GDPR

Informace o ochraně osobních údajů

Integrovaná střední škola Slavkov u Brna, příspěvková organizace
Tyršova 479, 684 01 SLAVKOV U BRNA
IČ: 49 408 381
tel.: 544 221 581

Směrnice – č. 15/2020
Datum: 2020-09-01
Závaznost: směrnice je závazná pro všechny zaměstnance ISŠ Slavkov u Brna, příspěvková organizace

Platnost: od 1. září 2020
Účinnost: od 1. září 2020

Směrnice o ochraně osobních údajů

Na základě ustanovení § 302 zákona č. 262/2006 Sb., zákoníku práce, nařízení EU 2016/679, obecného nařízení o ochraně osobních údajů (dále jen „nařízení GDPR“) a zákona č. 110/2019 Sb., o zpracování osobních údajů, vydal statutární orgán Integrované střední školy Slavkov u Brna, příspěvkové organizace (dále jen „Správce“) tuto směrnici o ochraně osobních údajů.

I. Působnost směrnice

  1. Tato směrnice upravuje pravidla pro zpracování a ochranu osobních údajů žáků Správce, jejich zákonných zástupců, zaměstnanců Správce, jakož i dalších osob, které poskytují své osobní údaje Správci (např. smluvní partneři, uchazeči o zaměstnání, osoby vstupující
    do budovy Správce, účastnící soutěží, cizí strávníci apod.).
  2. Tato směrnice je závazná pro všechny zaměstnance Správce.

II. Základní pojmy 

  1. Osobními údaji se rozumí veškeré údaje, které umožňují přímou či nepřímou identifikaci osoby jako subjektu údajů v textové, obrazové nebo jiné formě. Osobními údaji jsou také údaje, kterými může být osoba identifikována v čase a místě včetně kybernetického prostoru.
  2. Mezi zvláštní kategorie osobních údajů patří údaje o:
    1. národnostním, rasovém nebo etnickém původu,
    2. politických postojích,
    3. členství v odborech,
    4. náboženském či filozofickém přesvědčení,
    5. zpracování genetických a biometrických údajů,
    6. zdravotním stavu,
    7. sexuálním životě nebo sexuální orientaci.
  3. Subjektem osobních údajů je fyzická osoba, jejíž osobní údaje jsou předmětem zpracování.
  4. Správcem osobních údajů je veřejná škola jako právnická osoba a zároveň orgán veřejné moci v rozsahu působnosti a pravomocí veřejné školy, která zpracovává osobní údaje, případně zvláštní kategorie osobních údajů.
  5. Příjemcem osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytovány, ať už se jedná o  třetí stranu či nikoli.
  6. Zpracovatelem osobních údajů je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který jménem Správce zpracovává osobní údaje. Pro Správce může provádět jen takové zpracovatelské operace, kterými jej Správce pověří nebo vyplývají z činnosti, kterou byl zpracovatel Správcem pověřen. Zpracováním osobních údajů může být pověřen i Správce.
  7. Třetí stranou je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který není subjektem údajů, správcem, zpracovatelem ani osobou přímo podléhající Správci nebo zpracovateli.
  8. Pověřencem pro ochranu osobních údajů je subjekt, který dohlíží na dodržování opatření k ochraně osobních údajů, poskytuje informace a poradenství zaměstnancům Správce a zpracovatelům Správce a spolupracuje s dozorovým úřadem v souladu s právními předpisy a nařízením GDPR.
  9. Porušením zabezpečení osobních údajů se rozumí takové porušení, které vede k náhodnému, úmyslnému nebo protiprávnímu úniku, zničení, ztrátě, změně, neoprávněnému poskytnutí nebo zpřístupnění osobních údajů.
  10. Souhlasem se zpracováním osobních údajů je projev vůle subjektu osobních údajů, kterým tento dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů pro určitý účel.
  11. Ochranou osobních údajů se rozumí zajištění správy a zabezpečení osobních údajů v souladu s nařízením GDPR a dalšími platnými právními předpisy.
  12. Zpracováním osobních údajů se rozumí nakládání s osobními údaji, které zahrnuje shromažďování, uchovávání, používání a případné poskytování osobních údajů k různým účelům a různým osobám, jakož i veškerá právní jednání spojená s jejich likvidací.
  13. Pověřeným pracovníkem se rozumí zaměstnanec Správce, který je oprávněn zpracovávat osobní údaje v rozsahu nezbytném pro naplnění pracovních povinností definovaných v pracovní smlouvě, interních pracovně-právních předpisech Správce či jiných dokumentech obdobného charakteru nebo na základě individuálního pokynu Správce.
  14. Vedením Správce se rozumí ředitel Správce a jeho zástupci.

