ZÁSADY OCHRANY OSOBNÍCH ÚDAJŮ STRÁVNÍKŮ A TŘETÍCH OSOB
Školní jídelna Cerhenice, příspěvková organizace, se sídlem Školská 444, PSČ 281 02 (dále jen „ŠJ“) je příspěvkovou organizací, jejímž zřizovatelem je Městys Cerhenice, se sídlem Školská 444, PSČ 281 02 Cerhenice. Hlavní činností organizace je zajištění stravování dle zákona č. 561/2004 Sb., školského zákona, i zajištění stravování soukromých subjektů ve smyslu zákona č. 89/2012 Sb., občanského zákoníku.
Je nezbytné, aby organizace v rámci své činnosti zpracovávala osobní údaje strávníků, případně dalších osob (například zákonných zástupců nezletilých strávníků). Osobní údaje organizace chrání ve smyslu nařízení Evropského parlamentu a Rady (EU) č. 2016/679 (dále jen „GDPR“). Cílem tohoto dokumentu je seznámit subjekty se zpracováním osobních údajů organizací a informovat o právech, které mohou subjekty osobních údajů uplatnit.
Informace jsou dostupné z webových stránek organizace (www.jidelnacerhenice.cz ) a dále jsou k dispozici k nahlédnutí v sídle organizace. Zásady nakládání s osobními údaji subjektů budou průběžně aktualizovány a doplňovány v souladu s aktuálním účelem zpracování.
Pověřencem pro ochranu osobních údajů byla jmenován: Mgr. et Ing. Zdeněk Truhlář, e-mail: gdpr@cerhenice.cz
1. OBECNĚ K NAŘÍZENÍ GDPR
Obecné nařízení na ochranu osobních údajů neboli GDPR (General Data Protection Regulation) je uceleným souborem pravidel na ochranu dat v EU. Organizace je povinna se tímto nařízením řídit. Cílem je hájit práva strávníků a dalších osob proti neoprávněnému zacházení s jejich daty a osobními údaji, dát jim větší kontrolu nad tím, co se s jejich daty děje.
Obecné zásady a právní důvody zpracování
Při práci s osobními údaji se všichni zaměstnanci školní jídelny řídí těmito obecnými zásadami: zásada zákonnosti, korektnosti, transparentnosti, účelového omezení, minimalizace údajů, přesnosti, omezení uložení, integritou, důvěrností a odpovědností správce.
zásada zákonnosti
Zpracování osobních údajů na základě právního předpisu.
Zpracování osobních údajů na základě informovaného souhlasu.
zásada korektnosti
Správné použití osobních údajů.
zásada transparentnosti
Všechny informace o ochraně osobních údajů určené subjektu údajů (žák, zákonný zástupce, zaměstnanec) byly stručné, snadno přístupné a srozumitelné.
zásada účelového omezení
Shromažďování osobních údajů jen za jasně stanoveným účelem.
zásada minimalizace údajů
Nikdy se nezpracovává více údajů, než je pro daný účel nezbytně nutné.
zásada přesnosti
Zpracovávané osobní údaje musí být přesné – tj. takové, jaké je subjekt sdělil
zásada omezení uložení
Osobní údaje jsou uloženy jen po dobu nezbytně nutnou, viz skartační řád.
zásady integrity a důvěrnosti
Náležité zabezpečení osobních údajů, včetně jejich ochrany pomocí vhodných technických nebo organizačních opatření před neoprávněným či protiprávním zpracováním a před náhodnou ztrátou, zničením nebo poškozením.
odpovědnost správce (školní jídelny)
Organizace zavede vhodná technická a organizační opatření, aby zajistila a byla schopna doložit, že zpracování je prováděno v souladu s nařízením EU.
Osobní údaje se mohou v organizaci zpracovávat pouze v souladu s GDPR, nejčastěji na základě plnění právní povinnosti nebo na základě souhlasu subjektu údajů. Souhlas subjektu údajů musí být informovaný, konkrétní a písemný.
Vedoucí organizace nepředává osobní údaje strávníků a dalších osob třetím osobám soukromého práva. Obdobně se postupuje i u osobních údajů zaměstnanců organizace.
