Organizace: (dále "Správce" nebo "organizace")	Město Blansko se sídlem: nám. Svobody 32/3, 67801 Blansko IČ: 00279943
Pověřenec:	SEID, s.r.o., Ing. Milan Seidler, 684 01 Nížkovice 142, Tel: 724 094 634, IČ: 06632017, www.seid.cz (dále "Pověřenec")

---

Dne 25. května 2018 nabylo účinnosti Nařízení Evropského parlamentu a Rady EU 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES. (anglicky: General Data Protection Regulation odtud dále jen „GDPR“) a na něj navazuje zákon č.110/2019 O zpracování osobních údajů, ve znění pozdějších předpisů. Nařízení GDPR se týká zpracování osobních údajů fyzických osob. Mezi hlavní důvody přijetí nařízení GDPR patří rychlý rozvoj informačních technologií a s ním související proces globalizace. Bylo by nesprávné domnívat se, že jde jen o „další evropský předpis“. GDPR je totiž přímo aplikovatelné a k jeho přímé závaznosti není třeba další domácí zákon ani prováděcí předpisy.

Tímto nařízením se musí řídit správci a zpracovatelé osobních údajů ze všech zemí EU a ve všech odvětvích, včetně veřejné správy.

Osobním údajem je podle GDPR každá informace o identifikované nebo identifikovatelné fyzické osobě (subjektu údajů). Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor (jméno, číslo, síťový identifikátor) nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby.

Mezi obecné osobní údaje řadíme: jméno a příjmení, pohlaví, věk a datum narození, osobní stav, ale dnes již také IP adresu, fotografii nebo audiovizuální záznam. Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení zahrnuje genetické, biometrické údaje a zejména veškeré osobní údaje dětí.

Naopak z působnosti GDPR jsou vyloučeny anonymizované údaje, údaje zemřelých osob a údaje získané v rámci činnosti čistě osobní povahy, které nemají obchodní či institucionální charakter. (Týká se to tedy údajů, které jsou určeny jen pro osobní potřebu, a uživatel je nebude s nikým sdílet – např. soukromý adresář.)

V nařízení GDPR jsou nově zakotvena i některá práva subjektů osobních údajů, případně jsou některá stávající práva zpřesněna. Člověk, jehož osobní údaje správce eviduje má právo na poskytnutí informací o svých údajích nejen ve chvíli jejich předání, ale i kdykoli později. Pokud se to nedotkne práv jiných osob, má právo i na poskytnutí kopie svých údajů. Za další kopii už ale může organizace požadovat přiměřený poplatek. K dalším právům patří i právo na opravu nepřesných údajů, právo vznést námitku, např. proti dalšímu zasílání marketingových nabídek, a také právo na vymazání údajů, ale pouze pokud není relevantní důvod pro jejich další uchovávání.

Souhlasy poskytovatelů OSOBNÍCH ÚDAJŮ

Pro souhlasy se zpracováním osobních údajů jsou vytvořeny přehledné, snadno pochopitelné formuláře, zajišťující, aby byl souhlas informovaný, konkrétní a písemný. Písemná forma souhlasu se uchovává po celou dobu zpracování osobních údajů a to pouze v rámci uvedeného účelu a doby zpracování, ke kterému byl souhlas udělen. Zpracování osobních údajů je prováděno až po získání souhlasu.

V rámci jednotlivých souhlasů je poskytovatel osobních údajů informován o jeho právech ve vztahu k udělenému souhlasu vč. práva na odvolání/zrušení souhlasu se zpracováním osobních údajů.

Právo na přístup a opravu

Poskytovatel osobních údajů má právo na přístup k elektronicky zpracovávaným osobním údajům (tj. které osobní údaje jsou o něm zpracovávány a na základě jakého zákonného důvodu a k jakému účelu a době zpracování osobních údajů) a příp. i na jejich opravu, pokud jsou nepřesné, nebo neúplné. Oprava bude s ohledem na technické možnosti provedena neprodleně. Poskytovatel osobních údajů má povinnost při změně svých osobních údajů doložit, že k takové změně došlo. Zároveň je povinen poskytnout součinnost, bude-li zjištěno, že osobní údaje, které o něm správce zpracovává, nejsou přesné.

Právo na výmaz

Poskytovatel osobních údajů má právo na výmaz osobních údajů, které správce zpracovává, pokud toto zpracování není předmětem jiné zákonné povinnosti správce. Správce osobních údajů má nastaveny mechanismy pro zajištění automatické anonymizace či výmazu elektronicky vedených osobních údajů v případě, že již nejsou potřeba k účelu, pro nějž byly zpracovávány. Pokud se subjekt údajů domnívá, že nedošlo k výmazu jeho osobních údajů, může kontaktovat správce osobních údajů nebo pověřence.