III.  Základní zásady zpracování a ochrany osobních údajů

  1. K zajištění ochrany osobních údajů musí být při jejich zpracování uplatňovány tyto zásady:
    1. zajištění transparentnosti, zákonnosti a korektnosti účelu a způsobu zpracovávání osobních údajů,
    2. jasné vymezení účelu, pro který jsou osobní údaje zpracovávány a podmínek jejich zpracování,
    3. omezení rozsahu shromažďovaných osobních údajů na údaje nezbytné pro naplnění daného účelu zpracování,
    4. zajištění přesnosti a aktuálnosti zpracovávaných osobních údajů,
    5. omezení zpracování osobních údajů pouze na dobu nezbytně nutnou pro naplnění účelu jejich zpracování,
    6. zabezpečení osobních údajů a zajištění jejich integrity, utajení a ochrany vhodnými organizačními a technickými opatřeními.

IV. Zákonnost zpracování osobních údajů

  1. Ke zpracování osobních údajů je nutný tzv. právní důvod. Zpracovávat osobní údaje je možné, pokud je naplněn alespoň jeden z následujících právních důvodů:
    1. subjekt údajů udělil kvalifikovaný souhlas se zpracováním osobních údajů pro jeden či více konkrétních účelů,
    2. zpracování je nezbytné pro splnění smlouvy, jejíž smluvní stranou je subjekt údajů, nebo pro provedení opatření přijatých před uzavřením smlouvy na žádost subjektu údajů,
    3. zpracování je nezbytné pro splnění právní povinnosti, která se na Správce vztahuje,
    4. zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů nebo jiné fyzické osoby,
    5. zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo
      při výkonu veřejné moci, kterým je Správce pověřen,
    6. zpracování je nezbytné pro účely oprávněných zájmů Správce či třetí strany s výjimkou případů, kdy před těmito zájmy mají přednost zájmy nebo základní práva a svobody subjektu údajů.
  2. Pokud je zamýšleno zpracování osobních údajů pro jiný účel, než pro který byly původně shromážděny, je nezbytné zjistit, zda je zpracování pro tento jiný účel slučitelné s původním účelem zpracování.

    Zpracování zvláštních kategorií osobních údajů

    1. Zakazuje se zpracování osobních údajů, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, zpracování genetických a biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či sexuálním životě nebo sexuální orientaci fyzické osoby.
    2. Výjimky ze zákazu dle tohoto článku jsou uvedeny v čl. 9 nařízení GDPR, a to především:
      1. Subjekt údajů udělil výslovný souhlas se zpracováním těchto osobních údajů pro jeden nebo více stanovených účelů,
      2. zpracování je nezbytné pro účely plnění povinností a výkon zvláštních práv Správce nebo subjektu údajů v oblasti pracovního práva a práva v oblasti sociálního zabezpečení a sociální ochrany,
      3. zpracování se týká osobních údajů zjevně zveřejněných subjektem údajů,
      4. zpracování je nezbytné pro určení, výkon nebo obhajobu právních nároků,
      5. zpracování je nezbytné z důvodu významného veřejného zájmu na základě práva Unie nebo členského státu,
      6. zpracování je nezbytné pro účely preventivního nebo pracovního lékařství,
        pro posouzení pracovní schopnosti zaměstnance,
      7. zpracování je nezbytné pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické účely v souladu s čl. 89 odst. 1 nařízení GDPR.