2. JAKÉ OSOBNÍ ÚDAJE ORGANIZACE ZPRACOVÁVÁ?
Organizace zpracovává pouze takové údaje, které potřebuji pro účely své činnosti, a to z titulu plnění právní povinnosti, z titulu plnění smlouvy a dále z titulu oprávněného zájmu organizace. Některé osobní údaje zpracovává organizace na základě souhlasu, který je udělen strávníkem nebo jeho zákonným zástupcem.
Se souhlasem strávníka nebo jeho zákonného zástupce jsou zejména zpracovávány kontaktní údaje a údaje o čísle bankovního účtu a banky, u které je účet vedený.
Organizace zpracovává zejména tyto osobní údaje:
Identifikační údaje - osobní údaje zpracovávané za účelem jednoznačné a nezaměnitelné identifikace strávníka a u nezletilých strávníků osobní údaje jeho zákonných zástupců (případně dalších osob). Jedná se o jméno, příjmení, datum narození, adresu trvalého pobytu, podpis strávníka nebo jeho zákonných zástupců, v případě žáků školních zařízení rovněž i informaci, kterou třídu žák navštěvuje.
Kontaktní údaje - Jedná se zejména o kontaktní adresu, telefonní číslo, e-mailovou adresu a další obdobné informace.
Údaje o bankovním spojení — jedná se o číslo účtu a instituci, u které je účet vedený.
Údaje o komunikaci mezi zákonnými zástupci žáka a organizací — údaje zpracovávané za účelem ulehčení plnění požadavků na organizaci ze strany zákonných zástupců a dále v případě soudního řízení. Jedná se zejména o listovní a e-mailovou korespondenci, která obsahuje osobní údaje, a to zejména osobní identifikační údaje.
3. Z JAKÝCH ZDROJŮ MÁ ORGANIZACE OSOBNÍ ÚDAJE?
Osobní údaje, které organizace zpracovává, získává převážně od samotných strávníků, případně od jejich zákonných zástupců. Některé osobní údaje získává organizace od dalších subjektů, se kterými uzavřela rámcovou smlouvu o zajišťování stravování.
4. JSTE POVINNI ORGANIZACI OSOBNÍ ÚDAJE PŘEDÁVAT?
Většinu osobních údajů potřebuje organizace již při vyplnění přihlášky ke stravování, aby mohla plnit své smluvní povinnosti a připravovat stravu jednotlivým subjektům a cíle vymezené školským zákonem. Osobní údaje o strávnících v některých případech předávají školní jídelně i další organizace, se kterými má školní jídelna uzavřenou rámcovou smlouvu, na základě které dochází k zajištění stravování. Kontaktní údaje pak slouží k usnadnění komunikace mezi subjektem a organizací. Organizace nezpracovává žádné osobní údaje, které nepotřebuje přímo či nepřímo k zajištění vymezeného účelu.
5. NA ZÁKLADĚ JAKÉHO TITULU ZPRACOVÁVÁ JÍDELNA OSOBNÍ ÚDAJE?
Nařízení GDPR stanoví kromě povinnosti zpracovávat pouze účelné informace povinnost zpracovávat tyto informace na základě právního titulu, kterým je buď souhlas, nebo plnění smlouvy, plnění právní povinnosti, či ochrany oprávněného zájmu organizace.
Osobní údaje jsou ve školní jídelně zpracovávány na základě zákona, plnění právní povinnosti, informovaného souhlasu či oprávněného zájmu.
Osobní údaje zpracovávané na základě školského zákona jsou následující:
- údaje uvedené v knize úrazů a záznamech o úrazech dětí, žáků a studentů
- údaje uvedené ve vnitřním řádu jídelny (ust. § 30 školského zákona),
- údaje o prominutí nebo snížení úplaty za školní stravování, vyloučení (nebo podmíněném vyloučení) strávníka – žáka ze školní jídelny/výdejny stravy
- údaje o dietním režimu žáka (na základě vyhlášky č. 107/2005 Sb., o školním stravování),
- identifikační údaje zákonných zástupců žáka (dle zákona č. 500/2004 Sb., správního řádu, ve znění pozdějších předpisů, a zákona č. 89/2012 Sb., občanského zákoníku.