Právo na námitku proti zpracování osobních údajů

Poskytovatel osobních údajů má právo na námitku proti zpracování osobních údajů. Toto právo je možno aplikovat, jsou-li osobní údaje zpracovávány správcem na základě oprávněného zájmu, nebo ve veřejném zájmu nebo při výkonu veřejné moci. Správce je povinen informovat poskytovatele osobních údajů na základě jakých zákonných důvodů příp. jakého výkonu veřejné moci ke zpracování osobních údajů dochází. V případě, že správce osobních údajů neprokáže, že existuje závažný oprávněný důvod pro zpracování, který převažuje nad zájmy nebo právy a svobodami subjektu údajů, správce osobních údajů zpracování na základě námitky ukončí bez zbytečného odkladu.

Právo na omezení osobních údajů

Právo na omezení osobních údajů umožňuje poskytovateli umezit zpracování osobních údajů do doby, než budou vyjasněny důvody zpracování těchto osobních údajů. Omezení zpracování nelze uplatnit pro zákonné povinnosti správce.

Přenositelnost osobních údajů

Poskytovatel osobních údajů má právo na přenositelnost osobních údajů – tj. poskytnutí osobních údajů ve strukturovaném, běžně používaném strojově čitelném formátu. V případě, že to bude technicky možné a bude řádně určena a autorizovatelná osoba jiného správce, kterému bude chtít poskytovatel osobních údajů předat, bude možné i předání těchto údajů jinému správci. Toto právo je uplatnitelné pouze u elektronického zpracování na základě souhlasu, smlouvy nebo automatizovaného zpracování. Toto právo nelze uplatnit, pokud se jedná o zpracování osobních údajů nezbytném pro plnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci. V případě, že by výkonem tohoto práva mohlo dojít k nepříznivému dotčení práv a svobod třetích osob, nebude možné žádosti vyhovět.

Podat stížnost u dozorového orgánu

V případě neoprávněného zpracování osobních údajů má poskytovatel osobních údajů právo podat stížnost u dozorového orgánu, kterým je Úřad na ochranu osobních údajů (uoou.gov.cz).

---

 

Město Blansko (dále jen „město“) zpracovává osobní údaje a další informace týkající se občanů města a dalších subjektů údajů v rámci samostatné a přenesené působnosti. Osobní údaje lze přitom zpracovávat, pokud existuje alespoň jeden z těchto důvodů:

• subjekt údajů udělil souhlas pro jeden či více konkrétních účelů,
• zpracování je nezbytné pro splnění smlouvy
• zpracování je nezbytné pro splnění právní povinnosti, která se na správce vztahuje,
• zpracování je nezbytné pro ochranu životně důležitých zájmů subjektu údajů
• zpracování je nezbytné pro splnění úkolu prováděného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je pověřen správce,

Většina osobních údajů je tedy městem zpracovávána na základě povinností, uložených mu zvláštními zákony. Na taková zpracování osobních údajů o subjektech údajů se nevztahuje povinnost získat souhlas subjektů údajů. Zásady ochrany osobních údajů se však uplatňují na všechny informace, týkající se identifikované nebo identifikovatelné fyzické osoby. Zpracování osobních údajů městem je prováděno zákonným způsobem, je pro občany (či jiné fyzické osoby) transparentní a informace a všechna sdělení, týkající se zpracování těchto osobních údajů, jsou snadno přístupné.

Pokud město zpracovává osobní údaje na základě souhlasu fyzické osoby, jsou tyto osoby upozorněny na případná rizika, vyplývající ze zpracování, a také na pravidla, záruky a práva, která podle GDPR mají. Pokud subjekt údajů udělí souhlas se zpracováním údajů, musí být dobrovolný a je oprávněn jej kdykoliv odvolat. Účely, pro které jsou osobní údaje zpracovávány, jsou jednoznačné a legitimní. Rozsah shromažďovaných osobních údajů je vždy přiměřený a omezený pouze na údaje nezbytné pro naplnění stanoveného účelu. Rovněž doba, po kterou jsou osobní údaje uchovávány, je omezena na nezbytné minimum. Při veškerém zpracování osobních údajů jsou aplikována opatření, která zaručují náležitou bezpečnost a důvěrnost těchto údajů.