    VI. Zpracování osobních údajů Správce prostřednictvím zpracovatele

    1. Správce osobních údajů může pověřit zpracováním osobních údajů zpracovatele. Zpracovatel může pro Správce zpracovávat osobní údaje pouze na základě písemné zpracovatelské smlouvy dle čl. 28 odst. 3 nařízení GDPR.
    2. V této smlouvě musí být vždy jednoznačně stanoven předmět a doba trvání zpracování osobních údajů, povaha a účel zpracování, typ osobních údajů a kategorie subjektů údajů a veškeré povinnosti a práva Správce a zpracovatele.
    3. Ve zpracovatelské smlouvě musí být zejména stanoveny následující povinnosti zpracovatele:
      1. přijmout všechna bezpečnostní, technická, organizační a jiná opatření požadovaná
        v čl. 32 nařízení GDPR,
      2. nezapojit do zpracování žádné další osoby bez předchozího písemného souhlasu Správce,
      3. zpracovávat osobní údaje pouze na základě doložených pokynů Správce,
      4. zajistit, aby se osoby oprávněné zpracovávat osobní údaje zavázaly k  mlčenlivosti nebo aby se na ně vztahovala zákonná povinnost mlčenlivosti,
      5. být Správci bez zbytečného odkladu nápomocen při plnění povinností Správce
        při zpracovávání osobních údajů, zejména povinností reagovat na žádosti o výkon práv subjektů údajů, ohlašovat případy porušení zabezpečení osobních údajů dozorovému úřadu dle čl. 33 nařízení GDPR, oznamovat případy porušení zabezpečení osobních údajů subjektu údajů dle čl. 34 nařízení GDPR, posoudit vliv na ochranu osobních údajů dle čl. 35 nařízení GDPR a provádět předchozí konzultace dle čl. 36 nařízení GDPR
        a za tímto účelem zajistit nebo přijmout vhodná technická a organizační opatření,
      6. po ukončení poskytování služeb řádně naložit se zpracovávanými osobními údaji, především všechny osobní údaje vymazat, nebo je vrátit Správci, vymazat veškeré existující kopie osobních údajů apod.,
      7. poskytnout Správci veškeré informace potřebné k doložení toho, že byly splněny povinnosti stanovené Správci nařízením GDPR a zákonem č. 110/2019 Sb.,
      8. umožnit Správci či jinému příslušnému orgánu kontroly, audity či inspekce zpracování osobních údajů,
      9. poskytnout bez zbytečného odkladu nebo ve lhůtě, kterou stanoví Správce, součinnost potřebnou pro plnění zákonných povinností Správce spojených s ochranou osobních údajů.
    4. Zpracovatelská smlouva musí obsahovat vhodné záruky splnění povinností zpracovatele, např. finanční záruky nebo smluvní pokuty. Pro případ závažného porušení povinností zpracovatele (např. neoprávněné předání zpracovávaných osobních údajů třetí osobě) musí být ve smlouvě upraveno právo Správce odstoupit od smlouvy. Dále musí zpracovatelská smlouva obsahovat právo Správce smlouvu vypovědět, včetně stanovení přiměřené výpovědní lhůty.

