GDPR - Informační povinnost správce
„Informační povinnost správce“ gk50l7f5-mukh-informacni-povinnost-obec-2018.pdf
** INFORMAČNÍ POVINNOST SPRÁVCE **
Vážení občané, v souvislosti s Nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v ouvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (Obecné nařízení o ochraně osobních údajů), ve znění pozdějších předpisů (dále jen Nařízení GDPR), si vás dovolujeme informovat o tom, jak úřad zpracovává vaše osobní údaje (OÚ).
SPRÁVCEM VAŠICH OSOBNÍCH ÚDAJŮ JE:
- Název: Město Kašperské Hory
- Sídlo: Náměstí 1, 341 92 Kašperské Hory
- zast.: starostou Petrem Málkem
- IČO: 00255645
- DIČ: CZ 00255645
POVĚŘENEC PRO OCHRANU OSOBNÍCH ÚDAJŮ (dále jen pověřenec, nebo pověřená osoba /PO): Jako orgán veřejné moci, musíme mít pověřence pro ochranu osobních údajů, který nám pomáhá chránit vaše osobní údaje.
Naším pověřencem pro ochranu osobních údajů je:
- Keystone Company a.s.
- Praha 10, Vinohrady, Korunní 2569/108
- IČO: 05983649
- Email: mukasperskehory.dpo@keystonecompany.cz
K čemu je mi pověřenec? Na pověřence se také můžete obracet s jakýmikoliv dotazy, podněty a požadavky na uplatnění Vašich práv, které se týkají přímo Vašich osobních údajů používaných v rámci některé z agend, kterou vykonává město Kašperské Hory v rámci samosprávy a přenesené působnosti státní správy. Pověřenec Vaše dotazy, požadavky a podněty odborně vyhodnotí, předá správci spolu s doporučením, jak je řešit, případně vám poskytne základní informace a konzultaci. Je vázaný mlčenlivostí a dodržuje důvěrnost i o stížnostech. Odpovědný za vyřízení Vašich dotazů, podnětů, námitek a požadavků je však výhradně samotný správce.
POJMY
- • Subjekt údajů – fyzická osoba, k níž se osobní údaje vztahují
- • Osobní údaj (OÚ) – veškeré informace o identifikované nebo identifikovatelné fyzické osobě. Identifikovatelnou fyzickou osobou je fyzická osoba, kterou lze přímo či nepřímo identifikovat, zejména odkazem na určitý identifikátor, například jméno, identifikační číslo, lokační údaje, síťový identifikátor nebo na jeden či více zvláštních prvků fyzické, fyziologické, genetické, psychické, ekonomické, kulturní nebo společenské identity této fyzické osoby
- • Citlivý údaj – zvláštní kategorie osobního údaje – osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby
- • Zpracovatel OÚ – každý subjekt, který na základě zvláštního zákona nebo z pověření správce zpracovává osobní údaje pro správce. Jedná se zejména o organizace, které spravují informační systémy.
- • Účel zpracování OÚ – činnost, proces či aktivita, pro kterou je nezbytné či účelné osobní údaje subjektu údajů zpracovávat.
- • Titul zpracování OÚ – zákonnost (legálnost) zpracování OÚ. Pověřená osoba zpracovává pouze OÚ subjektů údajů, pro které byla zmocněna zvláštním právním předpisem, nebo na základě dobrovolného smluvního ujednání, ve svém oprávněném zájmu, při výkonu veřejné moci nebo při plnění úkolu ve veřejném zájmu anebo na základě svobodného a informovaného souhlasu od subjektu údajů.
- • Zdroje OÚ – fyzická osoba nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, od kterého jsou osobní údaje získány.
- • Příjemce OÚ – fyzická osoba nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty.
