úřadu pro ochranu osobních údajů. o každém závažném incidentu informuje správce prostřednictvím pověřence Úřad pro ochranu osobních údajů. Členové správce zejména členové výkonné rady správce mají v této souvislosti povinnost informovat správce /prezidenta, v jeho nepřítomnosti kteréhokoliv z viceprezidentů/ bez zbytečného odkladu o narušení bezpečnosti případně hrozícím narušení bezpečnosti.
5.6. Stejnou informaci poskytne správce neprodleně i dotčenému subjektu. Výjimkou jsou případy, kdy správce zajistí, že riziko zneužití údajů se již nebude opakovat.
5.7. Před zahájením nového zpracování posoudí správce vliv na ochranu osobních údajů a v případě potřeby si vyžádá konzultaci u pověřence pro ochranu osobních údajů, případně u dozorového orgánu.
5.8. Správce osobních údajů je vázán mlčenlivostí o těchto údajích.
6.1. Souhlasem subjektu údajů se rozumí jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
6.2. Ke zpracování osobních údajů nad rozsah vyplývající ze zákonů a smluvních vztahů je nezbytný souhlas osoby, o jejíž osobní údaje se jedná.
6.3. Souhlas se poskytuje vždy na předem definovanou dobu a účel a může být v souladu s právními předpisy odvolán.
7.1.Tato směrnice je nedílnou součástí komplexní soustavy vnitřních předpisů města.
7.2.Tato směrnice byla schválena Výkonnou radou ČSTS dne 27. 11. 2018 a nabývá účinnosti dnem 15. 12. 2019.