    VII.  Shromažďování osobních údajů

    1. Správce shromažďuje a zpracovává pouze údaje, které jsou nezbytné pro:
      1. vedení personální a mzdové agendy Správce, souvisejí s pracovním a mzdovým zařazením zaměstnanců, sociálním a zdravotním pojištění (např. dosažené vzdělání, délka praxe, funkční zařazení apod.),
      2. identifikaci žáka ze zákona, ochranu oprávněných zájmů, plnění smluvních povinností a na základě souhlasu se zpracováním osobních údajů (jméno, příjmení, datum narození, místo narození, rodné číslo, státní příslušnost, bydliště, údaje o zdravotním stavu, zdravotní pojišťovna apod.),
      3. identifikaci zákonných zástupců žáků v souladu se zákonem, plněním smluvních povinností a na základě souhlasu se zpracováním osobních údajů (jméno, příjmení, datum narození, bydliště, telefonní kontakt, e-mail, číslo účtu pro potřeby plateb poplatků Správci, další údaje nezbytné pro vydání správního rozhodnutí apod.),
      4. plnění smluvních povinností Správce ve vztahu ke svým smluvním partnerům a povinností Správce vyplývajících ze zvláštních právních předpisů (vedení účetnictví, daňového účetnictví apod.),
      5. identifikaci osob vstupujících do budovy Správce (jméno, příjmení, podoba),
      6. plnění smluvních povinností Správce ve vztahu k externím strávníkům (jméno, příjmení, rodné číslo, bydliště, telefon apod.),
      7. plnění smluvních povinností Správce ve vztahu k externím žadatelům o přijetí k výuce a výcviku pro získání řidičského oprávnění (jméno, příjmení, rodné číslo, adresa bydliště, telefon apod.),
      8. pořádání a realizaci soutěží (jméno, příjmení, telefon, e-mail, fotografie, videozáznamy, datum narození apod.),
      9. poskytování ubytovacích služeb (jméno, příjmení, telefon, e-mail, bydliště apod.).
    2. Přesná specifikace rozsahu zpracovávaných osobních údajů včetně důvodů zpracování je uvedena v záznamech o činnostech zpracování, které jsou nedílnou součástí této směrnice.
    3. Osobní údaje jsou uchovávány v listinné i v elektronické podobě.
    4. V listinné podobě Správce eviduje osobní údaje:
      1. zaměstnanců:
        1. v jeho osobním spisu umístěném na sekretariátu ředitele Správce v uzamykatelné skříni, do které má přístup pouze vedení Správce a provozní zaměstnanec,
        2. v knize úrazů zaměstnanců uložené na sekretariátu ředitele Správce v uzamykatelné skříni, do které má přístup pouze vedení Správce a provozní zaměstnanec a
        3. dále krátkodobá dokumentace uložená v kanceláři ředitele Správce v uzamykatelné skříni, do které má přístup pouze vedení Správce a provozní zaměstnanec;
      2. zákonných zástupců žáka:
        1. ve spisu založeném v rámci přijímání žáka ke vzdělávání a v matrice školy umístěných na sekretariátu ředitele Správce v uzamykatelné skříni, do které má přístup pouze vedení Správce a provozní zaměstnanec;
      3. žáků:
        1. v  matrice školy a dokumentech vedených v souladu s ustanovením školského zákona nebo v materiálech plnící obdobnou funkci, na sekretariátu ředitele Správce v uzamykatelné skříni, do které má přístup pouze vedení Správce a provozní zaměstnanec,
        2. v katalogovém listě umístěném v kanceláři v uzamykatelné skříni, do které má přístup pouze vyučující pedagog daného žáka,
        3. v knize úrazů žáků uložené na sekretariátu ředitele, v kanceláři ZŘTV, UOV, na OP Rousínov, VUOV pro gastro obory a automechaniky s povoleným přístupem pouze pověřeným osobám, které provádí zápis,
        4. v přihláškách žáků ke stravování uložených v kanceláři vedoucí stravování v uzamykatelné skříni, do které má přístup pouze vedení Správce a provozní zaměstnanec,