Osobní údaje zpracovávané na základě plnění smlouvy jsou:
- údaje identifikující strávníka
- údaje o zdravotních obtížích strávníka,
Osobní údaje zpracovávané na základě informovaného souhlasu jsou:
- kontaktní údaje zákonných zástupců žáka nebo zletilého strávníka (telefonní číslo a e-mailová adresa),
- údaje o bankovním účtu strávníka k zajištění inkasních plateb za stravné
- informace o přihláškách a odhláškách jídel vedené v listinné podobě
- informace o zařazení do třídy v rámci školy
Pokud bude v rámci budovy v budoucnu využíván kamerový systém, vedoucí organizace přijme směrnici pro provozování kamerového systému, která bude přístupná rovněž veřejnosti. Na přítomnost kamer v zařízení budou zaměstnanci, strávníci i jejich zákonní zástupci předem upozorněni vhodnou formou (informativní cedulky v budově). Kamery budou využívány pouze za účelem ochrany majetku a zvýšení bezpečnosti (oprávněný zájem školní jídelny).
6. ZA JAKÝM ÚČELEM ZPRACOVÁVÁ JÍDELNA OSOBNÍ ÚDAJE?
Účely zpracování osobních údajů v jídelně jsou následující:
Zajištění poskytování stravování – hlavním cílem organizace je dodávat realizovat stravování ve smyslu školského zákona, případně plnit smluvní povinnost vůči jiným subjektům ve smyslu občanského zákoníku. Jídla jsou dodávány na základě vyplněné přihlášky ke stravování. Za účelem naplnění školského zákona zpracovává též informace o dietních omezeních strávníků.
Komunikace se strávníky, případně jejich zákonnými zástupci — Školní jídelna komunikuje se zákonnými zástupci žáka, případně se zletilým strávníkem, o všech věcech týkajících se zajištění plnění cílů organizace, tedy zajištění stravování. Nejedná se o marketingovou komunikaci, nebo komunikaci k jinému účelu. V rámci usnadnění činnosti školní jídelny zpracovává školní jídelna se souhlasem subjektu i informaci o zařazení žáka do třídy ve škole.
Zajištění řádné úplaty za stravné – Školní jídelna zpracovává informace o čísle bankovního účtu strávníka a bankovním ústavu, u kterého je účet vedený. Činí tak za účelem inkasování plateb za stravné strávníka. Správce rovněž zpracovává osobní údaje za účelem prokázání důkazního břemene v souvislosti s vymáháním pohledávek či vedením případného soudního sporu, a to na základě právního titulu oprávněného zájmu.
Některé osobní údaje jsou zpracovávány, neboť školní jídelně ukládá povinnost zpracovávat osobní údaje nezletilých strávníků přímo zákon. Jedná se osobní údaje zpracovávané v souvislosti s vedením matriky školní jídelny, knihou úrazů či s vedením vnitřního řádu školní jídelny.
7. JAK DLOUHO UCHOVÁVÁ ORGANIZACE OSOBNÍ ÚDAJE?
Organizace uchovává osobní údaje v souladu se zákonem o archivnictví, tedy i po skončení stravování subjektu ve školní jídelně. Pro každý druh dokumentace je stanovena zvláštní lhůta dle skartačního řádu. Všechny tyto lhůty jsou blíže definovány v záznamech o zpracování, které má organizace povinnost vést a do kterých můžete nahlédnout v sídle organizace.
8. KOMU OSOBNÍ ÚDAJE MŮŽE ORGANIZACE PŘEDÁVAT? DOCHÁZÍ K PŘEDÁVÁNÍ OSOBNÍCH ÚDAJŮ DO TŘETÍCH ZEMÍ?
K předávání osobních údajů dochází v případech, kdy to vyžaduje zákon (např. Krajské hygienické stanici). Příjemcem údajů mohou být i společnosti, které organizace pověří určitou činností, pro jejíž výkon je zpracování osobních údajů nutné (např. osoba zpracovávající účetnictví). Příjemcem údajů na internetových stránkách organizace je veřejnost. K předávání osobních údajů subjektů do třetích zemí nedochází.