- • Zpracování OÚ – jakákoli operace s osobními údaji, jako je shromáždění, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření, seřazení či zkombinování, omezení, výmaz nebo zničení
ÚČELY ZPRACOVÁNÍ, PRO KTERÉ JSOU OSOBNÍ ÚDAJE URČENY A PRÁVNÍ ZÁKLAD PRO ZPRACOVÁNÍ
ÚŘAD vystupuje jako správce osobních údajů (dále jen „ÚŘAD“). Osobní údaje získané od subjektu údajů (dále jen „občan“), jsou zpracovávány za účelem plnění právních povinností, za účelem plnění smlouvy anebo z důvodu oprávněného zájmu.
ÚŘAD má v listinné i elektronické podobě zpracovaný Přehled jednotlivých účelů, pro které jsou osobní údaje určeny a právní základ pro zpracování.
PŘÍPADNÍ PŘÍJEMCI NEBO KATEGORIE PŘÍJEMCŮ OSOBNÍCH ÚDAJŮ ÚŘAD má v listinné i elektronické podobě zpracovaný přehled jednotlivých Kategorií příjemců osobních údajů, identifikaci dalších správců osobních údajů, kterým jsou osobní údaje případně předávány.
PŘÍPADNÝ ÚMYSL SPRÁVCE PŘEDAT OSOBNÍ ÚDAJE DO TŘETÍ ZEMĚ NEBO MEZINÁRODNÍ ORGANIZACI Pokud bude právní důvod k předání osobního údaje do třetí země nebo mezinárodní organizaci, bude subjekt údajů o tomto úmyslu vždy informován. Všechny osobní údaje musí být zabezpečeny proti zneužití.
DOBA, PO KTEROU BUDOU OSOBNÍ ÚDAJE ULOŽENY ÚŘAD má v listinné i elektronické podobě zpracovaný přehled jednotlivých lhůt, po kterou budou osobní údaje u správce uloženy. Není-li možné určit dobu, po kterou budou osobní údaje u správce uloženy v souladu se zákonem číslo 499/2004 Sb., Zákon o archivnictví a spisové službě a o změně některých zákonů, budou subjektu údajů sdělena kritéria použitá pro stanovení této doby.
DALŠÍ INFORMACE SUBJEKTU ÚDAJŮ Subjekt údajů má právo požadovat od správce přístup k osobním údajům týkajícím se subjektu údajů. Kontaktní osobou pro občany, k nimž se osobní údaje vztahují (tj. subjekty osobních údajů) je Pověřenec pro ochranu osobních údajů. Tito se mohou na pověřence obracet ve všech záležitostech souvisejících se zpracováním jejich osobních údajů a výkonem jejich práv podle Nařízení.
PRÁVO NA OPRAVU, OMEZENÍ A VÝMAZ OSOBNÍCH ÚDAJŮ Subjekt údajů má právo požadovat od správce opravu, omezení nebo výmaz svých údajů. Právo na výmaz údajů má subjekt údajů, pokud neexistuje žádný další právní důvod pro zpracování osobních údajů nebo pokud subjekt údajů odvolá informovaný výslovný souhlas, na jehož základě byly zpracovávány údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
INFORMOVÁNÍ O MOŽNÝCH DŮSLEDCÍCH NEPOSKYTNUTÍ TĚCHTO ÚDAJŮ Pokud je poskytování osobních údajů zákonným či smluvním požadavkem, nebo požadavkem, který je nutné uvést do smlouvy, anebo pokud má subjekt údajů povinnost osobní údaje poskytnout, bude subjekt údajů správcem informován o možných důsledcích neposkytnutí těchto údajů.
DALŠÍ ZPRACOVÁVÁNÍ ÚDAJŮ PRO JINÝ ÚČEL Pokud správce hodlá osobní údaje dále zpracovávat pro jiný účel, než je účel, pro který byly shromážděny, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v předchozích bodech. Výše uvedená ustanovení o informování subjektu údajů správcem se nepoužijí, pokud subjekt údajů již uvedené informace má, a do té míry, v níž je má.