        5. v žádostech o přijetí k výuce a výcviku pro získání řidičského oprávnění uložených v kanceláři VUOV pro automechaniky v uzamykatelné skříni, do které má přístup pouze vedení Správce a provozní zaměstnanec;
      4. obchodních a smluvních partnerů:
        1. ve spisu uloženém v kanceláři vedoucího EÚ, kanceláři ZŘPV a kanceláři ředitele Správce v uzamykatelné skříni, do které má přístup pouze vedení Správce
          a provozní zaměstnanec;
      5. osob vstupujících do budovy Správce:
        1. v knize návštěv uložené ve vychovatelně v uzamykatelné místnosti s přístupem pouze vychovatelek;
      6. externích strávníků:
        1. v dokumentaci uložené v uzamykatelné kanceláři s přístupem pouze vedoucí školní jídelny;
      7. klientů autoškoly:
        1. v dokumentaci uložené v uzamykatelné kanceláři s přístupem pouze vedoucího učitele pro technické obory;
      8. soutěžících:
        1. v dokumentaci dané soutěže umístěné v uzamykatelné kanceláři s přístupem pouze zástupce ředitele pro teoretickou výuku a zástupce ředitele pro praktickou výuku;
      9. ubytovaných osob:
        1. v dokumentaci umístěné v uzamykatelné skříni s přístupem pouze vychovatelek a bezpečnostního pracovníka;
    5. V elektronické podobě Správce eviduje osobní údaje:
      1. zaměstnanců:
        1. na síti Správce na speciálním rozhraní chráněném přístupovým jménem a heslem s přístupem pouze pověřených pracovníků Správce; vedoucí pověření pracovníci mají zřízen dálkový přístup na server Správce, a to po přihlášení pod individuálním přihlašovacím jménem a heslem v rámci sítě VPN, jednotlivá rozhraní na síti nejsou sdílena a pověření pracovníci mají přístup jen do svého rozhraní;
      2. žáků a jejich zákonných zástupců:
        1. v databázi matriky uložené na speciálním rozhraní sítě Správce; vstup do databáze školní matriky je chráněn individuálním přístupovým jménem a heslem a přístupová hesla mají k dispozici pouze pedagogičtí pracovníci Správce a vedení Správce; rozsah oprávnění jednotlivých pověřených pracovníků je vedením Správce omezen dle pracovního zařazení; vedoucí pověření pracovníci mají zřízen dálkový přístup
          na server Správce, a to po přihlášení pod individuálním přihlašovacím jménem a heslem v rámci sítě VPN, jednotlivá rozhraní na síti nejsou sdílena a pověření pracovníci mají přístup jen do svého rozhraní; zákonní zástupci žáků mají umožněn přístup pouze k údajům svého dítěte, a to na speciálním rozhraní sítě chráněném individuálním přístupovým jménem a heslem;
      3. smluvních partnerů:
        1. na síti Správce na speciálním rozhraní chráněném přístupovým jménem a heslem s přístupem pouze účetní Správce;
      4. osob vstupujících do budovy Správce:
        1. na síti Správce na speciálním rozhraní chráněném přístupovým jménem a heslem s přístupem pouze administrátora počítačové sítě Správce a vedení Správce;
      5. externích strávníků:
        1. na síti Správce na speciálním rozhraní chráněném přístupovým jménem a heslem s přístupem pouze vedoucí školní jídelny;
      6. klientů autoškoly:
        1. na síti Správce na speciálním rozhraní chráněném přístupovým jménem a heslem s přístupem pouze vedoucího učitele pro technické obory a pracovníka ICT Správce;
      7. soutěžících:
        1. na síti Správce na speciálním rozhraní chráněném přístupovým jménem a heslem s přístupem pouze zástupce ředitele pro teoretickou výuku, zástupce ředitele
          pro praktickou výuku, ředitele Správce a pracovníka ICT Správce.
    6. Osobní údaje se uchovávají pouze po dobu, která je nezbytná k účelu jejich zpracování a 
      po dobu nezbytné archivace. Lhůty pro ukládání osobních údajů jsou specifikovány v záznamech o činnostech zpracování, které jsou nedílnou součástí této směrnice.
    7. Pro statistické účely je nutné osobní údaje anonymizovat.

