Ochrana osobních údajů ve Výzkumném ústavu živočišné výroby, v. v. i.

Problematice ochrany osobních údajů je v našem ústavu věnována patřičná pozornost.
O tomto svědčí mimo jiné i přijetí dokumentu „Politika ochrany osobních údajů“ vedením ústavu. Za účelem průběžné implementace legislativy byl ustaven i projektový tým GDPR. S osobními údaji ústav nakládá výhradně v souladu s platnou legislativou, která je v současnosti představována především Nařízením Evropského parlamentu a Rady (EU) 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů; dále jen „Obecné nařízení“). Do účinnosti v současnosti přijímaného zákona o zpracování osobních údajů se řídí též zákonem č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů, ve znění pozdějších předpisů. Stručný popis obsahu nového Obecného nařízení o ochraně osobních údajů na stránkách Ministerstva vnitra je dostupný (zde: www.mvcr.cz/gdpr/soubor/gdpr-sesit-pdf.aspx).

1. Vysvětlení pojmů

Pojem „osobní údaj“ znamená jakoukoliv informaci vztahující se k nějaké identifikované či identifikovatelné fyzické osobě. Identifikovatelnou osobou je ten, koho lze – ať již přímo či nepřímo – identifikovat, zvláště s odkazem na nějaký identifikátor, jako je např. jméno, identifikační číslo, údaje o lokalitě, on-line identifikátor, nebo jeden či více aspektů specifických pro fyzickou, psychologickou, genetickou, mentální, ekonomickou, kulturní či sociální identitu takové fyzické osoby.
Zvláštní kategorií osobních údajů se rozumí osobní údaje, které vypovídají o rasovém či etnickém původu, politických názorech, náboženském vyznání či filozofickém přesvědčení nebo členství v odborech, a zpracování genetických údajů, biometrických údajů za účelem jedinečné identifikace fyzické osoby a údajů o zdravotním stavu či o sexuálním životě nebo sexuální orientaci fyzické osoby.
Pod pojmem „subjekt údajů“ je třeba rozumět fyzickou osobu, k níž se osobní údaje vztahují. Typicky jde o rezidenty EU, jejichž práva nařízení chrání. Subjekt údajů není právnická osoba. Osobní údaje mohou být pouze ve vztahu k žijící fyzické osobě, jelikož Obecné nařízení vylučuje svoji působnost na údaje o zesnulých osobách.
Za souhlas subjektu údajů je třeba rozumět jakýkoli svobodný, konkrétní, informovaný a jednoznačný projev vůle, kterým subjekt údajů dává prohlášením či jiným zjevným potvrzením své svolení ke zpracování svých osobních údajů.
Správce osobních údajů je podle Obecného nařízení každý subjekt (bez ohledu na právní formu), který určuje účel a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování. Správce primárně odpovídá za zpracování osobních údajů. Základním nezbytným předpokladem je existence řádného právního důvodu zpracování osobních údajů, kterým správce musí disponovat, aby vůbec mohl osobní údaje zpracovávat. Zároveň je nutné osobní údaje dostatečně zabezpečit. V daném případě je správcem osobních údajů Výzkumný ústav živočišné výroby, v. v. i. se sídlem Přátelství 815, 104 00 Praha Uhříněves, IČ: 00027014 (dále také „Správce“).

Jako příjemce je označována fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, kterým jsou osobní údaje poskytnuty, ať už se jedná o třetí stranu, či nikoli. Zpracovatelem je fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který zpracovává osobní údaje pro správce.
Používáme-li pojem „zpracování“, myslíme tím jakoukoliv činnost či soubor činností vykonávaných s osobními údaji nebo se soubory osobních údajů, ať již automatizovanými prostředky či nikoli, jako je sběr, záznam, organizace, strukturování, ukládání, úpravy či pozměňování, opětovné vyvolávání, konzultování, používání, uvádění při převodech, šíření či jiné jejich zpřístupnění, kombinace či seřazení, omezení a vymazání či jejich zničení.

Pod pojmem „pseudonymizace“ se míní zpracování osobních údajů tak, že již nemohou být přiřazeny konkrétnímu subjektu údajů bez použití dodatečných informací, pokud jsou tyto dodatečné informace uchovávány odděleně a vztahují se na ně technická a organizační opatření, aby bylo zajištěno, že nebudou přiřazeny identifikované či identifikovatelné fyzické osobě.

Pojem „evidence“ označuje jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již je centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
Výmazem osobních údajů se rozumí fyzické zničení nosičů, jejich fyzické vymazání nebo trvalé vyloučení z dalších zpracování.
Za omezení zpracování osobních údajů je považováno označení uložených osobních údajů za účelem omezení jejich zpracování v budoucnu.
Jako porušení zabezpečení osobních údajů je chápáno porušení zabezpečení, které vede k náhodnému nebo protiprávnímu zničení, ztrátě, změně nebo neoprávněnému poskytnutí nebo zpřístupnění přenášených, uložených nebo jinak zpracovávaných osobních údajů.

2. Kontaktní osoba Správce

PhDr. Věra Přenosilová, implementátor GDPR, tel. +420 267009626, e-mail: prenosilova.vera@nullvuzv.cz.