INFORMACE POSKYTOVANÉ V PŘÍPADĚ, ŽE OSOBNÍ ÚDAJE NEBYLY ZÍSKÁNY OD SUBJEKTU ÚDAJŮ Jestliže osobní údaje nebyly získány od subjektu údajů, poskytne ÚŘAD subjektu údajů tyto informace:
- totožnost a kontaktní údaje jiného správce a případně jeho zástupce;
- případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
- kategorie dotčených osobních údajů;
- případné příjemce nebo kategorie příjemců osobních údajů.
INFORMOVÁNÍ O ZDROJI OSOBNÍCH ÚDAJŮ Pokud ÚŘAD získává informace o subjektu údajů z jiných zdrojů, než je přímo od subjektu údajů, pak vždy poskytne informaci o zdroji, ze kterého osobní údaje pocházejí, a případně informace o tom, zda údaje pocházejí z veřejně dostupných zdrojů.
LHŮTA PRO PODÁNÍ INFORMACE Správce poskytne informace uvedené v předešlých dvou odstavcích v přiměřené lhůtě po získání osobních údajů, ale nejpozději do jednoho měsíce, s ohledem na konkrétní okolnosti, za nichž jsou osobní údaje zpracovávány, nebo nejpozději v okamžiku, kdy poprvé dojde ke komunikaci se subjektem údajů, mají-li být osobní údaje použity pro účely této komunikace, nebo nejpozději při prvním zpřístupnění osobních údajů, pokud je má v úmyslu zpřístupnit jinému příjemci.
Pokud správce hodlá osobní údaje dále zpracovat pro jiný účel, než pro který byly získány, poskytne subjektu údajů ještě před uvedeným dalším zpracováním informace o tomto jiném účelu a příslušné další informace uvedené v prvním odstavci:
- totožnost a kontaktní údaje jiného správce a případně jeho zástupce;
- případně kontaktní údaje případného pověřence pro ochranu osobních údajů;
- účely zpracování, pro které jsou osobní údaje určeny, a právní základ pro zpracování;
- kategorie dotčených osobních údajů;
- případné příjemce nebo kategorie příjemců osobních údajů;
případný záměr správce předat osobní údaje příjemci ve třetí zemi nebo mezinárodní organizaci a existence či neexistence rozhodnutí Komise o odpovídající ochraně nebo, v případech předání uvedených v článcích 46 nebo 47 nebo v čl. 49 odst. 1 druhém Nařízení. Tato povinnost informování neplatí v případě, že subjekt údajů již uvedené informace má, nebo pokud se prokáže, že poskytnutí takových informací není možné nebo by vyžadovalo nepřiměřené úsilí. To platí zejména v případě zpracování pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu nebo pro statistické a obdobné účely, nebo pokud byly údaje pseudonymizovány. Další výjimkou z povinnosti informování je také – pokud osobní údaje musí zůstat důvěrné s ohledem na povinnost zachovávat služební tajemství, upravenou právem Unie nebo členského státu.
PRÁVO OBČANA NA PŘÍSTUP K OSOBNÍM ÚDAJŮM Občan má právo získat potvrzení, zda osobní údaje, které se ho týkají, jsou či nejsou zpracovávány, a pokud je tomu tak, má právo získat přístup k těmto osobním údajům a k následujícím informacím:
- účely zpracování;
- kategorie dotčených osobních údajů;
- příjemci nebo kategorie příjemců, kterým osobní údaje byly nebo budou zpřístupněny, zejména příjemci ve třetích zemích nebo v mezinárodních organizacích;
- plánovaná doba, po kterou budou osobní údaje uloženy, nebo není-li ji možné určit, kritéria použitá ke stanovení této doby;
- existence práva požadovat od správce opravu nebo výmaz osobních údajů, které se ho týkají nebo omezení jejich zpracování anebo vznést námitku proti tomuto zpracování;
- právo podat stížnost u dozorového úřadu;
- veškeré dostupné informace o zdroji osobních údajů, pokud nejsou získány od subjektu údajů;
- skutečnost, že dochází k automatizovanému rozhodování, včetně profilování, pokud ÚŘAD takové zpracování provádí a v těchto případech smysluplné informace týkající se použitého postupu, jakož i významu a předpokládaných důsledků takového zpracování pro občana.