    VIII.  Přístup k  osobním údajům

    1. K osobním údajům mají přístup pouze pověření pracovníci, kteří je potřebují pro řádný výkon své pracovní náplně.
    2. Právo nahlížet do osobního spisu zaměstnance má výhradně příslušný zaměstnanec, který
      si může činit výpisky a pořizovat si stejnopisy dokladů v něm obsažených, a to na náklady zaměstnavatele (§ 312 zákona č. 262/2006 Sb., zákoníku práce), případně též osoby, o kterých tak výslovně stanoví zvláštní právní předpis. Osobní údaje zaměstnanců
      se předávají orgánům veřejné správy, zdravotní pojišťovně a případně zpracovatelům osobních údajů, a to pouze pro naplnění účelu zpracování.
    3. Do spisu, který je veden ve správním řízení (např. v rámci přijímacího řízení), mají přístup jeho účastníci, vedení Správce a osoba, která je zmocněna s úředním spisem pracovat
      po dobu správního řízení.
    4. Právo nahlížet do osobního spisu žáka či pořizovat z něj výpisy a opisy má výhradně žák nebo jeho zákonní zástupci. Osobní údaje žáka jsou předávány zpracovatelům osobních údajů, pouze pokud je toto předání v souladu s účelem jejich zpracování. Do osobních údajů žáka o jeho zdravotním stavu, zpráv o vyšetření ve školním poradenském zařízení a lékařských zpráv mají přístup pouze pedagogičtí pracovníci školy, kteří žáka přímo vyučují, výchovný poradce, ředitel a zástupci ředitele.
    5. K osobním údajům obchodních a smluvních partnerů má přístup pouze vedení Správce. Osobní údaje smluvních partnerů jsou předávány zpracovatelům osobních údajů výhradně, pokud je toto předání v souladu s účelem zpracování, především poskytovateli IT služeb či externí účetní.
    6. Osobní údaje mohou být dále předány orgánům státní správy, jestliže o jejich zpřístupnění požádají v souladu se zvláštními právními předpisy, za podmínek stanovených zákonem a
      při výkonu své činnosti.
    7. Jestliže se jakýkoliv pracovník dostane do kontaktu s osobními údaji, které není oprávněn zpracovávat, nebo které nejsou uloženy a zabezpečeny v souladu s touto směrnicí, je o této skutečnosti povinen bezodkladně informovat vedení Správce. 

      Souhlas se zpracováním osobních údajů

      1. Ke zpracování osobních údajů a zvláštní kategorie osobních údajů nad rozsah daný právními předpisy je nezbytný informovaný souhlas dotčené osoby dle čl. 7 nařízení GDPR.
      2. Pověřený pracovník prokazatelně zajistí před zahájením zpracování osobních údajů dle odst. 1 tohoto článku informovaný souhlas se zpracováním takovýchto osobních údajů a poučí subjekt údajů o jeho právech.

      X. Organizační opatření k ochraně osobních údajů v organizaci Správce a koncepce s jejich nakládáním vč. procesu zvládání incidentů