9. JAK JSOU MÉ OSOBNÍ ÚDAJE ZABEZPEČENY?
Organizace má vytvořený systém pro zabezpečení ochrany osobních údajů:
- uložení dokumentů podle spisového a skartačního řádu
- nově vytvořena funkce pověřence pro ochranu osobních údajů, který provádí nezávislou kontrolní funkci ochrany osobních údajů v organizaci
- shromažďování pouze nezbytných osobních údajů
- již nepotřebné údaje skartovat
- zachovávat mlčenlivost o údajích
- ochrana osobních údajů při práci s IT technikou
10. JAKÁ PRÁVA MOHU V SOUVISLOSTI S OCHRANOU OSOBNÍCH ÚDAJŮ UPLATNIT?
V souladu s ustanovením článku 12 – 22 nařízení GDPR mohou subjekty uplatnit svá práva. Jednotlivá práva strávníků se uplatňují písemnou žádostí adresovanou organizaci, na kterou je organizace povinna zareagovat bez zbytečného odkladu, nejpozději však do jednoho měsíce od doručení žádosti. Ve výjimečných případech je organizace oprávněna lhůtu pro vyřízení žádost prodloužit nejvýše o dva měsíce. V souladu s uvedenými ustanoveními máte právo uplatnit tato práva:
Právo na přístup k osobním údajům (čl. 15 nařízení GDPR): Strávníci mohou požadovat informace o tom, jaké údaje o nich organizace zpracovává.
Právo na opravu osobních údajů (čl. 16 nařízení GDPR): Strávníci mají právo požádat o opravu neúplných či nesprávných osobních údajů, které se jich týkají.
Právo na výmaz osobních údajů (čl. 17 nařízení GDPR): V případě, že má strávník za to, že zpracování osobních údajů týkajících se jeho osoby není oprávněné, může požádat o jejich výmaz osobních údajů, které jsou dle jeho názoru zpracovávány v rozporu s nařízením GDPR.
Právo na omezení zpracování osobních údajů (čl. 18 a 19 nařízení GDPR): Pokud má strávník za to, že by mělo dojít k omezení zpracování jeho osobních údajů, zejm. z důvodu, že zpracování těchto osobních údajů probíhá ze strany organizace v rozporu se zákonem.
Právo na přenositelnost osobních údajů (čl. 20 nařízení GDPR): Osobní údaje strávníků zpracovávané automatizovaně na základě jejich souhlasu či na základě právního titulu plnění smlouvy mohou být na žádost zaměstnance přeneseny jinému správci. K takové situace zatím ve školní jídelně nedochází. Právo vznést námitku proti zpracování osobních údajů (čl. 21 nařízení GDPR): V případech zpracování osobních údajů strávníků na základě právního titulu oprávněného zájmu mají žáci, jejich zákonní zástupci a další osoby právo vznést námitku proti zpracování. S uplatněním všech svých práv se můžete obracet přímo na organizaci a to buď písemně do sídla organizace na adresu Školní jídelna Cerhenice, Školská 444, PSČ 281 02 Cerhenice nebo prostřednictvím e-mailové adresy: jidelna@cerhenice.cz obracet se můžete rovněž na osobu pověřence, jehož kontaktní údaje jsou uvedeny v úvodním ustanovení tohoto dokumentu.
Pokud máte za to, že dochází ke zpracování osobních údajů v rozporu s nařízením, můžete podat stížnost u dozorového úřadu, přičemž není omezeno ani vaše právo na soudní ochranu. Dozorovým úřadem je Úřad pro ochranu osobních údajů, IČO: 70837627, se sídlem Pplk. Sochora 27, 170 00 Praha 7.
Tyto podmínky jsou účinné ke dni 25. 5. 2018.
Jana Šedinová
…………………………………………………………………..
Vedoucí školní jídelny