Pokud se osobní údaje předávají do třetí země nebo mezinárodní organizaci, má občan právo být informován o vhodných zárukách, které se vztahují na předání.
ÚŘAD poskytne kopii zpracovávaných osobních údajů. Za další kopie na základě žádosti občana může ÚŘAD účtovat přiměřený poplatek na základě administrativních nákladů. Jestliže občan podává žádost v elektronické formě, poskytnou se informace v elektronické formě, která se běžně používá, pokud občan nepožádá o jiný způsob. Právem získat kopii zpracovávaných osobních údajů nesmějí být nepříznivě dotčena práva a svobody jiných osob.
PRÁVO NA OPRAVU Občan má právo na to, aby ÚŘAD bez zbytečného odkladu opravil nepřesné osobní údaje, které se ho týkají. S přihlédnutím k účelům zpracování má občan právo na doplnění neúplných osobních údajů, a to i poskytnutím dodatečného prohlášení.
PRÁVO NA VÝMAZ („PRÁVO BÝT ZAPOMENUT“) Občan má právo na to, aby ÚŘAD bez zbytečného odkladu vymazal osobní údaje, které se občana týkají, a ÚŘAD má povinnost osobní údaje občana bez zbytečného odkladu vymazat, pokud je dán jeden z těchto důvodů:
- osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny nebo jinak zpracovány
- subjekt údajů odvolá souhlas, na jehož základě byly údaje podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) zpracovány, a neexistuje žádný další právní důvod pro zpracování;
- subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 1 a neexistují žádné převažující oprávněné důvody pro zpracování nebo subjekt údajů vznese námitky proti zpracování podle čl. 21 odst. 2;
- osobní údaje byly zpracovány protiprávně;
- osobní údaje musí být vymazány ke splnění právní povinnosti stanovené v právu Unie nebo členského státu, které se na správce vztahuje;
- osobní údaje byly shromážděny v souvislosti s nabídkou služeb informační společnosti podle čl. 8 odst. 1.
Jestliže ÚŘAD osobní údaje zveřejnil a je povinen je vymazat, přijme s ohledem na dostupnou technologii a náklady na provedení přiměřené kroky, včetně technických opatření, aby informoval ostatní správce, kteří tyto osobní údaje zpracovávají, že je občan žádá, aby vymazali veškeré odkazy na tyto osobní údaje občana, jejich kopie či replikace (obnovení).
K vymazání osobních údajů občana nemůže dojít, pokud je zpracování údajů nezbytné:
- pro výkon práva na svobodu projevu a informace;
- pro splnění právní povinnosti, jež vyžaduje zpracování podle práva Unie nebo členského státu, které se na správce vztahuje, nebo pro splnění úkolu provedeného ve veřejném zájmu nebo při výkonu veřejné moci, kterým je správce pověřen;
- z důvodů veřejného zájmu v oblasti veřejného zdraví v souladu s čl. 9 odst. 2 písm. h) a i) a čl. 9 odst. 3;
- pro účely archivace ve veřejném zájmu, pro účely vědeckého či historického výzkumu či pro statistické účely v souladu s čl. 89 odst. 1, pokud je pravděpodobné, že by právo uvedené v odstavci 1 znemožnilo nebo vážně ohrozilo splnění cílů uvedeného zpracování;
- pro určení, výkon nebo obhajobu právních nároků.