      1. Všichni pracovníci jsou povinni dodržovat při zpracování osobních údajů nařízení GDPR, zákon č. 110/2019 Sb. a další platné právní předpisy.
      2. Veškeré listinné dokumenty obsahující osobní údaje musí být uloženy na místě k tomuto určeném tak, jak je popsáno v čl. VII. této směrnice, s výjimkou doby, po kterou s těmito osobními údaji pracuje pověřený pracovník.
      3. Pověřený pracovník je povinen přijmout veškerá opatření nezbytná pro ochranu a zabezpečení osobních údajů, aby nemohlo dojít k jejich ztrátě, zničení, zcizení či zneužití. Pověřený pracovník je povinen mít osobní údaje uloženy na pracovním místě a pod svým dohledem. Při opuštění pracovního místa má pověřený pracovník povinnost se ujistit,
        že osobní údaje jsou zabezpečeny před neoprávněným přístupem, a to jejich uložením
        do uzamykatelného kontejneru/skříně nebo uzamčením místnosti, ve které se osobní údaje nachází.
      4. Pověřený pracovník je oprávněn předat osobní údaje pouze subjektu osobních údajů nebo osobě, která je k tomuto výslovně oprávněna zákonem nebo prokazatelným pověřením subjektu osobních údajů. V případě pochybností je pověřený pracovník povinen obrátit se
        na vedení Správce. O předání čí zpřístupnění osobních údajů má pověřený pracovník povinnost provést písemný záznam, který musí být podepsaný pověřeným pracovníkem, který přístup k osobním údajům umožnil a  osobou, které byl přístup k osobním údajům umožněn.
      5. Každý pověřený pracovník je povinen zachovávat mlčenlivost o osobních údajích, které zpracovává v rámci plnění svých pracovních povinností a rovněž o bezpečnostních opatřeních Správce. Povinnost mlčenlivosti trvá i po ukončení pracovněprávního nebo jiného smluvního vztahu.
      6. Přístup k osobním údajům v elektronické podobě je zajištěn individuálními přihlašovacími jmény a hesly, které pověřeným pracovníkům vydává vedení Správce.
      7. Pověřený pracovník je povinen zachovávat přihlašovací údaje v tajnosti a přijmout taková opatření, aby nemohlo dojít k jejich zcizení či zneužití. Zakázáno je především předávání přihlašovacích údajů jinému zaměstnanci, třetí osobě, zapisování přihlašovacích údajů
        na veřejně dostupná místa či povolení automatického ukládání hesel v ICT technice Správce.
      8. V případě ztráty přihlašovacích údajů nebo podezření z jejich zneužití je pověřený pracovník povinen tuto skutečnost bezodkladně ohlásit vedení Správce. Vedení Správce zajistí deaktivaci přihlašovacích údajů a vydání přihlašovacích údajů nových.
      9. Pověřený pracovník je povinen odhlásit se z informačního systému Správce při ukončení práce s elektronickou databází osobních údajů.
      10. Písemnosti a mobilní/externí/přenosné technické nosiče informací obsahující osobní údaje musí být uchovávány pouze v uzamykatelných skříních na pracovištích Správce nebo musí být zabezpečeny systémem přístupových hesel či šifrováním.
      11. ICT technika Správce musí být zabezpečena před volným přístupem neoprávněných osob přístupovými hesly, šifrováním či uzamčením.
      12. Kopie osobních údajů musí být pořizovány na technické nosiče informací podle provozních pravidel Správce a uchovávány výhradně v uzamykatelných skříních na pracovištích Správce.
      13. Pokud pověřený pracovník Správce zjistí nebo nabude podezření z porušení zabezpečení osobních údajů, je povinen tuto skutečnost neprodleně oznámit vedení Správce a pověřenci pro ochranu osobních údajů.
      14. Ohlašování případů porušení zabezpečení osobních údajů dozorovému orgánu dle čl. 33 nařízení GDPR a oznamování případů porušení ochrany osobních údajů subjektům údajů
        dle čl. 34 nařízení GDPR provádí pověřenec pro ochranu osobních údajů ve spolupráci s vedením Správce.

      XI. Posouzení vlivu zpracování na ochranu osobních údajů

      1. V souladu s ust. § 10 zákona č. 110/2019 Sb., o zpracování osobních údajů, není Správce povinen provést posouzení vlivu zpracování osobních údajů, neboť osobní údaje zpracovává zejména z důvodu, že mu tak ukládají zvláštní právní předpisy, především zákon č. 561/2004 Sb., školský zákon.

      XII. Závěrečná ustanovení

      1. Porušení povinností dle této směrnice se považuje za podstatné porušení pracovních povinností.
      2. Kontrolou provádění této směrnice je pověřen statutární orgán Správce.
      3. Směrnice nabývá účinnosti dnem jejího vyhlášení.

      Tato směrnice ruší směrnici č. 11/2019 včetně všech příloh ze dne 24. 6. 2019.

      Mgr. Vladislava Kulhánková
      ředitelka školy