V rámci organizace jsou zpracovávány osobní údaje zejména pro plnění zákonných povinností organizace:

• zaměstnanců vč. jejich rodinných příslušníků v rámci činnosti personalistika a mzdy. Jedná se zejména o identifikační údaje (jméno, příjmení, adresa trvalého pobytu, datum narození, rodné číslo, atp.) a osobní údaje nutné pro plnění zákonných povinností organizace (informace o zdravotním stavu, osobní údaje dětí, apod.)
• činnosti v rámci státní správy (Stavební úřad, Matrika, …)– evidence osobních údajů občanů pro plnění zákonných povinností úřadu. Jedná se zejména o identifikační údaje (jméno, příjmení, adresa trvalého pobytu, datum narození, rodné číslo, atp.) a osobní údaje nutné pro plnění daných zákonných povinností organizace (informace o zdravotním stavu, osobní údaje dětí, apod.)
• činnosti v rámci samosprávy (pronájem bytů, apod.) – evidence osobních údajů pro plnění úkolů na základě plnění smlouvy, právních povinností, nebo ve veřejném zájmu v rámci samosprávních činností organizace. Jedná se zejména o identifikační údaje (jméno, příjmení, adresa trvalého pobytu, datum narození, atp.) a osobní údaje nutné pro plnění dané samosprávní činnosti (např. informace o dětech, apod. u žádostí o byty). V případě zpracování osobních údajů nad rámec zákona nebo veřejného zájmu, tj když z GDPR vyplývá nutnost souhlasu se zpracováním osobních údajů, je poskytovatel osobních údajů požádán o tento souhlas.

Kompletní seznam činností zpracovávajících osobní údaje (vč. výpisu evidovaných osobních údajů, doby zpracovávání, komu a z jakého důvodu jsou osobní údaje předávány, …) jsou uloženy v Seznamu činností na sekretariátu starosty města.

Organizace nepředává osobní údaje mimo země EU.

Zásady zpracování osobních údajů

Osobní údaje jsou správcem zpracovávány dle níže uvedených zásad vyplývajících z GDPR:

Zákonnost

Správce zpracovává osobní údaje pouze pokud je splněna jedna z těchto podmínek, a to pouze v odpovídajícím rozsahu zpracování:

• Poskytovatel osobních údajů udělil souhlas se zpracováním osobních údajů – tato podmínka je využívána pouze v případě, že nelze uplatnit následující zákonné podmínky
• Zpracování osobních údajů je nezbytné pro:
  • Splnění smlouvy, jejíž smluvní stranou je poskytovatel osobních údajů
  • Splnění právní povinnosti
  • Ochranu životně důležitých zájmů poskytovatele osobních údajů nebo jiné fyzické osoby
  • Splnění úkolu ve veřejném zájmu nebo při výkonu veřejné moci
  • Účely oprávněných zájmů (netýká se zpracování prováděného OVM při plnění jejich úkolů).

Omezení účelem

Osobní údaje správce zpracovává jen za účelem, ke kterým byly osobní údaje získány.

Minimalizace údajů

Rozsah osobních údajů je minimalizován ve vztahu na účel zpracování.

Omezení uložení

Osobní údaje jsou zpracovávány pouze po nezbytně nutnou dobu nutnou pro naplnění účelu zpracování, příp. pomine-li zákonný důvod jejich zpracování a uložení (např. dle Spisového a skartačního plánu).

Po uplynutí doby zpracování, příp. souvisejících zákonných lhůt dle Spisového a skartačního plánu, jsou dokumenty podle typu buď skartovány (listinná forma) nebo neobnovitelně smazány z el. nosičů (el. forma), nebo na základě rozhodnutí oblastního archivu uloženy v oblastním archivu.

Přesnost údajů

Přesnost údajů je zajištěna dotazováním v případě jednání se subjektem údajů, porovnáváním s osobními doklady subjektu údajů, příp. v případě, že má správce přístup k aktualizací z veřejně dostupných celostátních rejstříků, příp. celostátních rejstříků, ke kterým má správce přístup (např. v případě, že má zpracovatel osobních údajů v rámci dané činnosti zákonný přístup k IS základních registrů, je zpracovatelem prováděna aktualizace osobních údajů prostřednictvím těchto registrů).

V případech, kdy je to efektivní je navíc kontrola/aktualizace osobních údajů prováděna v periodických intervalech. 

Zaměstnanci správce mají za povinnost bezodkladně informovat zaměstnavatele o změnách v jejich osobních údajích – tato povinnost je jim připomínána v rámci interních porad.