PRÁVO NA OMEZENÍ ZPRACOVÁNÍ
- Občan má právo na to, aby ÚŘAD omezil zpracování, v kterémkoli z těchto případů:
- občan popírá přesnost osobních údajů, a to na dobu potřebnou k tomu, aby správce mohl přesnost osobních údajů ověřit;
- zpracování je protiprávní a subjekt údajů odmítá výmaz osobních údajů a žádá místo toho o omezení jejich použití;
- správce již osobní údaje nepotřebuje pro účely zpracování, ale subjekt údajů je požaduje pro určení, výkon nebo obhajobu právních nároků;
- subjekt údajů vznesl námitku proti zpracování podle čl. 21 odst. 1, dokud nebude ověřeno, zda oprávněné důvody správce převažují nad oprávněnými důvody subjektu údajů.
Pokud bylo zpracování omezeno podle odstavce 1, mohou být tyto osobní údaje, s výjimkou jejich uložení, zpracovány pouze:
- se souhlasem občana, nebo z důvodu určení,
- výkonu nebo obhajoby právních nároků,
- z důvodu ochrany práv jiné fyzické nebo právnické osoby
- z důvodů důležitého veřejného zájmu Unie nebo některého členského státu.
Občan, který dosáhl omezení zpracování podle odstavce 1, je předem upozorněn na to, že bude omezení zpracování zrušeno.
OZNAMOVACÍ POVINNOST OHLEDNĚ OPRAVY NEBO VÝMAZU OSOBNÍCH ÚDAJŮ NEBO OMEZENÍ ZPRACOVÁNÍ ÚŘAD oznamuje jednotlivým příjemcům, jimž byly osobní údaje zpřístupněny, veškeré opravy nebo výmazy osobních údajů nebo omezení zpracování provedené v souladu s článkem 16, čl. 17 odst. 1 a článkem 18, s výjimkou případů, kdy se to ukáže jako nemožné nebo to vyžaduje nepřiměřené úsilí. Správce informuje subjekt údajů o těchto příjemcích, pokud to subjekt údajů požaduje.
PRÁVO NA PŘENOSITELNOST ÚDAJŮ Občan má právo získat osobní údaje, které se ho týkají, jež poskytl správci, ve strukturovaném, běžně používaném a strojově čitelném formátu, a právo předat tyto údaje jinému správci, aniž by tomu správce, kterému byly osobní údaje poskytnuty, bránil, a to v případě, že: a) zpracování je založeno na souhlasu podle čl. 6 odst. 1 písm. a) nebo čl. 9 odst. 2 písm. a) nebo na smlouvě podle čl. 6 odst. 1 písm. b); a
- zpracování se provádí automatizovaně.
Při výkonu svého práva na přenositelnost údajů (podle předchozího odstavce), má občan právo na to, aby osobní údaje byly předány přímo jedním správcem správci druhému, je-li to technicky proveditelné. Právem na přenositelnost údajů nesmí být nepříznivě dotčena práva a svobody jiných osob. Omezení práva na přenositelnost údajů:
- pokud je zpracování údajů nezbytné pro splnění úkolu prováděného ve veřejném zájmu;
- výkonu veřejné moci, kterým je ÚŘAD pověřen (na základě zákonné kompetence úřadu);
- pokud by byla nepříznivě dotčena práva a svobody jiných osob.
PRÁVO VZNÉST NÁMITKU Občan má z důvodů týkajících se jeho konkrétní situace právo kdykoli vznést námitku proti zpracování osobních údajů, které se jej týkají, na základě čl. 6 odst. 1 písm. e) nebo f) Nařízení, včetně profilování založeného na těchto ustanoveních. ÚŘAD údaje dále nezpracovává, pokud neprokáže závažné oprávněné důvody pro zpracování, které převažují nad zájmy nebo právy a svobodami občana, nebo pro určení, výkon nebo obhajobu právních nároků.
AUTOMATIZOVANÉ INDIVIDUÁLNÍ ROZHODOVÁNÍ, VČETNĚ PROFILOVÁNÍ V rámci agendy vykonávaných ÚŘADEM nedochází k automatizovanému rozhodování, ani profilování, které má pro něho právní účinky nebo se ho obdobným způsobem významně dotýká.