3. Osobní údaje zpracovávané ústavem

Správce zpracovává osobní údaje subjektů údajů pouze v rozsahu nutném pro naplnění stanoveného účelu a pouze po dobu nutnou pro jeho dosažení, nejdéle však po dobu stanovenou příslušnými právními předpisy a v souladu s nimi.
Účel zpracování osobních údajů, právní důvod, popis kategorií subjektů údajů, informace poskytované subjektům údajů, příjemci osobních údajů, lhůta pro výmaz, technická
a organizační opatření k zabezpečení osobních údajů a případní zpracovatelé jsou uvedeni v záznamech o činnostech, které jsou vedeny podle ustanovení čl. 30 Obecného nařízení.

4. Práva subjektů údajů

Vaše osobní údaje zpracováváme transparentně, korektně a v souladu s legislativními požadavky. Zároveň však máte právo se na nás kdykoli obrátit, abyste získali informace o procesu zpracování svých osobních údajů či za účelem uplatnění níže uvedených práv, která souvisejí s osobními údaji:
• Právo na přístup k osobním údajům – máte právo vyžádat si kopii svých osobních údajů, které o vás ústav zpracovává (formulář k dispozici zde).
• Právo na opravu osobních údajů – pokud se domníváte, že osobní údaje, které o vás ústav vede, jsou nepřesné či neúplné, máte právo jej požádat o jejich aktualizaci či doplnění́ (formulář k dispozici zde).
• Právo na výmaz osobních údajů (právo být zapomenut) – máte právo požadovat výmaz svých osobních údajů, pokud nejsou potřebné pro účel, pro který byly zpracovávány, pokud jste odvolal souhlas s jejich zpracováním, byly zpracovány protiprávně, musí být vymazány ke splnění právní povinnosti, nebo byly shromážděny v souvislosti s nabídkou služeb informační společnosti (formulář k dispozici zde).
• Právo na omezení zpracování osobních údajů – máte právo požadovat omezení zpracování, pokud popíráte přesnost vašich osobních údajů, nebo je jejich zpracování protiprávní, ale odmítáte výmaz takových osobních údaj, nebo pokud ústav požádáte, může vaše vybrané osobní údaje zpracovávat i po té, co nejsou potřebné k účelu, pro který byly vámi ústavu poskytnuty, nebo jste vznesl námitku proti zpracování, přičemž není zřejmé, zda oprávněný zájem ústavu převažuje nad vašimi oprávněnými zájmy (formulář k dispozici zde).
• Právo na přenositelnost osobních údajů – v případě automatizovaného zpracování osobních údajů, které je založeno na uzavřené smlouvě nebo souhlasu, který jste Správci udělili, máte právo na tzv. přenositelnost těchto údajů, které vám budou poskytnuty ve strukturovaném, běžně používaném a strojově čitelném formátu (formulář k dispozici zde).
• Právo vznést námitku proti zpracování osobních údajů – kdykoliv můžete vznést námitku proti zpracování osobních údajů (formulář k dispozici zde).
• Právo odvolat souhlas se zpracováním osobních údajů – v případě, že jste ústavu poskytli souhlas se zpracováním osobním údajů pro účely, které vyžadují souhlas, máte právo kdykoli tento souhlas odvolat (formulář k dispozici zde). Zpracování osobních údajů, ke kterému došlo před odvoláním souhlasu, je zákonné.
• Právo podat stížnost u dozorového úřadu – máte právo podat stížnost u dozorového úřadu (Úřad pro ochranu osobních údajů), pokud se domníváte, že při zpracování vašich osobních údajů došlo k porušení pravidel ochrany osobních údajů (kontakt na dozorový úřad viz níže, formulář k dispozici zde).
Pro uplatnění svých práv se můžete obrátit na kontaktní osobu Správce (viz výše), popřípadě na podatelnu ústavu (viz záložka kontakty).

Na vaše žádosti, které se týkají uplatnění vašich práv, budeme reagovat bez zbytečného odkladu ve lhůtě do 30 dnů od obdržení žádosti. Lhůtu se však v případě potřeby možné prodloužit o další dva měsíce. O takovém prodloužení včetně důvodů, které nás k němu vedly, vás budeme vždy informovat. Komunikaci povedeme způsobem, který preferujete (e-mail, dopis).

Kontakt na dozorový úřad:
Úřad pro ochranu osobních údajů
Pplk. Sochora 27
170 00 Praha 7
telefon: +420 234 665 111

5. Přístup k osobním údajům

K osobním údajům má přístup pouze Správce a osoby, které jsou ve vztahu k němu
v pracovně právním poměru nebo zpracovatelé na základě smluvního vztahu se Správcem,
a to pouze za stanoveným účelem zpracování. Přístup a nakládání s osobními údaji zpracovávanými Správcem podléhají interním bezpečnostním předpisům Správce.
Správce může zpřístupnit osobní údaje subjektu údajů třetím osobám pouze v případech, kdy mu to bude ukládat nebo umožňovat zákon, jinak jen výlučně se souhlasem subjektu údajů.

Zpracovateli osobních údajů jsou zejména dodavatelé a poskytovatelé služeb IT souvisejících s provozem organizace Správce, poskytovatel zaměstnaneckých benefitů a poskytovatel pracovnělékařské péče.

6. Bezpečnost informací a integrita

Ústav přijímá odpovídající technická a organizační opatření pro ochranu osobních údajů, a to jak proti jejich náhodnému či protiprávnímu zničení, ztrátě, pozměňování, neoprávněného použití, přístupu či sdílení, zvláště pak tam, kde zpracování zahrnuje přenos dat po síti, a také proti všem ostatním formám protiprávního zpracování či jiného zneužití.

Soubory GDPR