Férovost a transparentnost

Správce zajišťuje průběžnou i periodickou kontrolu zpracování osobních údajů v rámci činnosti pověřence a vedoucími pracovníky správce.

Dokumentace související se zpracováním osobních údajů (souhlasy subjektů údajů, popisy činností, …) je zpracována přehledným transparentním způsobem za použití jednoznačných a jednoduchých jazykových prostředků.

Důvěrnost, integrita a dostupnost

Správce zpracovává osobní údaje se zavedením vhodných technických a organizačních opatřeních, která chrání osobní údaje před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením či poškozením.

Odpovědnost

Při zpracování osobních údajů má správce stanovenu jasnou odpovědnost a mlčenlivost dotčených zaměstnanců a smluvní podmínky s pověřenými zpracovateli.

Ztráta osobních údajů

V případě ztráty osobních údajů (jak v elektronické, tak v tištěné podobě) má zaměstnanec povinnost tuto ztrátu bezodkladně hlásit určenému pracovníkovi správce a pověřenci správce. Tito zajistí další postup vč. případného nahlášení ztráty osobních údajů na ÚOOÚ do 72 hod.

Porušení povinnosti mlčenlivosti

Vědomé porušení povinnosti mlčenlivosti, neoprávněné zveřejnění, sdělení, zpřístupnění a přisvojení osobních údajů zaměstnancem je hrubé porušením pracovních povinností.

Při neoprávněném nakládání s osobními údaji se jedná o neoprávněné zveřejnění, zpracování, sdělení, zpřístupnění, přisvojení osobních údajů, porušení mlčenlivosti, které může být klasifikováno i jako trestný čin podle § 180 zákona č.40/2009 Sb., Trestní zákoník, v platném znění.

Pověřenec pro ochranu osobních údajů

V souvislosti s přechodem na novou legislativu proto přijímá i město Blansko organizační, bezpečnostní a technická opatření k zabezpečení systémů, informací, dat a osobních údajů, aby zajistilo soulad s GDPR. Obce jako orgán veřejné moci ve smyslu čl. 37 GDPR jsou též povinny jmenovat pověřence pro ochranu osobních údajů, tj. osobu, která bude dohlížet na zpracování osobních údajů (dále jen „pověřenec“) a poskytovat v této oblasti odborné poradenství. Zároveň pověřenec komunikuje s dozorčím orgánem, kterým je Úřad pro ochranu osobních údajů (ÚOOÚ) a spolupracuje s ním případně při řešení podnětů ze strany subjektů údajů.

Pověřence musí mít každá obec, dále každá instituce rozhodující o právech a povinnostech osob (např. školy), a také instituce, jejichž hlavní činnost spočívá v rozsáhlém zpracování citlivých údajů (např. nemocnice). Pověřence naopak nemusí mít městské knihovny.

Pověřencem pro ochranu osobních údajů města Blansko je:

Ing. Milan Seidler
SEID, s.r.o., 684 01 Nížkovice 142, IČ: 066 32 017

e-mail: milan.seidler@seid.cz
tel.: 724 094 634

MěÚ Blansko přijímá žádosti podle GDPR od subjektů údajů jak v listinné podobě, tak i žádosti podané elektronickou formou.

Součástí přijetí žádosti je ověření totožnosti žadatele. Toto ověření žadatele je nezbytné pro ochranu osobních údajů žadatele proti neoprávněnému zpřístupnění těchto osobních informací.

Způsoby ověření totožnosti:

• Přijetí datovou schránkou z datové schránky subjektu údajů
• Přijetí prostřednictvím e-podatelny, kde podání je podepsáno platným kvalifikovaným elektronickým podpisem
• Ověřením totožnosti na místě
• Žádost je podepsána ověřeným podpisem (úřad, notář)

Jiný způsob ověření není přípustný.

Subjekt údajů má právo podat stížnost na správce dozorovému úřadu, kterým je Úřad pro ochranu osobních údajů, se sídlem: Pplk. Sochora 27, 170 00 Praha 7, telefon: +420 234 665 111 (Ústředna), fax: +420 234 665 444, Elektronická podatelna (zpracovává oznámení došlá na elektronickou adresu úřadu) E-mail: posta@uoou.cz; Datová schránka: qkbaa2n, webové stránky: https://uoou.gov.cz.

Důležité odkazy

Úplné znění GDPR: https://eur-lex.europa.eu

Stránky MVČR: www.mvcr.cz/gdpr

Stránky ÚOOÚ: uoou.gov.cz

Stránky ÚOOÚ o GDPR: uoou.gov.cz/cinnost/ochrana-osobnich-udaju