NEOPRÁVNĚNÉ POŽADAVKY SUBJEKTU ÚDAJŮ A JEJICH ŘEŠENÍ Právo na poskytnutí informací není absolutní. Právem na poskytnutí informace nesmí být dotčena práva na ochranu údajů jiné osoby. Dále Nařízení pamatuje i na nepřiměřené a opakující se žádosti, kterými se žadatel dožaduje poskytnutí informace. V čl. 12 Nařízení jsou regulovány lhůty, forma, zásadní bezplatnost pro poskytování informací o přijatých opatřeních v návaznosti na žádosti subjektu údajů, kterými realizuje svá práva (čl. 15 až 22 Nařízení). Nařízení uvádí v čl. 12. odst. 5), věta druhá: „Jsou-li žádosti podané subjektem údajů zjevně nedůvodné nebo nepřiměřené, zejména protože se opakují, může správce bud’:
- uložit přiměřený poplatek zohledňující administrativní náklady spojené s poskytnutím požadovaných informací nebo sdělení nebo s učiněním požadovaných úkonů; nebo
- odmítnout žádosti vyhovět“.
Zjevnou nedůvodnost nebo nepřiměřenost žádosti prokazuje ÚŘAD. Zde je tedy přímo regulatorní platforma k odmítnutí žádosti (odmítnutí přijetí opatření dle žádosti) pro zjevnou nedůvodnost a nepřiměřenost. Nepřiměřenost požadavku souvisí s kritériem proporcionality, jako jednoho ze základních principů ochrany osobních údajů.
Princip proporcionality je způsob řešení situace, kdy dojde ke konfliktu mezi dvěma nebo několika objektivním právem chráněnými subjektivními právy. Taková situace se posoudí tak, že přednost dostane to právo, které chrání nejdůležitější hodnotu, avšak s minimálním nutným omezením ostatních konkurujících práv tak, aby byla zachována proporcionalita, tedy úměrnost mezi jednotlivými právy, která jsou v konfliktu.
ÚŘAD má tedy právo odmítnout žádosti vyhovět.
ÚŘAD musí v případě nevyhovění žádosti v součinnosti s pověřencem zpracovat stručné zdůvodnění a zaslat žadateli dokument o tom, že odmítá vyhovět jeho požadavku, z jakých důvodů, a že má právo obrátit se na dozorový úřad, kterým je Úřad na ochranu osobních údajů a na soud.
CO MÁTE DĚLAT, POKUD SE DOMNÍVÁTE, ŽE NEZPRACOVÁVÁME VAŠE OSOBNÍ ÚDAJE SPRÁVNĚ? V takovém případě se můžete obrátit na našeho pověřence pro ochranu osobních údajů nebo máte právo podat stížnost u dozorového orgánu, kterým je Úřad pro ochranu osobních údajů,
- se sídlem: Pplk. Sochora 27, 170 00 Praha 7,
- telefon: +420 234 665 111 (Ústředna),
- fax: +420 234 665 444,
- elektronická podatelna (zpracovává oznámení došlá na elektronickou adresu úřadu)
- e-mail: posta@uoou.cz;
- datová schránka: qkbaa2n,
- webové stránky: https://www.uoou.cz
JAK PODAT ŽÁDOST? Úřad přijímá žádost o informace jak v listinné podobě, tak i žádost podanou elektronickou formou. Součástí přijetí žádosti je ověření totožnosti žadatele. Toto ověření žadatele je nezbytné pro ochranu osobních údajů žadatele proti neoprávněnému zpřístupnění těchto osobních informací.
Způsoby ověření totožnosti:
- Přijetí datovou schránkou z datové schránky subjektu údajů.
- Přijetí prostřednictvím e-podatelny, kde podání je podepsáno platným kvalifikovaným elektronickým podpisem.
- Ověřením totožnosti na podatelně obce.
- Žádost je podepsána ověřeným podpisem (úřad, notář).
Jiný způsob ověření není přípustný.